Les experts informatiques s’accordent tous sur une réalité implacable. Aucun système informatique, quelque soit sa complexité, n’est inviolable. L’essentiel est de rendre d’une part la tâche ardue aux pirates, avec des systèmes de protection et cryptages adéquats, d’autre part d’être capable de détecter les intrusions et de pouvoir rapidement y remédier.
Dans les systèmes évolués, ordinateurs de bureau, portables et serveurs d’entreprises cotoient des firewalls, littéralement des pare-feux. Il s’agit en fait de logiciels, c'est-à-dire des programmes informatiques, ou bien encore des boitiers, on dit "appliance", qui interdisent par défaut tous les échanges et obligent les services informatiques à choisir ce qui est autorisé. On retrouve également des antivirus, dont le but est de détecter les infections, intrusions et les honeypots, littéralement les pots de miel, dont le but est de simuler des activités d’entreprise pour y attirer les pirates afin de les neutraliser. Il y a également les proxies qui font les requêtes sur le web au nom des utilisateurs, et les reverse proxies qui limitent les accès en provenance d’internet vers les serveurs web de la société. Enfin, le réseau d’entreprise est segmenté en une zone interne fortement protégée et une zone démilitarisée ou DMZ (Demilitarised Zone) en contact avec internet. Chacune de ces zones sont protégées en entrée et en sortie par les fameux firewalls dont nous parlions initialement, idéalement de marques différentes, afin de complexifier le travail du pirate, on dit aussi hacker.
Car les hackers sont véritablement rusés. Et si une entreprise peut investir énormément dans sa sécurité, c’est impossible pour le quidam. Alors comment faire avec un budget réduit, voir pas de budget du tout ?
Ce que nous, professionnels de l’informatique, faisons lorsque nous protégeons des logiciels, applications ou système d’information des entreprises, peut en réalité s’appliquer à plus petite échelle chez soi. Le tout est d’agir avec discernement et ce, sur plusieurs axes.
Surface d'attaque
Le premier est la surface d’attaque. Plus vous avez de connexions vers l'extérieur, plus il y a potentialité d’attaque. Faire en sorte de n’exposer que ce qui a besoin de l’être est un premier pas pour minimiser l’action des pirates. Ceci ne concerne pas que votre ordinateur. N’oubliez pas que l’informatique est partout, sur les voitures récentes notamment où tous les organes communiquent via un bus spécialisé. On entend par bus un medium de communication qui permet d’envoyer et recevoir des données avec plusieurs items en parallèle. Dans le cas d’une voiture, l’ordinateur central communique avec le moteur, les freins, la pression des pneumatiques, le système d’ouverture des portes, etc. Cet échange en temps réel, massif et parallèle ; on parle de multiplexage ; est ainsi une surface d’attaque énorme.
Exemple, lorsque votre autoradio accepte le bluetooth. Le bluetooth permettant des communications sans fil, si un pirate à l'extérieur de votre véhicule parvient à s’y connecter parce que le bluetooth de votre autoradio n’est pas bien protégé, il peut très concrètement via le bus de communication envoyer/recevoir des messages, et communiquer avec le reste du véhicule, ordinateur de bord et système d’ouverture des portes compris.
Bien évidemment, ce n’est pas à la portée de tout hacker, mais cela est possible et a déjà été démontré. Pour votre voiture, ordinateur, mobile, accès internet, réduire la surface d’attaque est la 1ère tâche simple à faire. Pensez à désactiver le bluetooth et le wifi s’ils ne sont pas utilisés.
Par ailleurs, plus concrètement sur vos box internet ; elle le propose toute ; veillez à ce que les fonctions firewalls soient activées, idéalement que tout flux entrant soit interdit, et que seul les flux sortants vers le web (port http 80 et port https 443) soient autorisés.
Antivirus
Hormis la surface d’attaque, convient-il de protéger ses équipements via des antivirus. Souvent payants, certains sont gratuits, et il en existe pour toutes les bourses. Cet élément est obligatoire sur tout ordinateur et à tendance à le devenir sur vos téléphones portables. Voyez la chose comme prendre un vaccin.
Réalisez qu’il y a différents types de virus. De celui qui cherche à vous embêter, à vous empêcher d’accéder à un service, une fonction en particulier ; on appelle ceci du déni de service ou DoS (Denial of Service). A celui qui cherche à s’immiscer dans votre système sans être visible ; dénommé cheval de troie ou Trojan ; pouvant notamment capturer toutes les touches sur lesquelles vous taper et les renvoyer vers un serveur distant, ceci avant de récupérer vos mots de passe ; on parle alors de keylogger, ou enregistreur de frappe.
Il y a les virus qui cherchent juste à polluer les mails/faire du spam, ceux qui cherchent juste à se reproduire, à proposer des écrans de publicité, etc. On parle ainsi génériquement de logiciels malveillants ou malware contre lesquels luttent les antivirus (Symantec, Norton, Kapersky, Bitdefender, Avast, etc).
Mettre à jour les logiciels
Autre action réalisable par tout un chacun, mettre à jour ses logiciels ! Vous n’imaginez pas à quel point ceci est crucial. Nombre de hackers ne sont pas des génies mais des personnes qui profitent de failles bien connues pour rentrer dans un système. Quand un éditeur de logiciel trouve une faille, il créé un correctif ; on parle alors de patch. Ce patch de sécurité indique ce qu’il comble, le problème est donc connu et identifié. Mettre à jour régulièrement ses logiciels, notamment ses navigateurs et son système d’exploitation, limite naturellement les risques d’intrusions, virus ou autre !
Avoir une politique de gestion des mots de passe.
La politique de gestion des mots de passe. Ce mot est ronflant mais pourtant porteur de sens.
Un mot de passe ne se choisit pas au hasard et ne doit pas se prendre à la légère. Il est le 1er rempart aux attaques et infiltrations. Pourquoi doit-il être compliqué, c'est-à-dire alterner minuscules, majuscules, chiffres, lettres, caractères d’accentuation et avoir une certaine taille ?
Tout simplement parce qu’un ordinateur ou une batterie d’ordinateurs surpuissants, savent faire une chose toute bête : une attaque par force brute. Il suffit d’avoir un dictionnaire de noms propres et communs et un logiciel qui tentent toute la liste de mots.
En revanche, quand le mot de passe ne veut rien dire et a une certaine taille, il devient trop long de tout tenter.
Ensuite, veillez à ne pas utiliser le même mot de passe pour chacun de vos profils. En effet, par ricochet, si un site se fait pirater, le hacker peut ensuite librement accéder à tout ce qui vous concerne sans que vous vous en rendiez compte, y compris vos mails. Prions qu’il n’y est pas d’informations sensibles comme des numéros de carte bleue, date d’expiration, etc.
Enfin, les mots de passe se renouvellent ; si vous utilisez les mêmes mots depuis un moment, il y a plus de chance qu’il soit connu, enfin ils ne se communiquent pas ! Si vous recevez un mail de Google, Microsoft ou même de Hollande vous indiquant pour on ne sait quelle raison de leur transmettre votre mot de passe, il s‘agit assurément d’un faux. Car côté serveur, nous ne connaissant généralement jamais votre mot de passe. Si c’est bien fait, votre mot de passe est « transformé », on parle de « hash », c'est-à-dire que via un algorithme précis il est réduit. L’algorithme, typiquement SHA-1 ou MD5, est dit destructif car il ne sait pas procéder dans l’autre sens. Ainsi n’est stocké en base de données que votre hash. Lorsque vous vous connectez, on lance l’algorithme de transformation, puis on compare ce résultat avec ce qu’il y a en base. Pour ces raisons ne peut-on jamais vous renvoyer votre mot de passe (les sites qui le font on clairement un risque plus grand que les autres). Pour ces raisons également, jamais un site web ne vous demandera de fournir votre mot de passe original. Sachez que la 1ère démarche d’un pirate est, avant de créer un programme ou utiliser un outil de hacking, de récupérer le plus d’information sur vous. Sur ce point procède-t-il par mail ou téléphone en se faisant passer pour le support technique, parfois n’hésite-t-il pas à faire les poubelles, récupérer vos reçu de carte bancaire, etc.
Alors, comment savoir si je me suis fait pirater ? A un niveau individuel, la mauvaise nouvelle est que lorsque vous l’apprenez, il est souvent trop tard. Votre carte bleue a été utilisée, votre compte débitée, votre compte facebook, ou twitter ne vous appartient plus, etc.
Vous pouvez également avoir à faire à la police car votre ordinateur a fait des actions frauduleuses ; actions bien évidemment menées à distance par un tiers dont vous n’avez connaissance et qui pilotait votre machine pendiant que vous surfiez innocemment sur internet.
Réduire la surface d’attaque, mettre à jour ses logiciels, utiliser des antivirus, ne pas posséder un seul mot de passe mais plusieurs, ne jamais les divulguer, en changer régulièrement, avec un certain niveau de complexité, voilà des actions simples pour tout un chacun