Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Seize petites habitudes à bannir pour éviter d'être exposé à des risques de sécurité énormes
Lesquelles sont les plus risquées ?

Le , par Michael Guilloux

11PARTAGES

15  0 
Quelles sont les habitudes les plus risquées pour votre sécurité en ligne ?
Avec la sophistication des attaques des pirates informatiques, avoir le minimum de sécurité est aujourd’hui un luxe, mais que tout le monde peut s’offrir, à condition d’avoir du bon sens et d'adopter de bonnes pratiques. De nombreux rapports sur les menaces qui guettent les utilisateurs montrent en effet que ces derniers sont très souvent sollicités, d’une manière ou d’une autre, par les pirates pour exécuter leurs attaques. Ce qui signifie que le comportement de l’utilisateur lui-même peut aider ou bloquer les cybercriminels dans la mise en œuvre de leurs attaques. Quelles sont donc les petites habitudes à bannir pour éviter d’être exposé à des risques de sécurité énormes ? La liste n’est certainement pas exhaustive, mais on peut citer les éléments suivants :

1. Activer Adobe Flash par défaut. Les problèmes de sécurité de Flash ne sont plus à rappeler. Les éditeurs de navigateurs invitent les utilisateurs à fuir Flash comme la peste. Il est donc recommandé de ne pas l’activer sauf si c’est vraiment nécessaire.

2. Utiliser des mots de passe faciles à retenir ou réutiliser le même mot de passe. Traditionnellement, le choix d’un mot de passe résulte d’un arbitrage entre un niveau de complexité acceptable et un mot de passe facile à retenir. Très souvent, les utilisateurs préfèrent un mot de passe facile à retenir, qui peut être également facile à deviner par quelqu’un d’autre. À défaut d’utiliser des mots de passe faciles à retenir, d’autres préfèrent un mot de passe complexe, mais utilisé pour tous leurs comptes, dans le même but de pouvoir s’en souvenir plus facilement. Le risque est que les pirates sont conscients de ce comportement chez les utilisateurs. Quand ils réussissent à trouver un mot de passe pour un compte donné, ils le testent donc sur les différents comptes de l’utilisateur.

3. Stocker ses mots de passe ou informations de carte de crédit dans son navigateur web pour éviter de les saisir à chaque fois. Les navigateurs offrent la possibilité d'enregistrer vos informations dans les formulaires des sites web. Mais pour vos informations sensibles ou mots de passe, il est préférable de ne pas les enregistrer dans le navigateur. D'ailleurs, cela vous permet de les retenir de sorte que si vous utilisez un autre navigateur ou une autre machine, vous n'ayez pas de difficulté à vous connecter à vos comptes.

4. Ignorer ou bloquer les mises à jour, parce qu'elles arrivent toujours au moment où vous avez un travail urgent à terminer. En agissant ainsi, vous laissez vos appareils vulnérables. Les mises à jour ne viennent pas toujours pour ajouter de nouvelles fonctionnalités dont vous n'avez pas nécessairement besoin. La plupart du temps, elles viennent pour offrir plus de protection à votre appareil.

5. Ouvrir les pièces jointes de personnes que vous ne connaissez pas. Personne ne sait ce qui se cache derrière une pièce jointe. Il peut s'agir d'une menace soigneusement conçue pour infecter votre machine. Il faut donc éviter de les ouvrir quand vous ne connaissez pas les expéditeurs. D'ailleurs, même les pièces jointes qui viennent de vos amis ne vous offrent pas de garantie de sécurité à 100 %.

6. Cliquer sur les liens de personnes que vous ne connaissez pas. Les liens sont également l'une des manières les fréquentes de déguiser une menace. Ils peuvent vous rediriger vers des sites compromis où un malware sera téléchargé silencieusement sur votre machine.

7. Transmettre des informations sensibles comme des données de cartes de crédit par email. Aucun service de messagerie n'est sécurisé, même si certains le sont plus que d'autres. Il faut donc avoir en tête que minimiser la quantité d'informations sensibles et de données dans les courriels est nécessaire pour éviter que ces données se retrouvent dans les mains de la mauvaise personne.

8. Activer le contenu d'une macro dans un document MS Word ou Excel dont vous ne connaissez pas l'auteur. Les macros ont été et continuent d'être d'importants vecteurs d'attaques. C'est pour cela qu'un avertissement est donné à l'utilisateur à l'ouverture d'un document qui les contient. Si ne vous ne connaissez pas l'auteur du document, vous devrez donc éviter autant que vous le pouvez d'activer le contenu.

9. Se connecter à des réseaux WiFi publics. On ne peut pas savoir qui peut se trouver sur un réseau public, peut-être un malfaiteur attendant de trouver une proie. Il faut donc éviter autant que possible de se connecter aux réseaux WiFi publics.

10. Accepter toutes les clés USB sur sa machine. La clé USB est un moyen traditionnel pour transférer des fichiers d'une machine à une autre. Mais ce n'est pas seulement les fichiers qui peuvent être transférés, il y aussi les menaces.

11. Laisser son Bluetooth activé et/ou le protéger avec un mot de passe par défaut. Le Bluetooth peut être très facilement piraté. La nature même du média de communication (ondes hertziennes) implique un certain nombre de menaces génériques telles que les écoutes et analyses passives, mais aussi les attaques Man-in-the-middle, qui consistent à intercepter des communications afin de capturer les flux de données entre deux personnes. Il existe également plusieurs failles sur le Bluetooth qui permettent en plus de mener certaines attaques spécifiques. Il est donc nécessaire de n'utiliser le protocole Bluetooth que si nécessaire ; ne pas le laisser activé sans raison ; ne pas laisser son équipement en mode visible ; rejeter toute sollicitation inattendue, mais aussi changer le mot de passe de connexion par défaut.

12. Laisser son WiFi toujours activé, même quand vous ne l'utilisez pas. Les risques ici sont pratiquement les mêmes que ceux auxquels fait face un utilisateur qui laisse son Bluetooth activé alors qu'il ne n'utilise pas. Si le Sniffing permet de rechercher des réseaux disponibles, aujourd'hui, pour de nombreux pirates, cela permet surtout de trouver des réseaux WiFi qu'ils pourront pénétrer de force pour mettre en œuvre leur attaque. Pour ne pas être piégé par un sniffeur de WiFi, la solution la plus simple est de désactiver son WiFi, donc de ne pas le laisser allumé quand vous ne l'utilisez pas.

13. Se connecter à ses comptes à partir d'autres machines. Votre machine est certainement celle à laquelle vous pouvez faire le plus confiance, puisque vous avez plus ou moins le contrôle de ce que vous y installez. Sur une autre machine, ne sachant pas par exemple si un logiciel espion est installé, il faut éviter de se connecter à des sites où vous fournissez des informations personnelles ou données sensibles.

14. Télécharger des applications mobiles sans lire les commentaires et les demandes d'autorisations. Lire les commentaires, mais également les demandes d'autorisations, peut dans certains cas vous éviter l'installation d'un logiciel malveillant ou espion sur votre appareil mobile. Par exemple, une application de torche qui demande un accès à vos contacts. Il n'est pas nécessaire d'être très futé pour savoir qu'il y a quelque chose qui ne tourne pas rond.

15. Fournir ses données personnelles (email, contact, etc.) à un site inconnu pour pouvoir télécharger un super fichier. Certains sites exigent des internautes de fournir des informations personnelles pour télécharger des fichiers. L'utilisateur peut être tenté de le faire si le fichier lui semble intéressant. Dans la plupart des cas, les sites demandent ces informations à des fins marketing, mais des pirates peuvent également avoir recours à cette technique pour récolter des informations pour leurs futures attaques.

16. Essayer de télécharger des logiciels payants sur des sites qui vous les proposent gratuitement. Il peut être plus rentable de dépenser pour un logiciel que de le télécharger gratuitement. En effet, certains sites sont conçus uniquement pour piéger les utilisateurs à la recherche de logiciels payants au coût zéro, en proposant ces produits gratuitement au téléchargement. Dans de nombreux cas, cela peut s'accompagner du téléchargement d'un logiciel malveillant, et souvent, sans avoir le produit lui-même. Cela veut dire que les internautes devraient éviter de visiter les sites torrent. Si certains membres peuvent être animés par la volonté d'aider les autres, ce n'est certainement pas le cas pour tout le monde.

Et vous ?

Quelles sont les habitudes les plus dangereuses ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de kiprok
Membre averti https://www.developpez.com
Le 20/12/2016 à 15:07
Utiliser par défaut un compte admin?
7  0 
Avatar de Tagashy
Membre averti https://www.developpez.com
Le 20/12/2016 à 15:33
On est trolldi sur certain point ???
je pense surtout au points sur la wifi et le bluetooth ...
alors pour la wifi que dire ... a moins d'utiliser le WEP le conseil est useless et encore si on utilise WEP il est possible de cracker le mot de passe sans client de connecter a l'AP en moins de 5 minute et pour le WPA et WPA2 il n'y as pas d'IV (Initialisation Vector) donc pas de partie statique donc c'est comme dire portez un chapeau en aluminium pour évitez le contrôle mental ... enfin le rédacteur est peut être un utilisateur de tinfoil linux je ne vais pas jugez
ensuite l'auteur semble laissez envisager qu'il s'agit de trouver des communications entre l'AP et le client pour trouver le SSID, mais dans ce cas il faut déjà commencer par désactiver le broadcast du SSID qui est activer par default. et pour ceux qu'il se dise que oui mais on peut me bruteforce sur du WPA (pas la version 2) j'avais fait un test avec un bon pc (I7 3,4GHZ, 16GB de ram, une carte graphique a 6gb de vram) en utilisant la puissance du GPU un mot de passe de plus de 8 caractères = 1 ans de bruteforce donc autant dire que c'est une bonne blague, la wifi est sécuriser.
pour le bluetooth faut bruteforce le pin et avec la distance réduite pour le bluetooth, on va vite voir quelqu'un qui nous suis pendant un bout de temps avec un pc le ventilo a fond...
par contre pour tous les autres point je suis d'accord
6  0 
Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 20/12/2016 à 17:14
Il y a des conseils qui relèvent du simple bon sens et qui sont très faciles à appliquer (ne pas appliquer le wifi si on ne l'utilise pas, ne pas cliquer sur les fichiers inconnus, etc) et d'autres quasi inapplicables. Vous imaginez, utiliser et mémoriser plusieurs, genre une quinzaine, de mots de passe genre E#4z-Kr1$, tous différents ? C'est proprement impossible.
4  0 
Avatar de edoms
Membre régulier https://www.developpez.com
Le 21/12/2016 à 17:37
Citation Envoyé par Traroth2 Voir le message
Vous imaginez, utiliser et mémoriser plusieurs, genre une quinzaine, de mots de passe genre E#4z-Kr1$, tous différents ? C'est proprement impossible.
Pourquoi utiliser des mots de passe impossibles à retenir aussi ?

En se basant sur https://howsecureismypassword.net pour estimer la robustesse d'un mot de passe :

Exemple pour Facebook : "J'adore boire du thé sur Facebook!" (31 octodecillion years to crack)
Exemple pour Gmail : "Google lit mes mails en pantoufles" (694 tredecillion years to crack)

Bref, https://xkcd.com/936/
4  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 21/12/2016 à 19:07
Citation Envoyé par stigma Voir le message
Comme dit RizenOC, éviter les disquettes
Sa existe encore, toutes les vielles machines relier à un vieu pc car les nouveaux OS n'ont pas de pilotes compatible.
Dans un labo de biologie il'y a 2 ans j'ai vue une machine relié à un IBM/PC avec des diskettes 5 pouces ! et ils sont très embêtée car la machine vaut plusieurs milliers d'€ et ils trouvent de moins en moins de diskettes 5 pouces...
Ils codent en PL/1, mette le programme sur la diskette et insère la diskette dans la machine pour exécuter le programme.
3  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 20/12/2016 à 16:51
Pour moi le bluethooth est fiable. Pour pouvoir hacker une machine faudrait que le pirate se trouve à moins de 10M de la machine, pas très discret quand meme
3  1 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 21/12/2016 à 9:53
Citation Envoyé par Tagashy Voir le message
On est trolldi sur certain point ???
je pense surtout au points sur la wifi et le bluetooth ...
alors pour la wifi que dire ... a moins d'utiliser le WEP
La recommandation n'est pas très claire. Pour moi le risque n'est pas de laisser un point d'acces wifi ouvert (tant qu'il n'utilise pas du WEP) mais de laisser le wifi activer sur son smartphone. Cela peut entrainer une connexion non voulue sur un point d'accès malveillant (attaque de type rogue AP)

Un smartphone avec le wifi activé va envoyer des requêtes (probe requests) avec le SSID de chaque point d'acces connus jusqu'a ce qu'un de ces points d'acces lui réponde. Dans ce cas la il s'associera avec le point d'accès qui lui aura répondu. Il suffit à un attaquant d'ecouter les paquets wifi pour d'une part savoir que tu as enregistré le wifi de ta boxe de la marque X, le wifi du mcDo et celui de la gare du coin, mais aussi de monter un point d'acces diffusant un des SSID que le smartphone connait, provoquant l'association du smartphone avec le point d'acces malveillant. L'attaquant n'a plus qu'a sniffer les communications.

Citation Envoyé par Tagashy Voir le message

pour le bluetooth faut bruteforce le pin et avec la distance réduite pour le bluetooth, on va vite voir quelqu'un qui nous suis pendant un bout de temps avec un pc le ventilo a fond...
par contre pour tous les autres point je suis d'accord
Je suis actuellement dans le bus, 50personnes dans un rayon de 10m qui ne bougeront pas pendant un long moment. Il y a de quoi faire
2  0 
Avatar de ouistitis
Membre actif https://www.developpez.com
Le 22/12/2016 à 9:12
Bonjour tout le monde.

Il y a aussi, sous Windows : laisser l'exécution automatique des médias (clé USB, DVD, CD-ROM).

Et sous Android : laisser l'option "installation à partir de sources inconnues" activée tout le temps.
2  0 
Avatar de fenkys
Membre éprouvé https://www.developpez.com
Le 02/01/2017 à 21:31
Comment on fait pour couper son wifi domestique ? C'est bien beau de dire de le desactiver, mais encore faut il pouvoir. Par exemple, avec une freebox il faut :
- se connecter a son compte perso sur le site web de free
- desactiver le wifi
- relancer la freebox a un moment ou ta fille ne regarde pas Hannah Montanna (et oui, la freebox sert aussi pour la télé).

Et pour le relancer, il faut
- espérer que tu as un cable réseau qui traine quelque part vu que ton ordi ne peut plus se connecter à ton compte free sur le site web
- espérer que Windows va reconnaitre le réseau du premier coup
- se connecter sur son compte perso
- reactiver le wifi
- relancer la freebox

Et tout ca pour désactiver un système qui ne passe au dela de dix mètres (je sais j'ai essayé). Je pense que si quelqu'un s'introduisait dans le jardin, affrontait le massif de ronce et s'installait sous ma fenêtre pour capter le wifi, je le remarquerai.
2  0 
Avatar de Songbird
Expert confirmé https://www.developpez.com
Le 20/12/2016 à 22:19
Salut,
toujours utilise flash jamais eu le moindre pépin
Ca c'est un sophisme. Ce n'est pas parce que tu n'as jamais eu de soucis avec flash que les failles exploitées n'existent pas.
Dans l'article il n'est pas question d'utiliser flash, mais bien de l'activer en permanence même lorsque l'on visite des sites qui n'en ont pas forcément besoin.

Par contre, je ne sais pas si Chrome lit les vidéos avec flash ou directement avec un lecteur html5. (pour la dernière version stable 55)

EDIT: Je suis viens d'aller voir (chrome://plugins), et effectivement chrome empêche l'exécution systématique de flash.

1  0