Comment se protéger efficacement contre les cybercriminels ?
Dix conseils pour les particuliers

Le , par Michael Guilloux

0PARTAGES

7  0 
Comment se protéger efficacement contre les cybercriminels ?
L’internet est aujourd’hui l’une des choses les plus accessibles au monde. Malheureusement, les menaces en ligne se multiplient et avec le nombre croissant d’amateurs connectés, les mesures de sécurité de base sont négligées. La cybercriminalité devient une activité rentable et attire donc de plus en plus de pirates. En tant que particuliers, comment s’en protéger efficacement ? En allant des mesures les plus basiques -- qui reposent sur la stratégie de mot de passe et l’utilisation d’antivirus -- aux mesures les plus complexes comme sécuriser sa connexion Wi-Fi ou chiffrer ses données, on peut citer de manière non exhaustive les mesures de protection suivantes :

1. Créer un mot de passe fort et unique pour chaque compte. Le mot de passe est le premier moyen pour protéger ses comptes et données. Encore faut-il choisir un mot de passe suffisamment fort qui ne va certes pas rendre impossible tout piratage, mais va contribuer à rendre la tâche plus difficile pour le pirate. Il est également recommandé d'utiliser un mot de passe unique pour chaque compte, ce qui permet, en cas de piratage, de limiter le risque au seul compte qui est piraté.

2. Changer fréquemment de mots de passe. Outre le fait d’utiliser un mot de passe fort pour chaque compte, il est également possible de reposer sur le changement fréquent de mot de passe pour déjouer les attaques des cybercriminels. C’est d’ailleurs une mesure qui est très fréquente au sein des entreprises. En plus, en fonction de la fréquence de changement de mot de passe, vous pourrez vous contenter d’utiliser un mot de sécurité moyenne et donc pas trop difficile à retenir. Toutefois coupler le changement fréquent de mots de passe à l’utilisation de mots de passe forts offrent plus de protection.

3. Utiliser un gestionnaire de mots de passe. Un mot de passe complexe est l’idéal, mais s'il faut avoir un mot de passe complexe pour chacun compte et de surcroit devoir les changer régulièrement, cela devient très difficile à gérer. D'ailleurs, certaines études ont montré que le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés, parce qu’ils poussent les utilisateurs à arbitrer entre un mot de passe fort et un mot de passe facile à retenir. Dans ce cas, le gestionnaire de mot de passe peut s’avérer très utile. Et même si vous utilisez un mot de passe fort, si votre appareil est infecté par un spyware, cela ne vous sert à rien. Les gestionnaires de mots de passe vous permettent non seulement de vous connecter à des sites Web en un seul clic, mais encore de générer des mots de passe aléatoires sécurisés. Le fait que vous n'aurez pas à saisir de mots de passe manuellement limite en plus le risque de vol.

4. Chiffrer ses fichiers et partitions. Le chiffrement est une manière simple et efficace de protéger vos données confidentielles. La plupart des systèmes d’exploitation proposent une fonction de chiffrement du disque entier, qui peut vous permettre de chiffrer automatiquement les données sur disque dur ou clé USB. Sous Windows, vous avez par exemple BitLocker qui fournit le chiffrement de partition. Il y a également VeraCrypt, un logiciel de chiffrement à la volée qui fonctionne sous Windows, Mac et Linux.

VeraCrypt permet de créer un disque virtuel chiffré contenu dans un fichier. Si ce fichier tombe entre de mauvaises mains, vous pouvez être rassurés que vos fichiers ne pourront pas être récupérés. Et lorsque vous avez besoin de travailler avec votre partition, il vous suffit de la monter avec VeraCrypt sous la forme d'un disque physique réel. VeraCrypt peut aussi chiffrer une partition entière ou un périphérique externe (disquette ou clé USB) et le chiffrement est automatique, en temps réel et transparent.

5. Éviter les Wi-Fi publics. C'est une mesure de sécurité qu'il faudrait observer si possible. Le Wi-Fi public n'est pas forcément sûr et vous ne savez pas qui est sur le réseau, ce qu'ils pourraient faire, ou ce qu'ils sont capables de faire. Certaines personnes peuvent se connecter à un Wi-Fi public juste pour attendre l'occasion de voler des informations précieuses comme des données de carte de crédit. Pour certaines activités sensibles, comme se connecter à une banque en ligne ou faire du shopping en ligne, le mieux serait de le faire à partir d'une connexion sécurisée.

6. Installer une clé WPA 2 sur son réseau Wi-Fi. En parlant de Wi-Fi sécurisé, il est recommandé d'utiliser une clé WPA 2 au lieu du WEP et du WPA, qui offre une meilleure protection que le WEP. Une clé WPA 2 ne rend toutefois pas impossible de pirater votre connexion, mais rend le piratage plus difficile.

7. Bien choisir son pare-feu et son antivirus. Aucun système n'est inattaquable, ce n'est qu'une question de temps. Ainsi, toutes les mesures qui visent à renforcer la sécurité du système sont nécessaires, et avoir un bon pare-feu et un antivirus efficace font partie de ces mesures. Le pare-feu est une sorte de filtre qui permet de bloquer certaines connexions entrantes et sortantes. Pour entrer dans un ordinateur, un pirate informatique cherche donc une faille dans le pare-feu. S’il arrive à s'infiltrer, un bon antivirus pourra encore l'empêcher de nuire. Il faut encore noter que les antivirus aujourd'hui ne se contentent plus d'offrir les fonctionnalités de protection de base, mais aussi des fonctionnalités avancées comme un antispyware, la protection des achats en ligne, et bien d'autres. De manière logique, pour un fournisseur d'antivirus donné, les produits payants sont bien plus performants que les gratuits. Les premiers sont donc recommandés. Mais dans le pire des cas, il faudrait se doter d'un antivirus gratuit plutôt que de laisser sa machine sans protection.

8. Mettre régulièrement ses appareils et antivirus à jour. Vos différents appareils (smartphones, tablettes, PC) demandent régulièrement d'installer des mises à jour. Si elles peuvent parfois être agaçantes, les mises à jour sont un moyen pour les fournisseurs de corriger certaines failles de sécurité dans leurs produits. C'est également valable pour les logiciels antivirus, qui sont complètement inutiles sans la mise à jour des définitions de virus. En mettant régulièrement vos appareils et logiciels antivirus à jour, vous rendez la tâche des pirates un peu plus difficile. Effectuez donc autant de mises à jour que possible pour les appareils connectés à un réseau.

9. Fermer sa webcam avec du ruban adhésif. Une mesure peut-être paranoïaque, mais préconisée. Une webcam piratée peut permettre à un pirate d’observer patiemment sa cible en attendant de capturer des photos ou vidéos qu’il pourrait utiliser par exemple pour lui extorquer de l’argent. L’espionnage à travers les webcams est une pratique est de plus en plus fréquente. Quand vous n’utilisez pas votre webcam, la fermer avec du ruban adhésif peut donc être utile. D’ailleurs, c’est ce que recommande le directeur du FBI, James Comey.

10. Faire preuve de bon sens. Même si vous respectez rigoureusement toutes les autres mesures de sécurité, cela peut ne pas suffire à vous offrir une protection parfaite contre les cybercriminels si encore vous manquez de faire preuve de bon sens. Le bon sens peut être votre meilleure défense contre les cybercriminels. Ces derniers peuvent utiliser de nombreuses techniques d'ingénierie sociale pour vous emmener à leur fournir des informations confidentielles ou extorquer de l’argent. Par exemple, pour un e-mail vous demandant vos données bancaires, même si tout semble indiquer que l'email provient de votre banque, n'hésitez pas à la contacter pour en savoir plus.

Il y a aussi les arnaques de faux support technique, où un individu se fait par exemple passer pour un technicien de Microsoft et demande à accéder à distance à un ordinateur. En 2014, Microsoft a porté plainte contre la firme Omnitech Support, pour usurpation du nom de Microsoft dans le cadre de la fourniture de services de faux support technique, par exemple pour convaincre les clients que leurs PC sont infectés par des virus afin de leur vendre des services de sécurité sans valeur pour nettoyer leurs ordinateurs.

Et vous ?

Comment se protéger efficacement contre les cybercriminels ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Tintwo
Membre à l'essai https://www.developpez.com
Le 25/11/2016 à 11:48
Quelques rectification s'imposent :

1-2-3) petit rappel simple concernant la construction d'un mot de passe complexe ET facile à retenir : http://xkcd.com/936/

Bien à vous, et le bon sens est le principal (ainsi que le sens critique, mais ça, c'est une autre histoire) ^^
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 25/11/2016 à 13:06
Dire que ces conseils permettent de se protéger efficacement contre les cybercriminels, c'est juste une vaste rigolade!!!

Les cybercriminels n'utilisent pas comme moyen privilégié le passage par la "porte principale en découvrant la clé laissée négligemment dans le pot de fleur devant la porte"!!!

Est-ce que l'auteur de ces conseils a déjà entendu parler des "failles de sécurité" qui foisonnent dans tous les systèmes qu'ils soient hardware ou software??? Et là, même les pro sont désarmés...

L'accès au moyen d'un mot-de-passe volé, c'est juste bon pour les apprentis cybercriminels
Avatar de Carhiboux
Expert éminent sénior https://www.developpez.com
Le 25/11/2016 à 14:37
Citation Envoyé par Tintwo Voir le message
Quelques rectification s'imposent :

1-2-3) petit rappel simple concernant la construction d'un mot de passe complexe ET facile à retenir : http://xkcd.com/936/

Bien à vous, et le bon sens est le principal (ainsi que le sens critique, mais ça, c'est une autre histoire) ^^
+1

Il vaut mieux un mot de passe long et "facile" à retenir qu'un mot de passe de 8 caractères difficile à retenir et plus facile à brute-forcer.

De même, je ne suis pas convaincu de la pertinence de changer régulièrement de mot de passe. Dans 90% des cas, je suis sur que les gens utilisent un incrément, soit numérique, soit lié au clavier. Donc une fois le mot de passe connu, il suffit que tester quelques variations pour trouver le nouveau. Mieux vaut donc avoir une passphrase qui soit longue mais dure à bruteforcer.
Avatar de maelstrom
Membre régulier https://www.developpez.com
Le 25/11/2016 à 16:00
Afin d'avoir un mot de passe encore plus sûr (plus que Maj+min+chiffre+ponctuation) on peut aussi rajouter un ou plusieurs alt code dans le mot de passe. Il me semble avoir lu que cela rendait les mots de passe beaucoup plus difficile à "cracker", bon en désavantage ils sont difficile à rentrer sur un smartphone.
Avatar de Falquiero
Membre régulier https://www.developpez.com
Le 25/11/2016 à 16:07
Citation Envoyé par NSKis Voir le message
Dire que ces conseils permettent de se protéger efficacement contre les cybercriminels, c'est juste une vaste rigolade!!!

Les cybercriminels n'utilisent pas comme moyen privilégié le passage par la "porte principale en découvrant la clé laissée négligemment dans le pot de fleur devant la porte"!!!

Est-ce que l'auteur de ces conseils a déjà entendu parler des "failles de sécurité" qui foisonnent dans tous les systèmes qu'ils soient hardware ou software??? Et là, même les pro sont désarmés...

L'accès au moyen d'un mot-de-passe volé, c'est juste bon pour les apprentis cybercriminels
On parle ici de conseils pour les particuliers. Que vous le vouliez ou non le particulier n'a pas le contrôle sur son hardware/software (sauf le maintien à jour dudit logiciel), et la porte d'entrée utilisée la plus souvent par les cybercriminels est bien celle ouverte par la victime elle-même (social engineering) qu'une autre. Efficaces oui. Parfaits non.

Si votre seul conseil pour parer les failles est d'inciter les particuliers à construire eux même leurs machines, développer leurs logiciels et d'inventer leurs protocoles, abstenez vous. Le sujet n'est pas là
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 25/11/2016 à 17:20
Citation Envoyé par Falquiero Voir le message
On parle ici de conseils pour les particuliers. Que vous le vouliez ou non le particulier n'a pas le contrôle sur son hardware/software (sauf le maintien à jour dudit logiciel), et la porte d'entrée utilisée la plus souvent par les cybercriminels est bien celle ouverte par la victime elle-même (social engineering) qu'une autre. Efficaces oui. Parfaits non.

Si votre seul conseil pour parer les failles est d'inciter les particuliers à construire eux même leurs machines, développer leurs logiciels et d'inventer leurs protocoles, abstenez vous. Le sujet n'est pas là
Cher Falquiero, votre approche "donneur de leçon" est particulièrement déplacée d'autant plus lorsque l'on se présente comme étant un "étudiant" et que clairement l'on ne sait pas de quoi on parle... Alors n'hésitez surtout pas à poursuivre vos études tout en gardant un minimum de respect pour vos interlocuteurs...
Avatar de Falquiero
Membre régulier https://www.developpez.com
Le 25/11/2016 à 20:55
Citation Envoyé par NSKis Voir le message
Cher Falquiero, votre approche "donneur de leçon" est particulièrement déplacée d'autant plus lorsque l'on se présente comme étant un "étudiant" et que clairement l'on ne sait pas de quoi on parle... Alors n'hésitez surtout pas à poursuivre vos études tout en gardant un minimum de respect pour vos interlocuteurs...
Salut grand sage

Ad hominem dans toute sa splendeur.

C'est votre propos qui est déplacé. Quand on "se donne du mal" pour produire un article, la moindre des chose pour le lecteur est de saisir à peu près le propos, et à défaut, ne pas répondre à coté en méprisant l'auteur.
Avatar de Lyons
Membre éclairé https://www.developpez.com
Le 26/11/2016 à 4:54
Mouais je ne suis pas fan de l'approche consistant à proposer les gestionnaires de mot de passe comme solution ultime.
Gestionnaire en ligne : Pas confiance.
Gestionnaire en local : Tu perds ton ordi, tu perds tout (idem si tu veux te connecter depuis un terminal inhabituel).
D'autant que les particuliers peu informés risquent de combiner gestionnaire + mot de passe faible donc trouver un mot de passe suffit à tous les avoir
Après ça reste mieux que de mettre 'password' ou '123456' comme mot de passe...

Pesonnellement je retiens tous mes passwords, ce que j'oublie plus souvent par contre c'est mon nom d'utilisateur (ou alors ça m'arrive de me rappeler des passwords mais pas des services auquels ils sont associés, mais complètement oublier un password je crois que ça ne m'ai jamais arrivé)
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 26/11/2016 à 7:35
Citation Envoyé par NSKis Voir le message
Cher Falquiero, [...] d'autant plus lorsque l'on se présente comme étant un "étudiant" [...]
Je rajouterai que l'argument de l'étudiant est une association dégradante qui ne prouve rien de sa capacité à raisonner. Argument à éviter donc.

Pour ce qui est de la connexion, que pensez-vous de ce processus ?
- Utilisation de mots de passes aléatoires jetables :
https://www.grc.com/passwords.htm
- Les mots de passe ne sont ni mémorisés, ni stockés
- Quand on se retrouve déconnecté, on utilise le lien "mot de passe oublié" pour générer un nouveau mot de passe (lien envoyé par e-mail) et se reconnecter

Pour que cela fonctionne, il faut avoir une boîte mail bien sécurisée. Pour cela, on en utilise 2, chacune avec un mot de passe aléatoire aussi, mais chacune étant configurée pour envoyer son e-mail de RAZ de mot de passe sur l'autre. Comme ça, quand on est automatiquement déconnectée de l'une, on utilise l'autre pour se reconnecter (toujours au travers de l'oubli de mot de passe).

Avantages :
- un générateur de mot de passe fiable sur lequel on peut faire du copier-coller, ça s'utilise facilement
- mots de passes cryptographiquement forts
- mots de passes uniques car générés à chaque fois
- mots de passes changés régulièrement (sans pousser à la simplification car nul besoin de mémoriser)
- aucun besoin de gestionnaire de mot de passe, donc pas besoin de critères de confiance autre que les 2 boîtes mails

Inconvénients :
- nécessite de gérer 2 boîtes mail
- il faut utiliser les 2 boîtes mails régulièrement, sinon risque que la boîte de secours soit déconnectée depuis longtemps quand la boîte principale se retrouve aussi déconnectée
- fournir son adresse e-mail à chaque site pour pouvoir utiliser le lien de mot de passe oublié
- c'est un peu plus long que de fournir un mot de passe mémorisé
- ça ne marche pas pour tout (e.g. mot de passe pour se connecter à Internet : pas accès à la boîte mail tant que pas connecté, donc impossible de RAZ le mot de passe)
- si on accède au site depuis plusieurs PC, chacun avec sa session, et que le site supprime les sessions en cas de changement de mot de passe, ça force à se reconnecter à chaque fois qu'on change de machine (certains offrent une checkbox lors du RAZ, ce qui est pratique pour éviter ça)

Si on a déjà 2 comptes qu'on utilise régulièrement, les 2 premiers inconvénients n'en sont pas. Et l'e-mail étant de plus en plus souvent utilisé comme identifiant, il est fourni d'office au site, on n'a donc pas vraiment le choix (sinon de ne pas utiliser le site en question). On peut critiquer que ça centralise la sécurité sur les e-mails, mais si l'e-mail est souvent fourni aux sites ce processus n'y change rien, le mal est déjà fait car le lien d'oubli de mot de passe est déjà exploitable. On peut par contre critiquer qu'il suffit de cracker 1 des 2 boîtes pour avoir accès aux deux, donc on double les chances de succès, mais comme on n'a pas de gestionnaire de mot de passe, on réduit d'autant la surface d'attaque. C'est aussi à mettre en face de mots de passes forts, uniques, et régulièrement changés, ainsi que d'une réduction du risque car les mots de passes des sites sont tout aussi forts et non partagés.

NB : Faire attention quand on a 2 boîtes mails chez le même fournisseur. Si on se fait déconnecter en même temps sur les 2 boîtes, on est coincé. Donc obligé de sauvegarder le mot de passe d'au moins 1, donc passage par un gestionnaire de mot de passe quand même. Mais vu qu'on n'en a besoin que rarement (1 seul mot de passe aléatoire à gérer) on peut prendre un gestionnaire bien sécurisé et lourd à utiliser, style sur clé USB séparée.

En bref, à moins qu'on se refuse à utiliser 2 boîtes mails ou à fournir son e-mail, je trouve que c'est une méthode plutôt simple à utiliser (le RAZ devient vite une habitude) et avec des inconvénients plutôt restreints. Autrement dit utilisable dans la plupart des cas. Il ne s'agit plus que de gérer ses mots de passes pour les quelques cas qui ne passent pas.
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 26/11/2016 à 10:40
Changer régulièrement de mot de passe n'est pas un gage de protection, au contraire c'est même pire dans de nombreux cas...
Quand on change souvent de mot de passe on utilise généralement deux solutions :
- le coffre fort numérique pour stocker les mots de passe générés aléatoirement => si le coffre fort est corrompu c'est raté... Or aucune protection n'est inviolable.
- on utilise un motif pour changer facilement de mot de passe et s'en souvenir => le motif génère une faiblesse non négligeable dans le mot de passe

La seule bonne raison de changer régulièrement de mot de passe est de générer des mots de passe totalement différents à chaque fois et d'avoir une excellente mémoire...
Or c'est pas le simple quidam qui fait ça.
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web