Internet WebSécuritéarticle-la-securite-informatique

L’informatique s’est depuis déjà longtemps installée comme faisant partie du quotidien des gens, et c’est très bien ainsi.

Mais il faut assortir l’usage par de la prévention. Après tout, un outil est un outil, ce n’est que sa destination qui fait la différence.

Mais comme pour toute chose, aux droits, il existe un pendant, les devoirs.

S’il est entendu, admis, acquis, que pour conduire une voiture il va falloir passer l’examen du code, puis des leçons de conduite, puis l’examen de conduite.
De plus, avec la voiture, viendra l’obligation de s’assurer.

Mais il semblerait qu’en matière d’informatique il n’en soit pas de même. J’ai le droit = je fais, quant aux les devoirs = pffffff.
Et dans un pays peuplé d’irréductibles Gaulois, l’affaire n’est pas simple.
Je vais peut-être en choquer plus d’un, mais bien souvent, si des personnes connaissent des déboires informatiques, c’est souvent de leur faute, de leur fait.

On va voir ici, quels sont les moyens et les méthodes simples, afin de se préserver dans ce vaste monde de l’informatique.

On pourra diviser la sécurité informatique en deux grandes parties distinctes :
– La sécurité informatique intérieure (ordinateur, etc.)
– La sécurité informatique extérieure (si on construit un site internet par exemple; les abonnements à internet par un FAI (Fournisseur d’Accès à Internet).

A – La sécurité intérieure

1 – Admin / User

Lorsque l’on installe un nouvel ordinateur, une solution de protection extrasimple et gratuite, consiste à d’abord installer tous les logiciels dont on aura besoin en session : administrateur.
Ceci fait, pour l’utilisation au quotidien, on créera une session : Utilisateur
Ainsi, en tant qu’utilisateur (user), si vous n’avez pas le droit d’administrer l’ordinateur (admin), un éventuel hacker aura le même problème, et restera bloqué à la porte.

2 – Les mots de passe et leur rigidité

Il est évident que si vous utilisez des mots de passe hyper simples (admin, user, 1234, etc.), tout étranger aura vite fait de hacker votre device (appareil).
De plus, si vous êtes un professionnel, vous devez tenir compte de l’obligation d’utiliser des mots de passe forts, pour assurer une bonne rigidité.
Eh oui, il est question ici du RGPD (Règlement Général de Protection des Données), qui dit qu’un mot de passe doit être composé d’au moins 12 caractères.
Alors, ne soyez pas chiche, et créez des mots de passe à plus de 12 caractères.

Oui, mais le problème, c’est de retenir tous ces mots de passe.
Il existe des logiciels qui le font pour vous. Ils peuvent créer des mots de passe forts, et les tenir bien gardés dans une espèce de coffre-fort (Ex : 1st Password sur Mac).
Une autre solution consiste à créer une feuille de calcul (Excel, Numbers), où tous ces mots de passe seront répertoriés.
Puis vous enregistrerez ce fichier avec un mot de passe, qui sera donc le seul que vous aurez à retenir, afin d’accéder à tous les autres.

3 – Antivirus

De nos jours, un antivirus est devenu indispensable, et ce, même sur les Mac (Apple).
Car à minima, il vous protégera, et à maxima il pourra protéger vos correspondants (théorie du porteur sain).

Mais pourquoi est-ce devenu indispensable ?
D’antan, un virus était composé de codes malicieux affectant principalement les applications. Exemple :  applications en .exe pour les PC, et en .app pour les Mac.
Nb : Même s’il est vrai que les .app sur Mac sont peu touchées, au vu de la couche Unix qui les composent depuis Mac OSX 9.
Mais aujourd’hui, le simple fait d’aller visiter des sites internet pas très « conventionnels », suffit aux hackers pour injecter des manoeuvres frauduleuses, au travers de scripts inclus dans le code (html) de la page. Ce sont dans les Javascripts, que désormais les hackers se sont investis.
Une « intrusion Javascript » sur PC (de par la structure de son système), créant plus de dommages que sur un Mac.

À ce sujet, ne mettez jamais à jour une application à l’invite sur écran. Le cas le plus célèbre étant le Flash Player d’Adobe, vérolé à l’envi.
Rendez-vous par vous-même sur le site de l’éditeur du logiciel pour effectuer les mises à jour.

Donc, plus personne n’est à l’abri.
C’est ainsi que le Phishing se développe et fait beaucoup de ravages. Voir l’article concernant le Phishing sur ce site : www.pictopagina.com/phishing/

4 – Les sauvegardes

Une entreprise qui perd « son informatique » coule dans l’année qui suit. On voit donc bien là l’importance d’effectuer des sauvegardes.

Oui, mais comment ?
Stocker des données sur un seul disque dur n’est absolument pas satisfaisant.  Prenez l’habitude de faire des copies sur d’autres supports 
– Disque dur externe
– Clé USB
– Disques en RAID
– Serveur NAS
– Sur le Cloud (mais un qui a pignon sur rue, of course). Exemple : Digiposte de La Poste, Dropbox, etc.
– etc.

 

5 – Le chiffrage des solutions de stockage informatique

Là encore le RGPD intervient.
Tout professionnel (mais que les particuliers en fassent autant) doit chiffrer toute sauvegarde nomade, c’est à dire externalisable.
Ainsi, un ordinateur portable devra être chiffré, tout comme les disques durs externes et autres clés USB.

De base, les Mac disposent de FileVault, et les PC de Bitlocker (qui ne semble pas être une solution très sécuritaire à en croire).
De fait, chiffrer son ordinateur de bureau est aussi une bonne chose.

B – La sécurité extérieure

On va essentiellement parler ici, de création de sites internet. Nb : Ce chapitre correspondra plus aux créateurs de sites internet.
Un domaine que beaucoup croient abordable, mais qui en fait est bien plus compliqué qu’il n’y paraît.

1 – Mots de passe
Là encore, ce qui a été dit au chapitre A2 est de mise.
Car, si par exemple vous avez créé un site internet avec WordPress, et que le mot de passe est « simple », un hacker aura tot fait de briser la sécurité.

Par le passé, les sites sous WordPress avaient comme nom d’utilisateur : admin
Et souvent, les gens utilisaient aussi admin comme mot de passe. Fatalitas, fatalitas.

Il faut donc éviter impérativement, des mots de passe basés sur des mots (ou des bouts de mots) existants dans le dictionnaire.
Exemple : monmotdepasseamoiquejai
Les bots (voir chapitre B2) auront vite fait de le craquer.
On préférera donc des mots de passe totalement créés au hasard.
Exemple, vous vous appuyez (n’importe comment, mais pas trop fort quand même) sur votre clavier, et vous voyez le résultat.
Ce qui pourra donner :  @30gsDFqvdq§»r(§fd57wjdjfdg-jKumUio
Avouez que pour aller cracker ça, faudra y mettre du coeur à l’ouvrage, et le hacker ira voir ailleurs, là où ce sera plus facile.

J’ai par exemple, un nouveau client (février 2020), qui avait créé son site sous WordPress, avec admin + un mot de passe plus fort.
J’ai été sollicité par lui pour sécuriser sont site, qu’il n’avait pas modifié depuis 7ans (à totalement proscrire).
Peu de temps (10 jours) après avoir sécurisé le site et, par une fâcheuse coïncidence, son site a été victime d’un hacker qui a vidé l’intégralité de son site. Effacé, plouf plouf.
Nb : Ce site comprenait une extension dotée d’une faille 0day, ce qui a permis l’exploit. Voir ce lien : https://fr.wikipedia.org/wiki/Vulnérabilité_zero-day

 

2 – Brut Force Attack

Qu’est-ce qu’une Brut Force Attak ?
Il s’agit de bots (robots logiciels) qui tentent de cracker vos mots de passe et identifiants.
L’idée, c’est que le logiciel teste des milliers, voire des millions, de possibilités, jusqu’à trouver la bonne.

Contrer ceci est facile.
Il suffit d’insérer un bout de code sur le site, qui va ne permettre que x essais consécutifs (4 par exemple).
Si cela échoue, il faudra attendre (exemple 20 minutes) avant de retenter… un bot lâchera vite l’affaire.. et ira voir ailleurs.

 

3 – Certificats SSL

Aujourd’hui, un site internet doit OBLIGATOIREMENT (parlé) être protégé par un certificat de sécurité SSL (Secure Socket Layer).

Vous savez, ce petit « s » à la fin de « http » (donc « https ») qui indique que les échanges de données entre le visiteur et le serveur où est stockés le site, sont sécurisés (on ne peut s’insérer dans cet échange).
Aparté :  Attention, les hackers créer des sites avec des certificats SSL (gratuits, tel Let’s Encrypt), pour tromper les visiteurs.

Au sujet de Let’s Encrypt, il faut savoir qu’en ce début mars 2020, 3 millions de certificats sont devenus obsolètes.
Vous pouvez vérifier si votre certificat est concerné, en allant sur : https://checkhost.unboundtest.com/

Pour tout comprendre concernant le SSL, voir :
– Cette vidéo sur Youtube : https://www.youtube.com/watch?v=Qtr9xCRIRUA&list=PL7NRDW41tGTIem2dsPooWHlj7Kzmstdg4&index=49&t=6s
– Ce site internet : https://www.culture-informatique.net/cest-quoi-un-certificat-ssl/

 

4 – Sauvegardes

Là aussi, on voit tout l’intérêt d’effectuer des sauvegardes.
a) Si le site est créé avec un outil offline (sur votre ordinateur, et non en ligne), tel WebAcappella, les directives du chapitre A4 suffisent.
b) Si votre site est créé online (c’est à dire avec un connexion vers un serveur) comme par exemple « WordPress, là, il n’en va pas de même.
Et comme WordPress – le plus célèbre des CMS (Content Management System) – est facilement vulnérable à moins de bien savoir le protéger, il va falloir mettre les bouchées doubles.
Une des meilleures extensions pour ce faire est Duplicator qui existe en version gratuite, mais également en version Pro : Duplicator Pro.
Et là, je ne saurais trop vous recommander d’acheter une licence Pro qui vous permettra des réglages non disponibles dans la version gratuite.
Nb : Attention, ces derniers temps (début 2020), Duplicator est aussi sur la sellette en matière de sécurité (failles). Il faudra donc régulièrement le mettre à jour.
Voir chapitre B5 Avec Duplicator Pro, bous pourrez créer des scripts de sauvegardes :
À quelle fréquence sauvegarder (ex : 2 fois par semaine)
Où sauvegarder. Sur le serveur où se trouve WordPress, ou à l’extérieur, comme par exemple sur : Dropbox
Rappelons que cette sauvegarde entière de votre site est la garantie de pouvoir le réinstaller en cas de piratage.

J’ai eu le coup avec ce nouveau client évoqué au chapitre B1

 

5 – Mise à jour des thèmes et extensions

Une bonne pratique concernant les CMS, est de mettre RÉGULIÈREMENT à jour, les thèmes et extensions. C’est la garantie d’une bonne mise en sécurité du site.
De fait, choisissez des thèmes et extensions dont la mise à jour est régulière, récente, et suivie par le concepteur.
Donc, soit vous allez TOUS LES JOURS (par exemple) vérifier qu’il n’y a rein à mettre à jour (updater), soit vous utilisez un logiciel comme WP-Manager.
WP-Manager permet de contrôler plusieurs sites d’un seul coup. C’est donc un outil indispensable à tout bon concepteur de sites qui se respecte.
En un seul coup d’oeil, vous pourrez mettre à jour plusieurs éléments de vos sites.

 

6 – Bloquer les demandes fallacieuses

Block Bad Queries (BBQ) est un script simple qui protège votre site Web contre les requêtes URL malveillantes. 
Il vérifie tout le trafic entrant et tranquillement bloque les mauvaises demandes contenant des choses désagréables comme eval(, base64_et trop longues demande cordes.
Il s’agit d’une solution simple, mais solide qui fonctionne très bien pour les sites où un fichier .htaccess n’est pas disponible.

 

7 – Bloquer les spam

Si vous utilisez WP-Manager, un des outils vous permet de les gérer.
Mais pour vous en prémunir, il existe des extensions qui font bien le job. Comme par exemple : Askimet (mon préféré), JetPack, etc.
Une autre solution simple, étant de créer des règles de filtrage sur le serveur de votre messagerie.

 

8 – Être avisé

Bon, c’est bien beau tout ça, mais comment je sais, moi, si un site est menacé ?
Le génialissime WordFence (la barrière des mots) est là pour vous avertir en temps réel, de toute tentative de malversation.
En élaborant votre site internet, créez 2 adresses mail distinctes. La première sera la commerciale, la seconde servira aux échanges techniques tels que ceux de Wordfence.
Je ne serais que trop conseiller de créer une adresse gmail, qui servira aussi pour mieux gérer et référencer votre site.
Ainsi, Wordfence vous enverra un mail (par ex sur : monsiteamoi@gmail.com), afin de vous prévenir de toute tentative de malveillance.
Par contre, dès que vous vous connecterez sur votre tableau d’administration WordPress, vous recevrez également un message pour vous dire que quelqu’un vient de se connecter (bein, oui, c’est moi du’genou)
Les rapports sur les tentatives de hacking sont intéressants. Vous verrez ainsi que les Ukrainiens et les Russes s’en donnent à coeur joie en ce moment, vous révélant ainsi les tentatives avortées sur votre site.
Une Newsletter vous avertit des dernières infos en matière de sécurité informatique des sites internet, mais c’est en english.

 

 

9 – Contrôles d’intégrité

Une des principales tentatives de piratage de site, consiste à placer un dossier dormant (niche) sur un site piraté.
Ainsi, le propriétaire du site piraté aura peu de chances de s’apercevoir de ce piratage.
Ce dossier dormant (niche) est en fait une passerelle, qui mènera l’internaute trompé (voir chapitre B10) vers un site frauduleux, espérant ainsi récolter des fonds.
Il faut donc régulièrement vérifier l’intégralité d’un site, voir si des dossiers inconnus ne s’y trouvent pas.

Prenons l’exemple suivant :
Vous recevez une message (phishing) qui vous enjoint de soit régler une dette, ou tout dernièrement, percevoir un trop versé (ex : des impots).
Sur le mail, le lien proposé pourra être, par exemple : http://www.support/site-qui-fait-plus-vrai-que-nature.com
D’une part, il faut remarquer le fait qu’il n’y a pas le « s » du certificat SSL (voir chapitre B3). Erreur de débutant de la part du hacker ?
Mais les phishing sont de plus en plus perfectionnés, même les fautes de français n’apparaissent presque plus… sont forts les zouaves.
Et deuxio, le lien de destination réelle de cet exemple est : https://www.pictopagina.com (cliquez sur le lien pour tester http://www.support/site-qui-fait-plus-vrai-que-nature.com) 
Chose que l’on peut remarquer sur les emails, en laissant la souris quelques secondes au dessus du lien (supposé).
Donc, vous êtes redirigé vers un autre lien, qui pourra donner accès sur la fameuse niche déposée par le hacker.
Ce qui fait que lorsque l’on tentera de remonter le fil de l’escroquerie, on se retrouvera bloqué à l’étape du malheureux propriétaire du site qui intègre la niche.

Donc : contrôle, contrôle, contrôle… et l’utilité de bien blinder la sécurité d’un site internet.

 

10 – Le Phishing

Le phishing (tentative d’hameçonage), est une pratique qui vise à tromper les internautes via l’envoi d’emails trompeurs et frauduleux.
L’éducation d’une bonne pratique des messageries eMail est donc à prendre en compte.

 

Ce sujet est disponible sur ce site via ce lien : www.pictopagina.com/phishing/
Ainsi que sur cette page : https://www.pictopagina.com/le-reglement-rgdp-et-ses-implications/#g
Bonne pratique de gestion des mails : https://www.pictopagina.com/le-reglement-rgdp-et-ses-implications/#i

 

 

 

11 – Conclusion

Souvenez-vous. Si vous avez bien sécurisé votre informatique, vous êtes en sécurité (sauf cas hypra exceptionnel).
Certes le RGPD doit s’appliquer à tout professionnel, mais en vérité, les règles simples qui le composent peuvent être adoptées également par les particuliers.
Lorsque l’on voit ce qui se passe en ce moment avec le « connard à virus », on doit se dire que la pratique de l’informatique avec la technique « du château fort », est l’assurance pour tous d’éviter bien des malheurs.
Je compte faire prochainement une petite animation concernant ce sujet « du château fort ».
À suivre donc…


Si vous êtes arrivé jusqu’ici, tout d’abord laissez-moi vous dire bravo, et vous devriez être paré pour affronter la jungle du web.

 

 

 

4 commentaires

  1. Bienvenue sur cet article, qui n’a d’autre prétention que de vous prémunir de déboires liés à l’utilisation de l’informatique.
    Je ne pourrai répondre « en particulier » à tous, si d’aventure les questions concernent la mise en pratique de ces stratégies.
    Vous comprendrez que d’une part, je n’en aurai pas le temps, et d’autre part, je ne puis dévoiler tous mes secrets, issus de longues années de pratique et de recherches.

    Par contre, tout commentaire sympa sera le bienvenu.

    Enjoy

  2. Super passage en revue des règles de base pour se protéger un minimum. Preuve d’un grand sérieux de la part de « Pictopagina ». Merci pour les conseils.

  3. Merci Stéphane, tu nous éclaire toujours , il faut vraiment ce dire que c’est comme sur la route ,il y a un code ,donc le respecter bien sûr avec une certaine rigueur. Merci pour la piqûre de rappel et oui elle est douloureuse……

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée Champs requis marqués avec *

Poster commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.