mardi 10 septembre 2024

Cyber Sécurité - Les réflexes de base !




Salutations Camarades ! Aujourd'hui , on se propose de parler de Cybersécurité. On va essayer d'être le plus précis possible à travers 23 points répartis en 11 catégories. Cet aspect n'est plus un truc réservé aux "Nerds", c'est devenu clairement un pilier centrale de nos vies maintenant que nos identités numériques nous suivent partout dans la poche… Alors sans transition , voyons ensemble les différents points Essentiels qu'il vous faut impérativement travailler si vous voulez éviter les drames… La majorité de ces conseils concernent un usage personnel. Mais certains points sont malgré tout compatible avec un usage professionnel.

En Bleu , les conseils pour PC exclusivement.
En Orange , les conseils pour Smartphone et PC.



1 - Les Sauvegardes, les Backups des Dossiers Vitaux

Tout premier Point , pensez régulièrement à faire une sauvegarde des dossiers Documents and Settings de votre ordinateur (c:\user\VOTRE-COMPTE\AppData et/ou c:\user\VOTRE-COMPTE\Roaming , affichez les dossiers cachés pour le voir) sur un support externe isolé (Disque Dur / Nas / Clé Usb en multiple exemplaire de part leur fragilité) ou bien sur un Drive (Microsoft OneDrive le propose par défaut si vous utilisez Windows 10 ou Windows 11 en compte Online). Vous pouvez analyser ces dossier pour ne pas en récupérer la totalité , mais pensez à le faire malgré tout , c'est souvent ici , et dans le dossier "Téléchargements" que l'on retrouve tout ce que l'on fait sur le PC.



2 - Les Sauvegardes, les Backups des Vidéos et Photographies

Effectuez régulièrement un Backup des Médias privés que vous aimez tant (famille amis) sur des Supports Externes (Différent de votre Téléphone , il n'est pas éternel !) et multipliez ces sources de protection. Pensez à un Drive (Google Drive , Microsoft OneDrive mais n'oubliez pas qu'ils sont très limités dans leur version Gratuites , rarement plus de 5 ou 10 Gigas. Pensez alors à d'autre méthodes si vous ne voulez pas payer. D'autant plus qu'il est commun de se croire protégé avec l'application Google Photo par exemple , alors que l'icone en haut à droite de l'application Smartphone ne synchronise plus aucune photo depuis des semaines , son cercle blanc indicateur reste bloqué, nous laissant dans l'illusion d'un Backup de qualité , alors qu'on a plus rien... Au sujet de Google Photo justement , vous pouvez par exemple sélectionner la qualité "Optimisé" pour prendre moins de place sur ce support dans sa version gratuite. Les Photos conservés seront limités en 2000x2000 Px maximum , mais c'est le plus souvent largement suffisant pour nos usage et nos souvenirs.) et/ou un support NAS. Evitez les Disques Durs internes de votre Ordinateur , ils ne sont pas infaillibles. Une perte de partition sur un Windows ou un Bios Capricieux est vite arrivée, une fausse manipe de IRST (Intel Rapid Storage par exemple) peut supprimer l'intégralité d'un Disque en quelques secondes pour une erreur humaine si basique... Privilégiez un Disque Dur Externe dans un Tiroir , des clés USB ou tout autre chose. Attention , les CD Gravés ont une durée de vie faible.



3 - Les Mises à jours des Logiciels

Pensez à Mettre à jour Windows ainsi que vos logiciels fragiles le plus souvent (Drivers Graphiques / Windows Update), prenez cette habitude au moins une fois par mois...

Pensez à installer une version de Windows sécurisé ! (évitez les versions dites "Lites" créées par des utilisateurs qui voulaient éviter les Mouchards de Microsoft , ces versions là proposent souvent leur propre Mouchards dont l'objectif ne sera plus du tout de vous pister pour les publicités , mais plutôt pour "vos cartes bleus !") D'autant plus que ces versions soi-disant plus légères suppriment parfois , croyant bien faire, certains organes de sécurité essentiels. Bref , prenez une version de Windows Normale (10 ou 11 au moment où j'écris ces lignes). Eventuellement Linux aussi , mais je ne pense pas qu'il s'agisse là du cœur de mes lecteurs.

Pensez également à utiliser une version de votre Smartphone Officielle (éviter les Rom Custom en Root sauf si vous savez parfaitement ce que vous faites. En tout cas , n'installez aucun PassKey ou double Authentification sur un Rom Custom…).

Pensez aussi à effectuer les Mises à jour de votre Téléphone , que ce soit par Google Play Store ou par les Paramètres du téléphone. Evitez aussi les Applications qui ne proviennent pas du Google Play Store officiel , sauf si l'APK provient d'une source sure ...



4 - AntiMalwareByte , Scan AV , Modules TPE et autre Isolation du Noyaux

Pensez à utiliser AntiMalwareBytes de temps en temps sur votre Ordinateur Windows pour vérifier si vous avez des Malwares inattendus. C'est essentiel pour éviter les RansomWares. Attention , ce logiciel ne se lance pas "automatiquement" si vous disposez de sa version gratuite. Il faut donc penser à l'utiliser manuellement. Pensez aussi à jeter un œil à l'onglet "DarkWeb" pour vérifier si un de vos vieux Mot de Passe aurait été divulgué sur les réseaux troubles et le changer au besoin !

Pensez à lancer un Scan Antivirus depuis votre Soft. Windows Defender suffit le plus souvent , pour un usage privé. Couplé avec AntiMalwareBytes de temps en temps , vous ne devriez pas courir de grand risque. Si toutefois , vous respectez bien les autres points de ce Tutoriel.

Pensez également à activer un Module TPE (réclamé pour l'installation de Windows 11 mais non obligatoire depuis les version 23H). on peut l'activer depuis le Bios de son ordinateur. Mais vous pouvez contrôler sa présence très facilement depuis les Paramètres de Windows (Tapez TPE dans la barre de recherche de ces paramètres).

Et surtout , activez l'Isolation du Noyau dans les Paramètres Windows de la même facon. A partir des Recherches Paramètres. Attention , toutefois , le SSD Caching (voir mes autres tutos) sont incompatibles avec l'isolation du noyau (PrimoCache provoque un écran bleu). A vous de voir alors ce que vous préférez (Sécurité ou Rapidité). En fonction du type d'ordinateur que vous utilisez , les réponses ne seront peut être pas si évidentes ...

Lien vers AntiMalwareBytes Install.




5 - Les PassKeys et les Doubles Authentifications (2FA ou MFA)

Les PassKeys deviennent la norme , et heureusement ! Ces méthodes dont les noms varient (clé de sécurité , PassKey , etc ...) sont un des moyens les plus inviolables qui puisse exister aujourd'hui. Ils permettent de récupérer l'accès à votre Compte quel qu'en soit le type de Piratage que vous auriez subit. De plus , il ne peut être supprimé du compte que depuis le terminale où il a été créé. Impossible donc pour un Pirate de vous le retirer si jamais il accède à votre profile. Je vous encourage vraiment à installer un PassKey sur les 5 Comptes principaux GAFAM (Google / Amazon / FaceBook / Apple / Microsoft). Malheureusement , Windows 10 ne permet pas toujours de le mettre en place (Les Codes QR qui permettent d'associer votre téléphone à votre ordinateur ne s'affichent généralement que sur Windows 11). Mais qu'importe , vous pourrez au moins mettre en place la Double Authentification… 
Alors oui , je sais , la Double Authentification par SMS n'est pas inviolable , un bon Hacker réussirait à la déjouer avec quelques opérations supplémentaires. Mais en réalité c'est différent , un Hacker ne va pas "s'obstiner" sur votre cas , il dispose d'un Listing de plusieurs Milliers de comptes fragiles et va tenter d'accéder à tous en même temps. Si l'un d'entre eux présente une double authentification (par SMS ou par Application) , il ne va simplement pas batailler et passer au suivant sur sa liste. Statistiquement , une double Authentification par SMS vous protège véritablement. Ainsi , pensez à l'activer PARTOUT où c'est possible , c'est probablement un des points les plus importants de ce Tuto…



6 - Les Cartes Bleus associés aux Sites Commerciaux

Si par malheur on vous pirate un compte et que celui ci est lié à une activité commerciale (Amazon , CDiscount , RueDucommerce ... etc.) , il y a fort à parier que le Hacker ira directement vérifier si vous avez une carte bleue associé au compte , et si c'est le cas , il ira faire ses emplettes au frais de la princesse pour les faire livrer dans une adresse tampon. Bref , ca sera pas évident de récupérer la somme auprès de votre banque (qui rappelons le , n'est absolument PAS obligée par la loi de vous rembourser , quel qu'en soit le type de piratage). Ainsi , le meilleur conseil que l'on puisse donner , c'est de ne JAMAIS associer de carte bleue. Si c'est le cas , pensez à la retirer et la remettre à chaque fois. Bien sure , il existe une exception pour les Sites à Abonnement mais dans ce cas de figure , le Pirate ne pourras pas réutiliser votre carte pour son usage personnel , donc , ca ira. (exemple NetFlix qui d'ailleurs , pour rappel , ne propose aucune autre sécurité que le Mot de Passe , quelle honte ... Mais bon , bref , en tout cas , pensez régulièrement à déconnecter les comptes à distance qui y seraient connecté depuis l'interface et changez le MDP de temps en temps , c'est la seule solution avec ce site aux méthodes de CyberSécurité ridiculement archaïques).

Autre chose , qui me semble important à souligner. Dans la mesure du possible , évitez de payer sur un site internet depuis un Smartphone , privilégiez un PC dont la sécurité (qui respectera tout les points mentionnés ici) est validé. Un Smartphone peut être utilisé pour payer avec GooglePay , ApplePay ou tout autre système Biométrique associé (Comme Société Général Pay NFC) , mais sur un site internet , depuis un Smartphone , la sécurité est nettement moins grande que sur votre PC. Les APK externes par exemples sont bien plus sournois... Voilà.



7 - L'usage des Emails (Liens URL et Pieces Jointes)

Bien sure , c'est un des points avancé le plus souvent car c'est la première fragilité d'un compte (Sachant que toutes les modifications de Mot de Passe utilisent une adresse mail , souvent la même, il est Cruciale que votre Adresse Mail Primaire, celle que vous utilisez le plus, soit sécurisé au maximum , revérifiez le point N°5 au sujet des PassKey à ce sujet là). Un des points les plus importants , quand on parle de Mail , c'est de ne JAMAIS cliquer sur un lien URL depuis un Mail. Pas même si cela vous semble pertinent (N'oubliez pas que maintenant , avec un peut d'IA , il est facile pour un Hacker de générer des Mails personnalisés en utilisant des informations très personnelles récupérés sur d'autre sources fragiles comme votre nom ou votre adresse). Ainsi , voici comment il convient de procéder si un mail attire votre attention, par exemple , si c'est écrit "Direction Général des Finances , cliquez ici pour accéder à votre compte" ne cliquez pas. Contentez vous de vous rendre directement sur Google , puis de taper "Direction Général des Finances" puis de cliquer sur le lien affilié correspondant depuis le navigateur , mais JAMAIS depuis le mail. En d'autre terme , reproduisez manuellement le chemin qui vous est soi-disant "simplifié" par le mail. Evidement , ce conseil ne s'applique pas quand le Mail était attendu et valable de manière éphémère (comme les Validations de Création de compte qui réclament un Click sur un lien). Mais dans ce cas de figure , vous serez probablement de vous même devant votre boite de réception avant même que le mail ne s'affiche , entrain de l'attendre volontairement. Ca n'est pas la même situation… 

Au delà de cela , évidement , ne cliquez JAMAIS sur une pièce jointe , SAUF si la personne qui vous l'a proposé vous l'a annoncé AVANT (genre un Proche , un ami qui vous envoi un document). Même si d'autre méthodes sont à privilégier (comme les Drives) , il est envisageable de passer par un mail. Mais avant cela , assurez vous de la source (passez un coup de fil après tout , ca ne mange pas de pain et ca vous permettra d'entendre la douce voix de la personne concerné). 

Bien sure , je pourrais également vous parler des Mails dis de "brouteurs" et "Mugu" , mais leur usage est devenu tellement célèbres et presque drôles que leur victimes sont heureusement de plus en plus rares. Mais bon , au cas où , je vous le rappel ici "Non , aucun héritier d'une plateforme Pétrolière ne désire partager ses gains avec vous" "Aucune demoiselle de Vingt Ans n'aimerait vous choisir pour vivre le grand amour avec le premier inconnu dont elle aura trouvé l'adresse Mail" "Aucun site de CryptoMonnaie ne voudrait vous inciter à investir vos économies pour devenir immensément riche". Je pense que ce conseil là est devenu une sorte de bon sens , et normalement , vous ne devriez plus vous faire avoir. En résumé , un Mail qui prédit la venue du Père Noël , ca n'existe pas.



8 - Les Fichiers envoyés ou trouvés par tout les moyens.

Vous pourrez parfois vous retrouver face à face avec un fichier frauduleux à travers des tas de source différentes. Parfois même dans le Drive d'une personne en qui vous avez confiance. Bien sure , les Drives sont testés par Antivirus , mais s'il s'agit d'un lien URL externe , par exemple , l'outil ne pourra rien tester. C'est à vous d'adopter un comportement intelligent et responsable. Si vous voyez un fichier du genre "Ouvrir le Lien.url" dans un Drive ou sur Internet , ne cliquez tout simplement PAS. Si vous utilisez d'autre source (comme des Sites de Copie Privé ou autre Underground) , Testez au maximum les éléments avec des VM SandBox ou tout autre. Et si vous ne le pouvez pas , laissez ces sources pour des personnes qui en ont l'habitude et qui sauront être prudentes. C'est un peu le FarWest , dirons nous , dans ces milieux. Il y a des gens bien intentionnés , et d'autres pas… Si ces fichiers vous sont envoyés directement par des Amis , assurez vous d'abord que cette personne est bien l'auteur de ce fichier. Que cette personne vous a mentionné en amont pour vous conseiller ce téléchargement. Et non pas qu'il s'agisse d'un fichier "inattendu" venu de nulle part… 

Biensure , je me permet aussi de préciser ici de ne JAMAIS vous connecter à un Wifi Publique ! Ce conseil est essentiel. Pour information , sachez qu'en vous connectant sur un Wifi publique , vous ouvrez directement la porte à toutes les personnes inscrites sur le même Wifi. En apparence , pour un utilisateur Lambda , on a l'impression d'être cloisonné , seul face à notre accès Internet. Mais en réalité , pour un bon Pirate qui se connecterait par exemple à son PC perso depuis les WC d'un grand centre commerciale , il ne lui faudrait que quelques minutes pour s'introduire directement dans tout les accès et laisser des Softwares Mouchards un peut partout sur les Smartphones... Le Wifi Public , c'est comparable à une fille de joie dans un pays sous-développé sans préservatifs ... (Pas de meilleure métaphore).



9 - Les demandes étranges sur Réseaux Sociaux.

Parfois , malgré tout ces conseils , une personne (qui aura probablement présenté une faille sur un de ces points) se retrouvera piraté hélas. Et une fois cette situation présente , il lui sera presque impossible de récupérer l'accès à ses comptes (sauf cas exceptionnels). Sans parler du fait qu'il y a fort à parier qu'en l'absence de ces règles de base , l'utilisateur n'a tout simplement pas grand chose à perdre sur ce compte perdu… A partir de là , il faudra vous attendre à voir apparaitre des messages de type "J'ai besoin d'argent" ou bien "Tu pourrais m'envoyer un TransCash" , ce genre de chose. Si vous constatez qu'un proche se met à vous aborder avec ce type de demande , exigez immédiatement un signe distinctif qui vous permette d'être certain de l'identité et mieux encore , appelez Vocalement la personne concerné. Si malheureusement , ce n'est pas légitime , le compte de votre proche a été piraté. Bloquez le immédiatement , Signalez la conversation (FaceBook Signalement Autre Piratage) et diffusez un message sur vos réseaux sociaux afin de prévenir au maximum le plus de monde pour éviter que qui qu'onc ne se fasse avoir à son tour (Bloquez les commentaires uniquement à vos amis , sinon , vous allez voir une tripoté de Bots qui vous proposerons d'appeler leurs Génis !)… Appelez également la personne piraté pour lui dire de faire supprimer/récupérer ses comptes au plus vite sans perdre une minute (IL EST TRES IMPORTANT DE REAGIRE TRES VITE SI VOUS ETES PIRATES !!! NE LAISSEZ PAS LA SITUATION TRAINER !!! Chaque minute qui passe , le pirate peut faire des ravages auprès de vos amis et proches... Etre piraté n'est pas de votre faute , mais ca le devient un peut si vous laissez trainer sans intervenir ! PREVENEZ VOS PROCHES IMMEDIATEMENT , par tout les autres moyens qu'il vous reste , quel qu'en soit le moment , dites leur que vous n'êtes plus au contrôle de ce compte ! N'ATTENDEZ PAS QU'ILS DEVIENNENT VICTIMES A LEUR TOUR ! Sans cela , vous êtes aussi fautif que le Pirate lui même !). Il existe plusieurs moyens pour cela. Chaque réseau sociaux dispose de canaux dédiés. Si toutefois vous avez été pour ainsi dire "fragile" à un instant , et par exemple donné votre Numéro de Téléphone (ca peut nous arriver à tous , un moment de faiblesse) , ne faite rien de plus ! Supprimez rapidement ce message pour que l'individu n'ait pas le temps de le retenir. Pour le reste , rassurez vous , le seul numéro de téléphone ne lui sera pas très utile. En effet , il tentera surement d'effectuer une demande de Reset Password par 2FA et vous demandera (par tout moyen détourné) un code SMS que vous auriez recu. Si vous avez la présence d'esprit de ne pas aller aussi loin , vous n'avez rien à craindre. De toute facon , voyant que vous supprimez le message , le Hacker n'insistera pas , et comprendra que vous ne vous êtes pas fait avoir. D'autant plus si vous avez un PassKey (Voir Point N°5). Si ce n'est pas le cas , installez le RAPIDEMENT à partir du moment où vous avez constaté cette tentative de Hacking.



10 - Le Verrouillage du Smartphone Biométrique et celui de Windows par code Pin.

Un des éléments qui me choque parfois , c'est de constater des Téléphones sans Aucun Verrouillage. On peut retrouver des Google Pay , des Applications de Banque , des PassKey ou tout autre chose toujours plus sophistiqués sur ces Appareils , mais aucun verrouillage . N'importe qui alors peut prendre le téléphone dans sa main , le voler vite fait dans un salon de café à l'arrachée… Et faire ce qu'il voudra de votre Vie Numérique… On constate pourtant que la majorité des Services d'ordre à travers le monde n'arrivent même pas à déverrouiller le moindre téléphone sans l'accord de l'intéressé , mais pourtant , il existe encore des gens qui laissent leur Tel sans aucun code , aucun schéma , aucune emprunte biométrique … Rien de rien … Et ils pleureront ensuite si cela leur arrivait. Quel en est la raison ? "C'est trop relou de débloquer mon Tel à chaque fois" … Cet argument est aussi navrant que de se dire "Je ferme pas la porte à clé chez moi , quand je part en vacances , c'est trop chiant"... Bref , C'est le B.A. Bas ! Et rassurez vous , le Biométrique est inviolable (on est plus dans les années 2000, vous n'êtes pas prêt d'imiter une personne avec une simple photo).

Pour Windows , c'est la même chose. Activez un Code Pin à 4 chiffres et un Compte Microsoft (pas local) , c'est la base pour éviter les drames. Sans cela , vous n'aurez aucun accès aux PassKey ou à toute autre sécurité… Même un PC fixe à besoin de cela. Même si vous activez "ControlUserPasswords2" pour ne pas avoir besoin d'entrer votre mot de passe à l'ouverture du PC (pour un PC fixe , pas Portable évidement), ce que je peux comprendre , il est essentiel de disposer d'un code Pin à 4 chiffres , car ce dernier reste valable à distance , si quelqu'un accède aux entrailles de votre ordinateur par Ligne de Code…



11 - Qu'est ce qu'Un bon Mot de Passe.

Enfin le dernier point , et pas des moindres. Vous l'aurez remarqué , dans tout ce tuto , on a très peu parlé de Mot de Passe. Tout simplement parce qu'ils sont sur le déclin , mais malgré tout , un grand nombre de site internet l'utilise encore. Ainsi , vous trouverez des tas de conseil pour formuler un bon mot de passe. Mais la plupart du temps ils terminent toujours en disant "Utilisez un MDP différent pour chaque site". C'est pas évident à faire ! A moins d'utiliser un Agrégateur de Mot de Passe (LastPass ou 1Password par exemple). Evitez par contre les Gestionnaires de mots de passe intégré dans votre Navigateur (Chrome ou Edge) , Leur sécurité sans 2FA n'est pas très efficace (a moins d'utiliser le tout nouveau Passport de Microsoft qui vise à remplacer cet élément , mais les mises à jour ne se font pas au même rythme pour tous , du coup , ne prenez pas de risque , utilisez un Agrégateur externe sécurisé)... Pour ma part , je conseil la chose suivante. Trouvez vous un Mot de passe que vous aimez vraiment. Essayez d'y mettre une majuscule , un ou plusieurs chiffre , un symbole ascii (genre ? ou ! ou : ou ; ou ce que vous voulez). Et utilisez le même partout … Je sais que cela vous choque , c'est loin d'être le conseil traditionnel... Mais je précise ... Utilisez le partout , Sauf que … Vous ajoutez un petit signe à la fin du mot de passe différent en fonction du site , quelque chose que vous remarquerez . Par exemple , sur Outlook , vous pouvez ajouter un "o" à la fin , la première lettre du site. Ca vous permettra d'éviter les mêmes MDP partout tout en conservant le concofrt d'une homogénéité des PassWords. Mais encore une fois, de toute facon, si vous respectez les 10 points inscrits avant , ce dernier deviendra vite obsolète. Je prône pour un monde SANS mot de passe ! Ca , ce serait parfait !



Conclusion : Et voilà , théoriquement , si vous respectez bien avec intelligence ces 11 commandements , vous ne devriez jamais rencontrer de problème. Et si je devais résumer tout en quelques mots , je dirais … "Mettez de la 2FA partout , cliquez pas sur les liens sans réflechir , faites vos Updates et vos Backups". A partir de là , vous serez en sécurité autant qu'il est possible de l'être … Ce sont les bases ! Pour le reste , ces conseils peuvent aussi s'appliquer dans le milieu professionnel , même si le plus souvent , des organes de sécurité plus sophistiqués sont déjà mis en place , avec des refus de connexion , des blocages en cas de clé USB branchés , etc etc etc … Merci d'avoir tout lu ;)

Si vous avez aimé cet article , n'oubliez pas que vous pouvez me soutenir en laissant un pourboire sur Tipee : https://fr.tipeee.com/infodegeeks Par avance , merci !

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.