Archive pour la catégorie Sécurité des informations

Sécurité PersonnelleSécurité des informations

Heartbleed, quand changer vos mots de passe ?

Beaucoup d’entre nous ont entendu parlé de la faille « Heartbleed » qui touche un protocole largement utilisé sur le net (« OpenSSL »). Il est recommandé de changer ses mots de passe sur les sites qui utilisent ce protocole et qui ont fait la mise à jour… autrement dit, rien ne sert de se précipiter sur tous vos sites habituels pour changer le mot de passe (*) si ces derniers ne se sont pas sécurisés.

Pour savoir si vos sites habituels ont fait la mise à jour adéquate et recommande de changer de mot de passe, il faut aller voir leurs communications, sur leur site ou email (Tumblr a envoyé un email il y a peu de temps à ce sujet par exemple). Le Monde recense certains sites communs et vous conseille sur le changement de votre mot de passe, ou pas.

(*) enfin, dans une démarche de sécurisation par rapport à « Hearbleed », si vous avez d’autres raisons de vouloir changer votre mot de passe, faites-le


Sécurité PersonnelleSécurité des informations

Quelques règles de complexité de mots de passe

La puissance des ordinateurs augmente sans cesse, et rend de plus en plus vulnérable les accès par mots de passe (puisque plus une machine est puissante, plus elle peut rapidement tester un très grand nombre de combinaisons… ce temps étant le frein principal pour un hacker à casser un mot de passe, un peu comme un voleur abandonne quand il se trouve face à une série d’obstacles qui lui prennent du temps).

Le standard dans les entreprises pour la complexité des mots de passe évolue. Désormais, un bon mot de passe :
- contient 8 caractères minimum
- contient 3 types de caractères parmi les 4 classes suivantes : minuscules, majuscules, chiffres, caractères spéciaux (éviter toutefois les caractères non internationaux comme les lettres accentuées du français, qui peuvent être difficiles à trouver sur un clavier étranger lors d’un de vos voyages)
- ne doit pas inclure ou être un dérivé de votre identifiant (eg, le mot de passe de paul.martin ne doit pas être paul1#PP ou Martintin3U_)
- doit être différent de vos mots de passe précédents (ne pas tourner sur 2 ou plusieurs mots de passe)
- contient au moins 4 caractères différents, et chacun n’étant pas répété plus de 4 fois (eg, BBBBB_9x est à éviter)
- n’est pas un enchaînement de touches du clavier (eg, le motif AZERTY1@) , qu’il soit vertical ou horizontal
- n’inclut pas le nom de votre entreprise ou un nom commun
- n’est pas une variation d’un nom commun : écriture à l’envers, ou écritures à la mode comme celles remplaçant certaines lettres par un symboles proches (eg, k4r4te_K, Un1v3rs3…)

Ca commence à devenir complexe hein !?


Sécurité PersonnelleSécurité des informations

Vos données sont encore plus personnelles que vos empreintes

Un article très intéressant sur les données personnelles sur le blog du Monde : Big Data : pourquoi nos métadonnées sont-elles plus personnelles que nos empreintes digitales ?

Imaginez par exemple que vos trajets déterminent votre personne… connaître vos trajets c’est comme avoir une copie de vos empreintes digitales…


Sécurité PersonnelleSécurité des informations

Surveiller ses photos avec Google

Pour prévenir ou limiter le risque d’usurpation d’identité en contrôlant la diffusion de ses données personnelles (*), ou bien pour suivre son « e-réputation » (ce que l’on dit de vous sur la toile), il est bon de vérifier régulièrement sur Google les premières pages de résultats pour :
- son prénom et son nom (tout en minuscules) entre guillemets
- son nom et son prénom (tout en minuscules) entre guillemets
- son prénom et son nom sans guillemet (selon le patronyme que vous portez et son usage… si c’est Alain Durand, oubliez)
- son et ou ses emails (avec/sans guillemet)
- son numéro de téléphone (sans espace, et avec espaces et guillemets)

Un nouvel outil est apparu depuis plusieurs mois déjà dans l’arsenal Google : la recherche par images inversée. Google Images permet de retrouver une image associée à un mot clé, cette nouvelle fonction permet de chercher tous les sites qui utilisent une image ou une image ressemblante.

Avant que Google Images n’intègre cette fonctionnalité, des sites permettaient déjà des recherches similaires (je pense à tineye.comgazopa.com, et feu cydral.fr), mais le passage dans Google a vraiment décuplé la portée & l’utilité.

Donc, nouveaux tests à faire : passer vos photos d’identité (celle de votre CV en ligne par exemple) ou portraits (de votre site web, facebook, google+ ou autre) à la moulinette de Google Images pour mesurer leur diffusion sur le web.

(*) que ce soit pour vérifier que certaines informations personnelles entrées sur un site ne sont pas soudainement devenues « publiques » (changement de CGU, problème technique, etc.) ou bien pour détecter d’éventuelles copies de données par des sites tiers

Et accessoirement, c’est aussi un super outil pour retrouver un article qui traite d’une photo d’équipement trouvé sur le web (sur http://protegor.tumblr.com par exemple :) )


Sécurité PersonnelleSécurité des informations

Londres : les poubelles vous espionnent

C’est l’été et certaines news passent inaperçues. Celle-là, je souhaitais la remettre en avant car elle illustre bien un aspect du futur qui nous attend : de la collecte de nos données personnelles à tout va, partout.

La plupart des grandes entreprises travaillent aujourd’hui sur le « Big Data » et l’ « Analytics », à savoir récolter un maximum de données sur leurs clients et/ou prospects, pour être le plus pertinent possible. Cela part d’un bon sentiment… arrêter de nous inonder de publicités/promotions qui ne correspondent pas à ce que l’on aime/recherche. Le mauvais côté de ça, c’est que des millions d’informations vous concernant sont stockées ; je dis millions car quand vous appuyez sur une touche de votre téléphone, ordinateur, télécommande, etc. c’est une information personnelle, car elle est contextualisée (heure, application…) : on peut tirer de ces nombreuses données des conclusions exploitables commercialement.

En théorie, en France, ces données sont sensées être anonymisées. Elles ne le sont pas toujours. L’existence même de ces données récoltées, même si l’entreprise récoltante n’a en apparence aucune mauvaise intention, est un problème. Le principal problème c’est la sécurisation de ces données. Un employé de l’entreprise en question pourrait revendre certaines données à des tiers moins scrupuleux, ou bien il pourrait lui même utiliser des données contre certains utilisateurs qu’il connaîtrait et à qui il souhaiterait du mal, et ce, à l’insu de l’entreprise. Et si ce n’est pas un employé de la-dite entreprise, ça peut être un hacker.

L’objet de ce billet n’est pas de se lamenter sur cette tendance du futur, d’autant que l’exploitation de ces données faciliteront une bonne partie de notre vie. Et puis, rien n’arrêtera les poubelles Wifi londoniennes même si ce coup-ci elles ont été ou vont être retirées.

Ce sera donc à nous de contrôler toujours plus nos données.
Certains ne veulent pas de portable (pourquoi pas, moi je ne pourrais pas). D’autres ne veulent qu’un mobile simple (fonctions téléphone & SMS) et pas de smartphone. Une autre solution se trouve dans l’utilisation des housses bloquant les ondes (déjà discuté ici) ; d’ailleurs ce seront nos poches de vêtements qui demain couperont les ondes.

Et je n’ai pas regardé encore si des app permettaient de sécuriser un mobile en coupant sur demande toutes les app & émissions diverses (mais j’ai un doute a-priori sur l’efficacité d’un tel procédé).


Sécurité PersonnelleSécurité des informations

Ces applications qui nous espionnent

Cette semaine a été publié un rapport de la CNIL & de l’INRIA sur les « App » des smartphones (notamment de l’iPhone).

Extrait de l’article du Monde qui est consacré à ce rapport : Sur le total de 189 applications testées, 58 accèdent en permanence, dont la plupart sans raison apparente, à la géolocalisation de l’appareil. 30 accèdent pour leur part au nom de l’appareil et 15 au carnet d’adresse. Le tout sans que ce soit utile pour le bon fonctionnement de l’application.

Les conclusions du rapport de la CNIL sont disponibles ici.


Sécurité PersonnelleSécurité des informations

Achiwa, détecter les intrus sur votre Wifi

Il y a quelques jours, je trouvais mon réseau bien lent… malgré la méga clé WPA que j’ai, un doute m’a pris. Un voisin indélicat profiterait-il de mon Wifi ?

J’ai installé le petit logiciel Achiwa, en version d’essai (et en version complète, il n’est pas très cher), pour un résultat d’analyse très rapide des différents ordinateurs périphériques présents sur le réseau. En coupant le Wifi de mon téléphone, je l’identifiais dans la liste, … et ainsi de suite je remontais à l’ensemble des périphériques détectés.

Bon je n’avais pas d’intrus, le ralentissement était dû à un plugin de Chrome qui avait mis quelques minutes à planter, faisant croire à ralentissement de débit. En tous cas, cette mésaventure m’a fait découvrir un petit soft bien pratique !


Sécurité PersonnelleSécurité des informations

Comment pirater un smartphone ?

Voici un article du Point relatant une présentation de la DCRI sur la faiblesse de nos smartphones… A lire !

Merci à Vincent et plusieurs Twittos pour l’info !


Sécurité PersonnelleSécurité des informations

Histoire de sauvegardes distantes

Un article évoqué sur le très bon blog maxime.sh a attiré mon attention et je voulais le partager avec vous. L’histoire nous vient de Detroit, et l’article s’intitule How a stolen MacBook Pro, Google Street View, Craigslist, and Backblaze led to a drug bust, ou comment un MacBook Pro volé, l’application Google Street, le site d’annonces Craiglist & l’outil de backup Backblaze ont conduit à dénicher un stock de drogue.

En résumé :
- La victime laisse un ordinateur & une tablette dans sa voiture (erreur)
- L’ordinateur est volé
- La police demande à la victime : « vos ordinateurs n’ont pas de systèmes de suivi » ?
- La victime a souscrit à un service de sauvegarde des données à distance (dans ce cas, c’était backblaze.com, mais le but n’est pas de faire la promo de cette solution plus qu’une autre) ; cette solution propose une fonction « localiser mon ordinateur »
- La localisation ne marche pas au début, puis fonctionne, mais ne donne pas d’adresse précise, juste un quartier ; la police ne souhaite pas intervenir sur une information jugée trop imprécise
- Mais l’outil de sauvegarde continue à sauvegarder… alors que le voleur stocke des informations sur l’ordinateur volé
- Ainsi le voleur dépose une annonce pour vendre sa voiture, et la photo est récupérée via sauvegarde par la victime
- Sur base de cette photo, le logement du voleur (en fond) est localisée & l’annonce de la voiture est retrouvée sur le site d’annonces Craiglist, ce qui permet d’avoir le numéro de téléphone du voleur ; avec tous ces éléments, la police se décide à intervenir
- La police découvrira aussi dans cette maison des sacs de Marijuana

Alors en conclusion,
- Pour ou contre les outils de sauvegarde distante ?
   => Pour des sauvegardes régulières oui, pour une protection forte des supports de sauvegarde locale (disque dur => crypté, dans un sac étanche, dans un coffre, dans un lieu différent), et… le risque de la sauvegarde « in the cloud » (distante) reste l’accès des données possible par des tiers (admin, hackers, voleurs de mot de passe) ; chacun choisira la solution de sauvegarde qu’il juge la plus adéquate à sa situation (pénibilité de réaliser des sauvegardes manuelles/locales versus risque de piratage d’une sauvegarde distante… risque qui peut être fortement diminué par le cryptage des données distantes)
- Pour ou contre les outils de localisation d’ordinateur/mobile/tablette/auto… ?
   => Pour les LBS (services de géo-localisation) bien pratiques, parfois utiles en cas de vol par des amateurs, mais en usage normal il faut que personne ne puisse s’accaparer le flux d’information généré et savoir ainsi à tous moments où vous êtes


Sécurité PersonnelleSécurité des informations

Norton Cybercrime Report 2012


Le rapport 2012 sur le Cybercrime de la société informatique spécialisée dans la sécurité, Norton, vient d’être publié.
Une bonne vingtaine de planches intéressantes qui décrivent statistiquement nos comportements sur ordinateur & sur mobile :
- 35% des gens ont déjà perdu ou se sont fait voler leur mobile
- 44% lisent leurs emails perso sur des Wi-Fi publics/gratuits
- 1/6 des utilisateurs de réseaux sociaux ne savent pas si leur compte est public ou privé
- 30% pensent que le cybercrime ne les touchera jamais ; autant de gens ne comprennent d’ailleurs pas vraiment ce que c’est
- 40% ne savent pas qu’un virus sur un ordinateur ne se manifeste pas forcément de manière ostensible


Sécurité PersonnelleSécurité des informations

Social engineering, du psychologique dans le technologique

C’est un email de prévention d’une entreprise américaine à ses employés qui m’a appris que le détournement d’informations stockées sur un support électronique réalisé par ruse / imposture (et non par hacking / piratage informatique) avait un nom : le « Social Engineering » (« Ingénierie Sociale » en français, mais je ne trouve pas la traduction super).

Le Social Engineering, c’est le hacking du malin qui n’a pas besoin d’être expert en informatique. Contre une entreprise, le Social Engineering est utilisé pour accéder à des informations (quelqu’un vous appelle en se faisant passer pour un nouveau récemment arrivé et vous demande un fichier), à des systèmes (quelqu’un vous appelle d’une ligne interne en prétextant être du service bureautique et vous demande votre mot de passe) ou simplement aux locaux (comme le fameux coup de la fausse alerte incendie, quand tout le monde remonte dans les bureaux, les tourniquets sont souvent débrayés ; ou bien le « j’ai oublié mon badge à la maison, vous pouvez m’aider à entrer ? »).

Le succès d’un Social Engineer tient donc à sa capacité à gagner votre confiance, à exploiter votre crédulité, à son culot, etc.

Quelques conseils contre anti-Social Engineering :
- faire confiance mais vérifier avant de donner
- ne donner aucune information personnelle à un inconnu
- ne pas donner suite à des requêtes par téléphone si le correspondant n’est pas identifié & de confiance ; idem par email ou par IM (tchat)
- faire attention à toutes vos conversations verbales avec un inconnu
- en cas  de doute, vérifier avec une personne de confiance avant de donner l’information
- se méfier des « amis inconnus » dans les médias sociaux
- ne pas poster d’informations privées (ou de votre entreprise) sur les médias sociaux
- au bureau ou tout autre environnement où vous êtes très régulièrement, être prudent avec les visages inconnus
- ne pas aider une personne à franchir une entrée sécurisée (entreprise, co-propriété) en utilisant votre propre accès
- ne pas hésiter à interroger un inconnu qui se trouve dans un lieu sécurisé

Ces règles initialement pour le monde de l’entreprise s’appliquent à fortioti à la vie quotidienne, dans une optique de sécurité personnelle. Pour finir, un groupe d’étudiants canadiens ont réalisé quelques vidéos illustratives sur le sujet (en anglais). Je me demande si une université ou une école en France a déjà abordé le sujet… (le cas échéant, n’hésitez pas à me faire signe !).


Sécurité PersonnelleSécurité des informations

Lookout, pour protéger son téléphone

Ce matin, j’ai pris le métro de Chicago à Belmont pour aller voir un surplus militaire (dans lequel j’ai fait une trouvaille amusante, j’en parlerai dans un prochain billet). Sur le quai, j’ai vu cette pub… je ne connaissais pas cette application, Lookout, à la fois pour iPhone & Android, qui permet de :
- localiser votre portable quand il est perdu
- gérer un back-up automatique de vos données
- sécuriser vos accès

La version iPhone est a priori « en cours de mise à jour », donc pas disponible.
Je ne mesure donc encore pas bien la valeur ajoutée des fonctionnalités proposées… mais si c’est bien fait, c’est à avoir. Si certains ont testé sous Android, je suis preneur du feedback.


Page 1 sur 612345Dernière page »