Le Guide d'Autodéfense sur Internet

auto defense

Le Guide d'Auto-Défense sur Internet

La cyber-sécurité, ça nous concerne tous.

Pour ne jamais se faire arnaquer ou piéger sur Internet !

Daniel Ichbiah, Gisèle Foucher

First (14 février 2020)
n°1 des nouveautés Fnac

N°1 des nouveautés 23 février 2020


Menu de la page

Guide de voyage
en terre d'Internet

Faits et chiffres
La cybersécurité, ça nous concerne tous
Les points vitaux pour protéger votre ordinateur

Le public du livre
En librairie
MEDIAS
Logiciels recommandés


Un guide du routard adapté au Net

maps.bpl.org [CC BY (creativecommons.org/licenses/by/2.0)] | Kiên Tr?nh

L'histoire s'est passée dans un pays de l'Amérique du Sud...

Une jeune touriste française avait eu connaissance que certains conducteurs de trains arrêtaient volontairement la locomotive en pleine nature la nuit.

Pexels de Pixabay

Ils coupaient l'électricité, afin de laisser des voleurs entrer dans les wagons et opérer leur méfait discrètement dans le noir absolu.

Myriam Zilles

Devinez ce qu'il arriva. Cette touriste s'est retrouvée dans un train et le courant a été coupé.

Qu'a-t-elle fait ? Elle a immédiatement pointé sa lampe de poche sur ses bagages.

Résultat : il fut impossible aux intrus de lui dérober ses bagages en profitant de l'obscurité.

Grâce à la lecture de son guide de voyage, elle s'en est ainsi sortie sans encombre.

A moi, on ne me la fait pas...

https://www.deviantart.com/kiyumiyu/art/What-are-you-thinking-about-Rott-460779752

En lisant ces lignes, vous allez sans doute vous dire :

" J'aurais fait de même… Avant de partir, j'aurais lu le Guide du Routard ou le Lonely Planet, consulté les témoignages de voyageurs sur Virtual Tourist… ".

Oui, c'est ce que nous ferions habituellement.

La même attitude est de mise sur Internet

mac

Internet est une terre aussi peu sûre que certaines contrées à risque de cette planète.

Pete Linforth de Pixabay

S'y promener sans avoir pris ses précautions n'est simplement pas envisageable.

Les arnaques, les duperies, les pièges abondent. Et ils n'attendent que la naïveté de certains.

Voilà pourquoi il est vital de lire un guide tel que celui-ci si l'on veut pouvoir s'aventurer sans risque sur le Net.

C'est arrivé sur le Net, et parfois près de chez vous...

Voici quelques exemples de faits réels, empruntés à divers chapitres du livre. Vous avez peut-être entendu parler de certains d'entre eux.

10 milliards de dollars de dégâts par un seul maliciel

maliciel

Il n'a pas touché autant d'entreprises que certains de ses prédécesseurs, mais là où il a sévi, son impact a été sensible.

Selon une estimation de la Maison Blanche, NotPetya a coûté 10 milliards de dollars à des entreprises du monde entier.

Il a notamment impacté des entreprises françaises telles que Auchan ou Saint-Gobain.

Une ville de Floride rançonnée

parskeeze

La ville a dû débourser 65 bitcoins (environ 600 000 $) pour récupérer ses données informatiques.



Des centaines de millions d'informations dérobées à la chaîne Marriott

sheraton-huzhou-vue-de-nuit-chine-1867701/

Il a fallu 4 années pour que la chaîne d'hôtels Marriott réalise qu'elle avait fait l'objet d'accès non autorisés sur son informatique.

Les données d'environ 350 millions de clients ont ainsi pu être dérobées : noms, adresse email et postale, nos de téléphone, passeport, date de naissance, genre...

En décembre 2018, deux cabinets juridiques américains ont également entamé une "class action" (action en recours collectif) et un sénateur américain a appelé le groupe à rembourser à ses clients les frais nécessaires pour établir un nouveau passeport.

Des risques du Wi-Fi public

alerte

Il a inventé un nom de service d'accès Wi-Fi très proche de celui du café.

Sept personnes se sont laissées berner.

A partir de là, il a été possible au spécialiste de voir toute l'activité de ces internautes : les sites qu'ils visitaient, leurs recherches, mais aussi les mots de passe qu'ils tapaient…

Johannesbourg privée d'électricité

maliciel

Des milliers d'habitants de la ville ont été privés d'électricité durant de nombreux jours.


Arnaque aux sentiments

g

Il a ensuite expliqué qu'il avait été posté au Niger mais que son service était bientôt achevé et qu'il comptait les jours avant de la rencontrer.

Jim a alors demandé à Georgina une aide financière pour l'aider à ouvrir une boutique de pierres précieuses.

Il a ensuite prétendu qu'il avait été mis en prison et qu'il fallait payer sa caution.

De fil en aiguille, Georgina a fini par payer plus de 100 000 $ avant que la police locale lui fasse comprendre qu'il s'agissait d'un scam (arnaque) et qu'elle ne reverrait jamais son argent.

Des dérives du harcèlement en ligne

Dans les faits, elle a reçu quantité de moqueries. Certains ont été jusqu'à lui prodiger le conseil de mettre fin à ses jours.

Louise s’est suicidée en septembre 2014 après avoir subi ce harcèlement en ligne.

Licencié pour avoir posté des photographies compromettantes

Oui mais Kevin n'a pas été très malin : une photo postée par lui-même sur sa page Facebook l'a fait apparaître bien guilleret et éméché durant une soirée Halloween.

Kevin Colvin a été congédié.

Le destin inattendu des clés USB égarées

USB

L'Université de Michigan s'est livré à un test. Près de 200 clés USB ont été disséminées sur le campus à des fins de test.

Seul un petit nombre a indiqué avoir soumis cette clé USB à une analyse antivirus avant d'en explorer le contenu.

Pourtant, une majorité des participants involontaires à l'expérience étaient une population étudiante, censée être bien informée des risques informatiques.

45% de ceux qui ont trouvé l'une des ces clés USB égarées l'ont simplement introduit dans leur ordinateur et ont ouvert les fichiers qui s'y trouvaient, à commencer par les photos de vacances.



Un remboursement des impôts qui finit par coûter cher

phishing

Le lien menait vers un site de "phishing" (un faux site imitant celui des impôts), à partir duquel les fraudeurs récupéraient les codes bancaires et s'en servaient pour effectuer des achats, au grand dam des victimes.



Combien de temps pour pirater un mot de passe ?

mots de passe

Or, SCSP a évalué le temps nécessaire pour qu'un pirate puisse décoder un mot de passe.

6 chiffres : quelques millisecondes.

6 lettres (mais avec des majuscules et minuscules) : 8 secondes

9 chiffres : 4 secondes

8 lettres majuscules et minuscules : 3 heures

Ainsi, les 5 mots de passe les plus utilisés au monde peuvent être décodés en un temps très court.



Les murs de Facebook ont des oreilles.

David Mark de Pixabay

À l'automne 2010, le Conseil des Prud'hommes de Boulogne-Billancourt a décrété qu'il était légal de licencier des employés pour des propos exprimés contre leur entreprise sur Facebook, même si ces propos n'étaient accessibles que par un cercle d'amis fermé !

Protégez moi de ceux qui m'aiment...

love

Remontons jusqu'à mai 2000. Le virus I love you, qui s'est propagé alors que des internautes croyaient ouvrir une lettre d'amour reçue par email, a fait perdre environ 5 millions de dollars à des entreprises ou particuliers, au niveau mondial.



La cybersécurité, ça nous concerne tous

PC

Si l'ordinateur est un outil que nous apprécions car il libère notre créativité et ouvre mille horizons, c'est aussi une terre à haut risque.

minecraft

Il s'agit en effet d'un outil qui fonctionne grâce à une technique, la programmation.

Cette programmation peut aboutir à un jeu vidéo comme Fortnite ou Minecraft, à une application qui donne la météo ou à un traitement de texte comme Word.

hacking_by_nightlife_by_xxbattlelionessxx

Toutefois, certains utilisent la programmation à des fins plus obscures.

Leur œuvre se décline alors sous la forme de :

  • maliciel (anglais malware),
  • phishing (site Web imitant l'officiel, afin d'inciter à confier des informations privées),
  • scams (arnaques diverses),
  • et autres prouesses technologiques dont vous pourriez sans doute vous passer...
  • xiaomi

    Selon l'institut Sylob, 55 % des entreprises françaises ont subi des cyber-attaques en 2019.

    Si vous gérez une entreprise à l'aide d'un système informatique, vous ne pouvez pas vous permettre de découvrir un matin que les données comptables ou la gestion des stocks ont été altérées.

    Ou pire, que tous les ordinateurs de l'entreprise, ce qui peut inclure des filiales ne sont plus accessibles.

    ichigo_with_suit_by_nagadih_d34j0g0

    Fréquemment, lorsque sont évoqués de tels risques, la réponse d'un manager est la suivante :

    "Cette question relève de notre service informatique. Nous leur faisons confiance. "

    Cette attitude était admissible il y a une vingtaine d'années; elle ne l'est plus aujourd'hui.

    Philippe Gaulier de la société Cyberzen (sécurité informatique) résume d'où vient le souci essentiel :

    "La vulnérabilité ne vient pas du système informatique, elle vient de l'humain. "

     

    Au niveau personnel, vous n'aimeriez pas qu'un intrus,

  • puisse avoir accès à votre comptaire bancaire,
  • utilise un système de paiement que vous avez activé, pour effectuer ses propres emplettes à votre insu,
  • consulte votre messagerie,
  • se fasse passer pour vous sur Facebook, etc
  • Votre PC, votre smartphone, vos objets connectés peuvent être insuffisamment sécurisés. Ils ouvrent alors la voie à des détournements de vos données.

    Les points vitaux pour protéger votre ordinateur

    Fort heureusement, il est vous possible de voyager en sécurité sur le Web, d'utiliser votre messagerie l'esprit tranquille, de gérer votre informatique sans avoir à craindre des lendemains sombres.

    Il existe une vingtaine de points vitaux que vous devez apprendre à gérer pour réduire au maximum le risque de perdre vos données. En clair : il faut savoir en premier lieu comment protéger votre informatique.

    Et une quinzaine de points secondaires pour vous protéger vous-même : éviter tout risque de se faire arnaquer ou harceler.

    Ce que vous allez apprendre

    cle - Ashkan Forouzani

    L'autodéfense sur Internet s'articule autour d'une quarantaine de points précis. Si vous les respectez, vous pouvez alors naviguer avec quiétude.

    Ainsi donc,vous allez apprendre :


    Une vingtaine de clés vitales pour la protection de vos données

    blackcurrantjewelry - DeviantArt

    Sachez-le toutefois : seules une vingtaine de ces clés sont vitales. Si vous appliquez ces principes, vous disposerez déjà d'un niveau de sécurité très élevé. Ces clés visent à empêcher toute intrusion ou infection de votre informatique. Elles concernent donc avant tout votre ordinateur et votre connexion Internet.

    Qu'en est-il de ces clés vitales ?

    Les points vitaux qu'il faut apprendre à gérer efficacement pour protéger son ordinateur


    Comment ne jamais se faire arnaquer ou piéger sur Internet

    deaddamien

    Les autres clés ne sont pas directement liées à votre cybersécurité immédiate. Toutefois, elles peuvent fortement aider à vous protéger de phénomènes secondaires : harcelèment en ligne, e-reputation, arnaques en tous genre...

    Parmi ces autres points que nous abordons figurent les suivants :

    Au sortir de ce livre, vous pourrez, nous l'espérons, bénéficier des avantages du Net sans risquer d'en subir les inconvénients.

    Que la lumière soit !...

    Femme sur la plage

    A qui s'adresse ce livre ?

    pub

    Ce livre s'adresse au simple particulier, aux familles, au micro-entrepreneur, aux petites entreprises.

    Il a donc été écrit dans un langage que nous avons souhaité le plus clair possible, en évitant les termes techniques.

    Si vous gérez une petite entreprise, vous avez là un livre que vous aurez coeur à offrir à vos employés. Car une intrusion dans un système informatique a souvent pour cause la mégarde d'une seule personne, mal informée des risques.

    Selon le rapport Euler Hermes 2019, le coût moyen d'une cyber-attaque est de 10 000 € pour une TPE.

    Si vous gérez une entreprise de taille, nous conseillons toujours la lecture de ce livre aux simples employés. Toutefois, il serait alors préférable de faire appel aux services d'un technicien spécialisé en interne ou d'une société de cyber-sécurité.

    Le Guide d'Autodéfense sur Internet en librairie

    Auto-défense sur Internet
    Amazon
    Amazon
    Fnac
    Fnac


    Decitre
    Decitre
    Cultura
    Cultura

    Qui sommes-nous ?

    Daniel Ichbiah

    Je suis auteur de nombreux best-sellers dont deux livres n°1 des ventes :

    Reconnu comme l'un des grands spécialistes français des nouvelles technologies, je suis régulièrement interviewé à ce titre par les grandes radios et télévisions. Voir la page Medias.

    En tant que journaliste, j'ai participé à la plupart des grands magazines dédiés à Internet et aux jeux vidéo : SVM Mac, Joystick, MacWorld, 01... De 2010 à 2017, j'ai été rédacteur en chef de Comment ça marche.

    Je suis auteur de nombreux livres de référence dans le domaine des hautes technologies :

    Gisèle Foucher

    Je suis...

    Médias obtenus autour du livre

    Sud Radio

    7x7

    7 x 7

    Cybersécurité - 7 habitudes à vite abandonner

    Notre Dame

    A la fois didactique et écrit sur un style enlevé, ce petit livre est un mémento indispensable, sur 230 pages, de tous les risques de la cybersécurité : e-mails, wifi, téléchargement, rançongiciels, réseaux sociaux etc . L'article complet ici

    72 % des professionnels interrogés par McAfee affirment que le recrutement dans un département informatique de joueurs de jeux vidéo expérimentés est une bonne alternative pour combler le déficit de compétences en matière de cybersécurité... la suite sur ce lien

    Interview par Philippe Belgrand - Libre Antenne

    Logiciels conseillés

    Voici plusieurs logiciels d'analyse ou de protection d'un PC sous Windows qu'il serait bon de lancer de temps à autre. Pour certains d'entre eux, nous recommandons même d'acheter une version complète car les options gratuites sont souvent dépourvues de certains outils majeurs.

    Anti malwares

    Jadis, la protection d'un PC était opérée par un anti-virus. De nos jours, cette protection n'est pas suffisante car les maliciels (logiciels malveillants - de l'anglais malware) intègrent d'autres types de menaces. Pour en savoir plus sur la question, voir le lexique de la cybersécurité à la rubrique "Maliciel".

    Toujours est-il qu'il est préférable de nos jours de choisir ce que l'on appelle une suite dédiée à la Sécurité sur Internet (en anglais : Internet Security Package). Tel est le cas de Malwarebytes, Webroot et divers autres produits. Il est bon de savoir aussi que les grands logiciels antivirus se sont eux-mêmes métamorphosés en suites dédiées la Sécurité Internet.

    Donc, si vous utilisez déjà un antivirus, il pourrait être bon de vérifier qu'il est bien noté sur des dizaines et dizaines de bancs d'essai - on ne peut pas se contenter d'un seul avis, car celui-ci pourrait avoir été biaisé. Vous pouvez obtenir une telle liste de produits bien classés sur des centaines de comparatif dans le rapport Gartner - hélas uniquement disponible en anglais.

     

    Pré-requis : Rkill

    Il importe de lancer ce programme avant de lancer une analyse anti-maliciel. Rkill s'acharne à arrêter l'exécution de tout processus de malware qui serait actif. De cette façon, les programmes anti-malware comme Malware Bytes, Webroot ou Rogue Killer vont réellement opérer un véritable nettoyage dans la foulée - il faut lancer l'un de deux ou les deux dans la foulée, sans redémarrer le PC, faut de quoi le malware serait activé au démarrage.

    Malwarebytes

    Sa réputation n'est plus à faire. Et son éditeur affirme que ce logiciel ferait l'objet d'un peu plus de 247 000 installations par jour. Comme vous le constaterez sans doute, Malwarebytes détecte des maliciels que certains antivirus pourraient négliger. Et il faut d'ailleurs faire attention : il peut considérer certaines des fonctions de votre antivirus comme "potentiellement indésirables".

    En tout cas, même si vous avez un antivirus sur votre appareil, une analyse régulière à l'aide de Malwarebytes peut être utile. La version gratuite fonctionne durant 14 jours et peut opérer cette analyse et élimination des PUP ou "programmes potentiellement indésirables".

    Pour information, MalwareBytes est également l'éditeur de Adwcleaner, un logiciel de suppression des adwares ou logiciels publicitaires et pareillement recommandé.

    webroot

    Une alternative intéressante à Malwarebytes est Webroot, qui intègre quelques fonctions bien appréciables comme la protection des Webcams ou la protection de l'identité en ligne.

    Rappelons qu'il est essentiel d'installer sur votre PC un logiciel anti-maliciel qui puisse assurer une protection active (permanente) et la plupart des solutions efficaces, notamment Malwarebytes et Webroot sont payantes. L'enjeu en vaut clairement la chandelle.

    Pour ce qui est d'acquérir un logiciel de protection actif en permanence, dans le rapport Gartner, qui analyse des centaines de bancs d'essai, notons que les solutions proposées par Kasperky, McAfee, VMWare ou Panda, figurent parmi les mieux classées. Et que Windows Defender qui est intégré gratuitement à Windows 10 est parfois jugé comme le meilleur de sa catégorie.

    En complément : Roguekiller

    Il effectue un travail analogue à celui effectué par MalwareBytes mais il peut être bon de l'exécuter de manière complémentaire : il supprime de la base de registre de Windows certains programmes potentiellement indésirables que Malwarebytes n'a pas pris en compte et veille également à éliminer les "rootkits" - voir ci-dessous. Un autre avantage de RogueKiller pour le cas où vous souhaiter acheter une version complète est qu'il est beaucoup plus accessible.

    panda edr

    Si vous gérez une entreprise de taille importante, il est conseillé d'acquérir ce que l'on appelle un "EDR" - voir ce terme dans le lexique de la cybersécurité. De tels logiciels sont uniquement accessibles en version payante. Ils utilisent des techniques d'Intelligence Artificielle pour pister les malwares et les bloquer au moindre comportement suspect.

    Les rootkits

    Un rootkit parvient à s'installer sur le tout premier secteur adressable d'un disque dur celui qui contient le programme de démarrage qui charge en mémoire le système d'exploitation. Il est donc difficile à détecter par les outils habituels. Un rootkit permet à un hacker de contrôler le PC à distance.

    Parmi les outils spécifiquement dédiés à la suppression des rootkits figurent TDSS Killer de Kapersky et Rootkit Remover de MacAfee.

    Les tracking cookies

    Hitman pro

    L'avantage, c'est qu'il supprime, en plus des maliciels - mais ceux-ci auront déjà été éliminés par MalwareBytes ou Webrookt - les "tracking cookies", soit certains cookies spécialisés et partagés par plus d'un site Web. Certains de ces "tracking cookies" pourraient servir à surveiller votre activités sur le Net. Donc autant les enlever.

    Supprimer l'espionnage de Windows

    Destroy Windows Spying

    Ce logiciel supprime les fonctions d'espionnages intégrées à Windows. Il peut être bon de le lancer après chaque mise à jour majeure de Windows car Windows Update a tendance à réinstaller lesdites fonctions. Seul revers : il arrive que Windows mette plus d'une heure à redémarrer suite à l'exécution de ce logiciel.

    Se prémunir des keyloggers

    Key Scrambler

    Si vous devez utiliser un ordinateur public, installez Key Scrambler avant de frapper quoi que ce soit - ayez toujours ce logiciel avec vous sur une clé USB ou bien téléchargez-le au début de votre session.

    Ce logiciel va brouiller ce que vous frappez sur le clavier. Si jamais un keylogger ou "enregistreur de frappe au clavier" a été installé auparavant, il sera impossible au hacker de récupérer ce que vous avez tapé. Une petite fenêtre verte vous montre comment ce que vous tapez au fur et à mesure est crypté.

    A titre préventif

    Emsisoft Emergency Kit

    Après avoir lancé Malwarebytes ou un autre logiciel de nettoyage des maliciels, votre PC devrait être bien "clean".

    Toutefois, il peut être bon de télécharger Emsisoft Emergency Kit à titre préventif. Placez-le sur une clé USB dont vous êtes absolument sûr. Rendez-cette clé "bootable" - apte à démarrer l'ordinateur - en utilisant un logiciel tel que Rufus. Et donc, installez Emsisoft Emergency Kit sur cette clé.

    Dans le cas d'une infection qui compliquerait le démarrage depuis le disque dur, vous pourrez alors procéder à une analyse depuis Emisoft Emergency Kit, directement depuis la clé USB.

    Protection antivirus de votre téléphone mobile

    avira

    De nos jours, aucun smartphone ne devrait être utilisé sans un antivirus. De plus en plus, certains hackers ciblent ces appareils, sachant qu'ils sont généralement dépourvus de protection.

    Symantec a réalisé un test en abandonnant volontairement 50 smartphones Android dans toutes sortes d'endroits (ascenseur, centres commerciaux...) dans 5 villes américaines. Le résultat est éloquent car parmi ceux qui ont retrouvé de tels smartphones :

    Et seuls 50% ont tentés de retourner l'appareil à son propriétaire.

    Donc, créez en premier lieu un code d'accès complexe. Veillez à sauvegarder vos données sur un Cloud. Activez un service de localisation d'un smartphone perdu. Enfin, installez un programme de protection. Certes, les iPhones sont bien mieux protégés que les Android, mais il est préférable de ne courir aucun risque.

    Généralement, un antivirus pour téléphone mobile coûte entre 5 et 10 euros par an. Il s'agit d'un très bon investissement.

    Si vous souhaitez en savoir plus sur la cybersécurité

    Le lexique de la cybersécurité

    Chiffres & actualités de la cybersécurité

    10 mythes sur la cybersécurité

    Interviews d'experts sur la cybersécurité

    Atelier de cyber-sécurité.

    A partir du livre, les auteurs ont conçu une conférence / atelier qu'ils proposent à ceux qui n'auraient pas forcément le temps de lire toutes ces pages. Public visé : les petites entreprises.

    Rappelons ce qui a été énoncé plus haut : un grand nombre des problèmes informatiques rencontrés par des entreprises ont eu pour origine la négligence d'un seul employé. L'atelier s'adresse donc aux utilisateurs de micro-ordinateurs d'une entreprise - il n'est pas destiné au service informatique et vise plutôt à les aider dans leur oeuvre de protection des données.

     

     

     

    Si vous avez aimé cette page, merci de la partager sur vos réseaux sociaux