I.   Présentation

 

Avec toutes les informations/fuites de ces dernières années, il est d’autant plus important de faire comprendre au plus grand nombre d’internautes, à quel point la sécurité et la vie privée sont très importantes.

Nous allons ici en faire un petit résumé, sans prétendre vouloir tout savoir.

 


II.   Comptes

1) Les mots de passe

 

La première chose à laquelle on pense lorsqu’on parle de sécurité (informatique) ce sont nos comptes en ligne et pas seulement ceux de notre banque mais nos mails, réseaux sociaux, e-commerce, etc. Et pour protéger ces comptes nous utilisons tous un mot de passe.

C’est la première barrière de protection afin de rentrer sur nos comptes, il faut comme vous vous en doutez qu’il soit difficile à trouver. C’est pourquoi on vous parle souvent de complexité de mot de passe. Mais qu’est-ce que cela veut dire ?

Pour être le plus court possible, la complexité c’est le fait d’utiliser différents symboles dans nos mots de passe. J’entends par symbole, les chiffres, les lettres minuscules, les lettre majuscules, et les caractères spéciaux. Et enfin très important pour finir sur la complexité c’est la longueur de votre mot de passe.
Plus votre mot de passe sera long et aura de symboles différents plus il sera complexe. Le tableau ci-dessous récapitule en fonction de la longueur et des symboles utilisés dans vos mots de passe le nombre de possibilités que cela offre.

 

Nombre de combinaisons
Chiffres Lettres Caractères spéciaux Chiffres +
lettres minuscules
chiffres + lettres minuscule +
majuscules
chiffres + lettres minuscule +
majuscules + caractères spéciaux
Nombre 10 26 29 36 62 91
longueurs
du mot de passe
4 10 000 456 976 707 281 1 679 616 14 776 336 68 574 961
6 1 000 000 308 915 776 594 823 321 2 176 782 336 56 800 235 584 567 869 252 041
8 100 000 000 208 827 064 576 500 246 412 961 2 821 109 907 456 218 340 105 584 896 4 702 525 276 151 520
12 1E+12 9,54E+16 3,54E+17 4,74E+18 3,23E+21 3,22E+23
20 1E+20 1,99E+28 1,77E+29 1,34E+31 7,04E+35 1,52E+39

 

Vous remarquez très vite qu’avoir un mot de passe simple et court n’offre pas beaucoup de possibilités en terme de nombre de mots de passe.

Avant de poursuivre je vous invite à regarder cet article qui parle de la grosse fuite de mots de passe survenue en décembre 2017. Je fais des statistiques sur les 1,4 milliards de mots de passe trouvés…tous sont des mots de passe simples !!

 

Afin de vous expliquer l’importance d’un mot de passe robuste, il faut vous parlez d’une méthode appelée: Bruteforce (ou en français attaque par force brute). Cette méthode est très basique mais rudement efficace lorsque les mots de passe sont simples. Cette méthode consiste à tester une à une toutes les combinaisons possibles jusqu’à trouver la bonne. Exactement comme quand nous testons les combinaisons d’un cadenas à code, on fait du bruteforcing !
Maintenant remettons nous dans le monde de l’informatique, les programmes de bruteforce s’exécutent sur des machines pouvant tester plusieurs milliers de combinaisons par seconde, il ne faudra vraiment pas beaucoup de temps pour trouver le mot de passe qui est: 123456

Si je résume, au lieu de créer véritablement “un mot” de passe créez plutôt “une phrase” de passe (pas très beau mais c’est pour comprendre) appelée passphrase. Mais bien sur en se servant de ce que j’ai expliqué plus haut (la complexité). Ainsi voila le temps nécessaire pour craquer (trouver) le mot de passe en fonction de sa complexité:

 

mot de passe très simple simple moyen moyen fort bon très bon excellent
123456 johndoe johnDOE j0hn-DO3 3nTrEpr!s3 tesyeuxbleus LEbl3u2TyeUxquej@dor3

(le bleu de tes yeux que j’adore)

temps de craquage 1 seconde 49 secondes 52 minutes 3 heures 2 mois 300 ans 10 000 siècles et +

J’ai utilisé le site de Kaspersky pour cela.

 

 

Les recommandations de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), sont les suivantes:

  • Utiliser un mot de passe différent pour chaque compte
  • Utiliser un mot de passe ne contenant pas votre nom, prénom, age, date de naissance, etc
  • Vous devez créer votre mot de passe vous même, ne pas passer par quelqu’un d’autre (générateur en ligne)
  • Changez vos mots de passe tous les 3 mois
  • Ne stocker pas votre mot de passe en clair sur votre PC ou PIRE un post-it
  • Ne vous envoyez jamais vos mots de passe par mail
  • Configurer votre navigateur internet pour qu’il ne retienne pas vos mots de passe

 

Vous pouvez consulter leurs recommandations sur leur site c’est très bien expliqué.

 

 

2) Authentification

 

Il existe différents moyens pour s’authentifier, nous n’allons pas rentrer dans les détails techniques mais simplement lister les principales authentifications utilisées.

Les authentifications les plus répandues sont les suivantes:

  • authentification par mot de passe
  • authentification par mot de passe + code = double authentification
  • authentification par clé
  • authentification par dongle usb ou clé de sécurité

 

  • L’authentification par mot de passe tout le monde connaissait.
  • La double authentification est une méthode implantée depuis un petit moment maintenant, cela fonctionne par une application sur votre PC ou téléphone qui génère toutes les 30 secondes un code numérique qu’on doit rentrer en plus de son mot de passe. Tous les services dignes de ce nom permettent d’activer cette fonction (suite google, facebook, etc) je vous invite à regarder les ramettes de vos comptes chez les différents sites afin de l’activer si possible.
  • Le concept d’authentification par clé est très robuste, il faut que le ou les serveurs possèdent la clé publique et celui qui se connecte ait la clé privée ET la passphrase sécurisant la clé privée. Car, si vous n’avez pas la passphrase vous n’aurez pas accès à la clé privée et vice-versa.
  • L’authentification par dongle usb ressemble à la double authentification + authentification par clé. En effet une fois le dongle usb associé à votre compte dès que vous vous connecterez il faudra taper votre mot de passe et ensuite mettre le dongle dans un de vos port usb afin que le site vous authentifie.

 

Les deux dernières méthodes sont logiquement les plus sécuritaires car il faut physiquement un élément pour se connecter.

 

3) Protocoles

 

L’utilisation des protocoles est très importante car même avec un mot de passe très complexe cela ne pourrait servir à rien. Je m’explique, vous avez sans doute entendu parler du HTTPS avec le petit cadenas vert en face des sites web (comme le mien), ce qui signifie que c’est sécurisé mais qu’est-ce-que cela veut dire ?
Ce qui se passe sous l’appellation sécurisée c’est que les échanges entre vous (votre pc) et mon site sont cryptés et illisibles, un peu canal+ si vous n’avez pas le décodeur vous ne pouvez pas décrypter les échanges et voir le contenu.

Voici un petit tableau avec les protocoles non sécurisés et leurs versions sécurisées.

 

Protocole
non sécurisé sécurisé
telnet ssh
ftp ftps
http https
pop pops

 

Oui mais concrètement qu’est-ce que cela implique ? Et bien le fait d’utiliser des protocoles non sécurisés c’est comme si vous parliez à votre voisin par la fenêtre tout le monde peut entendre. Et donc si vous entrez votre mot de passe sur un site en HTTP il est très facile de l’intercepter donc même s’il fait 20 caractères c’est complètement inutile. Utiliser un protocole sécurisé, c’est comme si vous parliez à votre voisin mais cette fois au travers d’un tuyau/tunnel vous n’êtes que deux à pouvoir échanger vos données. C’est quand même mieux surtout pour des sites bancaires non ? 😀

 

4) Cartes de crédit

 

Ici justes quelques recommandations simples:

  • Ne transmettez jamais vos identifiants bancaires (numéro+date+code) par mail ou téléphone
  • Ne conservez jamais vos identifiants sur le pc et/ou le téléphone
  • Désactivez l’enregistrement automatique des identifiants bancaires dans les comptes de e-commerces (et d’autres)

 

Si un site de e-commerce se fait pirater et que les pirates récupèrent les coordonnées bancaires, c’est Jakpot…pour eux !

 

 


III.   Vie privée

 

Nous abordons un autre thème, la vie privée. Très important si vous ne voulez pas répandre partout sur le net des informations sur vous et recevoir des pubs en autre.

 

1) Moteur de recherche

 

La récolte des informations commence avant tout par les différents moteurs de recherche et le numéro 1 bien sûr Google. Le modèle économique de Google est basé sur la pub, il est donc important pour lui de vous cibler lorsque les pubs s’affichent. En effet 86% de ses revenus en 2017 concernent la publicité !!
Ainsi chaque recherche est enregistrée et analysée ce qui leur permet de vous afficher des publicités bien ciblées. Vous avez déjà du le remarquer si vous recherchez votre nouveau forfait téléphone ou la dernière télévision 4k, vous allez vous retrouver sur d’autres sites affichant de la publicité, publicité sur le forfait téléphone ou la tv que vous aviez cherché.

Pour vous protéger de cela regardez l’article suivant.

 

Vous pouvez changer de moteur de recherche et en utiliser un qui respecte votre vie privée, comme Qwant, DuckDuckGo, Ixquick

 

2) Les “clouds personnels”

 

Vous utilisez surement un stockage dans le cloud chez une grande entreprise surement encore elle, Google. C’est bien pratique de retrouver ses données où que l’on soit sur Terre, mais les données que vous mettez chez ces hébergeurs leurs appartiennent (c’est marqué dans les conditions générales d’utilisation).

Si vous voulez avoir le contrôle de vos données vous pouvez vous tourner vers des plateformes comme Cozy Cloud ou bien vous pouvez vous acheter un serveur dédié chez OVH  ou online.net avec un système d’exploitation orienté cloud/partage comme Owncloud. Enfin si vous avez  la fibre et un NAS vous pouvez également installer Owncloud dessus (pour les Synology ou un Freenas)

 

3) Plugin-ins

 

Sur vos navigateurs préférés afin de bloquer la publicité ou bien le pistage réalisé par Google et les autres, vous pouvez installer des plugins ou extensions:

  • Adblock ou  AdblockPlus ou Ublock – afin de contrer la publicité, Ublock est moins gourmand niveau ressources
  • Ghostery – pour éviter le pistage
  • Https Everywhere – permet de rediriger les requêtes HTTP vers du HTTPS

 

Vous pouvez également utiliser le navigateur Brave qui par défaut contient toutes ces extensions.

 

4) VPN / TOR

 

Une autre façon de protéger sa vie privée c’est de devenir anonyme. Et pour ce faire vous pouvez utiliser les VPN.

Qu’est-ce qu’un VPN ? C’est un logiciel qui va se connecter à un serveur dans le monde et va créer un tunnel (sécurisé évidement) entre vous et ce serveur. Ainsi lorsque vous visiterez un site par exemple celui-ci ne verra pas votre adresse IP mais celle du serveur VPN.

 

Il existe encore un autre moyen, TOR. C’est un peu plus complexe mais il fonctionne comme un VPN, seulement au lieu de se connecter à un serveur il va se connecter à plusieurs serveurs appelés des nœuds. Du fait qu’il se connecte à plusieurs nœuds la connexion est beaucoup plus lente mais votre anonymat n’en est que plus maintenue.

 

 


IV.   Aller plus loin

1) Vérifier votre compromission

 

Si vous avez un doute ou que vous voulez tout simplement savoir si vos adresses mails font parties d’une liste hacké vous pouvez faire un tour sur ces sites:

 

Si votre mail est listée dans ces sites changer immédiatement de mot de passe et ne réutiliser JAMAIS l’ancien sous aucun prétexte sur aucun compte. Cela signifie que votre mot de passe est dans un dictionnaire qui sera utilisé pour la technique de BRUTEFORCE

 

2) A éviter

 

Voici les choses à éviter (quitte à se répéter):

  • mot de passe faible/simple
  • post-it sur le bureau du mot de passe
  • mot de passe unique pour tous les sites
  • conserver le mot de passe à vie
  • répondre à un mail dont on ne connait pas la provenance et nous demandant de l’argent
  • utiliser le moins possible HTTP
  • ne pas se connecter sur ses comptes (bancaire ou autres) sur un PC qu’on ne connait pas