5 recommandations urgentes de cyber-hygiène pour professionnels et particuliers

Incident Response mai 14, 2019

Je travaille fréquemment sur des problématiques de sécurité informatique, soit de sécurité dite "offensive" (déceler des vulnérabilités en attaquant des systèmes informatiques), soit de sécurité dite "défensive" (mettre en place des contre-mesures pour éviter des attaques).

Dans ces deux contextes ainsi que dans le contenu que je consulte dans le cadre de ma veille technologique un certain nombre de mauvaises habitudes se retrouvent fréquemment, que ce soit dans des entreprises ou chez des particuliers.

Voici les 5 recommandations les plus importantes qui découlent de ces expériences :

I - Prendre soin de ses mots de passe

La mauvaise gestion des mots de passes est un des vecteurs d'intrusion les plus communs en 2019 et même si vous ne les divulguez pas, il est tout à fait probable qu'un des sites sur lequel vous êtes inscrit ait subi ou subira une brèche de sécurité donnant accès à vos informations personnelles !

Actuellement, plus de 9 milliards d'identifiants de connexion ont fuité et sont disponibles librement sur Internet. Statistiquement, vous avez plus de chances qu'un de vos mots de passe soit dans une base de donnée accessible par tous que le contraire.

C'est pourquoi il est primordial de suivre ces quelques règles concernant vos mots de passe :

  • Ne jamais utiliser un mot de passe plus d'une seule fois.
  • Privilégier la longueur à la complexité (par exemple 1AgaceSonBecAvec1Brûle-gueule sera infiniment plus difficile à découvrir que %&#!a5 par un potentiel attaquant).
  • Ne jamais utiliser un mot du dictionnaire comme mot de passe.
  • Changer de mot de passe entre tous les 6 mois et tous les ans (en fonction de ce qui est possible pour vous).

Toutes ces précautions peuvent être simplifiées par l'utilisation d'un gestionnaire de mot de passe, qui s'occupera de garder en mémoire et synchroniser vos mots de passes à votre place.

Parmis ceux qui existent actuellement je recommande :

  • KeePass (qui était certifié CSPN par l'ANSSI en 2011)
  • 1Password (qui a la meilleure intégration Android, iOS, Windows et MacOS)
  • LessPass (celui-ci ne stocke pas vos mots de passe mais les "calcule" en fonction du site sur lequel vous êtes et de votre identifiant)

II - Être vigilant sur les réseaux publics

La démocratisation de HTTPS permet de pallier de nombreux problèmes de sécurité, les technologies SSL et plus récemment TLS impliquées permettent de chiffrer vos échanges avec les sites Internet pour limiter les risques que quelqu'un d'autre puisse les espionner.

En revanche, il existe malheureusement toujours un nombre inquiétant de sites qui n'utilisent pas HTTPS et mettent en danger le caractère privé de vos échanges.

Par exemple sur un WiFi public (aéroport, café, espace de coworking), il est techniquement possible d'intercepter et de surveiller les échanges de tous les autres appareils connectés, c'est une attaque qui est relativement simple à mettre en place, même depuis un smartphone !

Bettercap : Un logiciel permettant d'observer du traffic réseau

Si vous êtes connecté sur un WiFi qui ne vous appartient pas, la méfiance est de mise. Si vous le pouvez, préférez votre réseau 4G privé et ne naviguez sous aucun prétexte sur un site que votre navigateur ne reconnaît pas comme étant sécurisé.

Exemple de connexion reconnue comme étant sécurisée

Enfin, si vous possédez une offre VPN chez un prestataire à qui vous faites confiance, utiliser un VPN permet d'ajouter une couche de confidentialité supplémentaire à vos échanges sur un réseau public.

III - Faites vos mises à jour dès que possible !

C'est souvent contraignant d'être interrompu dans une activité par une mise à jour de son système d'exploitation ou d'un logiciel et nous sommes tous tentés de les repousser, voire même de les désactiver complètement.

Malheureusement, le jeu n'en vaut pas la chandelle; un appareil (smartphone, ordinateur, objet connecté) qui n'est pas mis à jour est bien souvent une porte d'entrée pour une intrusion.

Les mises à jour sont de plus en plus imposées à l'utilisateur, mais c'est souvent qu'elles permettent de régler des soucis de sécurité récemment découverts et que ce soit sur un appareil à usage personnel ou professionnel il est toujours très risqué de prendre du retard sur celles-ci.  

IV - Utilisez un antivirus et un pare-feu faciles à prendre en main

Un des problèmes pouvant mener à des intrusions ayant des conséquences graves (pertes financières, vol d'identité et d'informations personnelles) est le manque de visibilité sur les actions des logiciels installés sur une machine.

Il est primordial de maîtriser et surveiller ce qu'il se passe sur vos appareils, notamment en utilisant un antivirus qui vérifiera que vous n'avez pas malencontreusement installés des fichiers malveillants ainsi qu'un pare-feu qui vous permettra de savoir quelles applications utilisent Internet et de limiter leurs permissions.

Il y a un grand nombre de logiciels d'antivirus et de pare-feu sur le marché, n'hésitez pas à vous fier aux recommandations de l'ANSSI pour en essayer plusieurs et trouver celui qui vous convient le mieux.

V - Faites des (vraies) sauvegardes

Finalement, nous allons aborder un point qui est trop souvent laissé de côté avant qu'un incident survienne : les sauvegardes.

Que ce soit à cause d'une panne, d'un logiciel malveillant, d'un vol ou de la perte d'un appareil, la perte de données est un risque présent pour tous qui peut parfois avoir des conséquences désastreuses.  

La mise en place d'une stratégie de sauvegarde peut dans certains cas être coûteuse en temps (choix, installation et configuration d'un logiciel de sauvegarde par exemple) mais quelle que soit la durée que vous investissez, elle est rapidement rentabilisée par la tranquillité d'avoir la possibilité de retrouver vos données sur plusieurs supports en cas de soucis.

Une "vraie" sauvegarde doit être située sur un autre support que celui qui contient les données sauvegardées, sinon elle sera inaccessible en cas de problème avec l'appareil concerné.

Si possible, avoir 3 copies sur 3 appareils différents de vos données est une configuration confortable, surtout que les disques-durs et SSD de vos ordinateurs possèdent tous une durée de vie limitée !

Il est également très important de tester les sauvegardes effectuées, il arrive parfois que les données sauvegardées ne correspondent pas exactement à vos attentes !


Si vous avez des questions concernant ces points vous pouvez nous contacter pour du conseil et de l'accompagnement pour sécuriser vos informations.

Ressources :

https://www.ssi.gouv.fr/particulier/logiciels-preconises-par-lanssi-2/ (Français)

https://www.cnil.fr/fr/5-arguments-pour-adopter-le-gestionnaire-de-mots-de-passe (Français)

https://mashable.com/2017/02/28/passwords-reuse-study-keeper-security (Anglais)

https://enterprise.verizon.com/resources/reports/DBIR_2018_Report.pdf (Anglais)

Photo d'illustration d'Anomaly.

Mots clés

Jérémie A.

Fondateur @fenrir.pro Ethical Hacker, Certifié C|EH, C|EI, Pentest+

Super ! Vous vous êtes inscrit avec succès.
Super ! Effectuez le paiement pour obtenir l'accès complet.
Bon retour parmi nous ! Vous vous êtes connecté avec succès.
Parfait ! Votre compte est entièrement activé, vous avez désormais accès à tout le contenu.