Que vous ayez confiance dans votre ordinateur et vos logiciels est une chose. Mais quand vous vous connectez sur Internet, vous vous branchez sur un réseau planétaire, fréquenté aussi par des gens plus ou moins agressifs. Vous allez voir ici les risques qui dépendent essentiellement de vous, quelque soit votre sécurité logicielle. Et comment ne pas être une faille de sécurité humaine.

Êtes-vous une faille de sécurité humaine sur Internet ? Social engineering

Personne en question

Personne ne vous dit que vous êtes une faille de sécurité humaine

Quelque soit votre sécurité logicielle, si vous êtes négligeant ou accordez votre confiance facilement, vous êtes une faille de sécurité humaine sur Internet.

L’absence de sensibilisation du public aux problèmes de sécurité est un facteur aggravant les risques. Et la confiance aveugle envers les logiciels de sécurité déresponsabilise l’utilisateur.

Les sources de programmes malveillants

Aller se fournir en logiciel sur le marché noir est une faille de sécurité humaine courante. Il est rare que les supports du commerce ou les sites Web officiels d’éditeurs et de constructeurs soient infectés par des programmes malveillants. Par contre les autres sources de fichiers sont plus souvent dangereuses :

  • les échanges de fichiers P2P « Peer to Peer »
  • les emails
  • les sites Web anonymes (en particulier les sites Web underground)
  • les CD, DVD et disquettes faits main

En particulier, se procurer un logiciel de base de la sécurité au marché noir est très risqué. Il peut être tentant de se procurer gratuitement un système d’exploitation, un antivirus ou un pare-feu vendu à prix d’or. Mais il est courant que ces logiciels piratés soient en fait un cheval de Troie très difficile à détecter. Et ce dernier peut être infecté par un keylogger, un virus, un spyware ou n’importe quel logiciel malveillant.

Le Social Engineering (ingénierie sociale)

Le Social Engineering ou ingénierie sociale consiste à vous manipuler pour vous faire faire des actions contre votre sécurité. Tout le monde peut être victime de ce type de malveillance. Et, comme toute manipulation, certaines sont particulièrement difficile à détecter en temps réel.

Il s’agit souvent d’usurper l’identité d’une personne de confiance pour obtenir vos informations confidentielles ( mot de passe, numéro de carte bancaire, … ). Ou vous faire installer un programme malveillant sur votre ordinateur.

Quelques exemples :

  • un email provenant soi-disant de votre abonnement, vous demande de saisir vos pseudonyme et mots de passe sous un prétexte quelconque
  • un email de votre banque vous demande de ressaisir votre numéro de carte bancaire pour une raison bidon en vous redirigeant sur un site Web factice ( c’est précisément cette technique qui est utilisée dans les attaques de phishing )
  • vous pouvez aussi recevoir ses attaques par téléphone
  • un soi-disant administrateur vous prévient par e-mail que tel fichier est un programme malveillant à supprimer. Quelques temps plus tard vous recevez un second e-mail vous expliquant que le premier était un canular, et vous joint un fichier remplaçant qui lui, est un programme malveillant
  • vous trouvez une clé USB par terre : est-ce une perte vraiment involontaire ? Ou contient-elle un logiciel malveillant qui va s’auto-exécuter dès que vous allez l’insérer dans votre ordi ?
  • etc

En plus pour abaisser votre méfiance, le pirate peut souligner l’urgence de votre réaction. Et ainsi vous faire paniquer pour vous empêcher de réfléchir.

Ainsi cette faille de sécurité humaine est difficile à colmater dans tous les cas. Mais j’explique dans cette autre page, que vous pouvez lire en suivant ce lien, l’ingénierie sociale, les raisons pour lesquelles il est très difficile d’identifier ce type de menace. Pourtant il est possible de se prémunir de ces manipulations mentales, dans une certaine mesure.

Votre adresse e-mail est une cible

Si vous semez votre adresse e-mail à tout vent, vous vous exposez aux risques du spam, du mail-bombing et à la réception de programmes malveillants.

Les mots de passe sont la faille de sécurité humaine courante

Les mots de passe sont la faille de sécurité humaine la plus courante. D’abord un mot d’un dictionnaire ou de 7 caractères est deviné rapidement par un logiciel spécialisé.Pour éviter ça, voici quelques idées pour vous faire un mot de passe solide.

Ensuite enregistrer un mot de passe sur son ordinateur évite de le retaper à chaque fois à condition que ce soit sûr. Par exemple un navigateur enregistre votre mot de passe dans un fichier crypté.

Enfin si vous enregistrez vos mots de passe dans un fichier crypté, et qu’un pirate réussit à le voler, il aura tout son temps pour les deviner grâce à un logiciel de décryptage. Ainsi il pourra par exemple se connecter sur Internet avec votre compte d’accès.

La durée de votre connexion Internet

  • Plus vous restez connecté longtemps, plus le risque d’être la cible d’une intrusion augmente.
  • Utiliser son ordinateur personnel comme serveur ( Web, FTP ou autre ) est de l’inconscience pure.
  • De même utiliser un logiciel de P2P « Peer to Peer » pendant des heures augmente le risque. Voyez la solution dans le paragraphe suivant.

Confort vs Sécurité

Sans contrainte la sécurité est nulle. Alors acceptez d’abandonner un peu de confort pour renforcer vos défenses :

  • passez à l’antivirus tous les nouveaux fichiers avant de les ouvrir
  • ne double-cliquez pas les fichiers multimédias pour les ouvrir ( les programmes malveillants se déguisent )
  • ne répondez jamais à un email ou un coup de téléphone qui vous demande une information confidentielle ( mot de passe, numéro de carte bancaire, etc )
  • évitez les animations multimédias par email de source anonyme ou inconnue
  • équipez-vous en logiciel chez les fournisseurs officiels et surtout pas au marché noir
  • et pour sécuriser votre ordi facilement en 7 étapes, suivez ce lien.

 

Lire la suite : Le Social engineering est très prisé par tout pirate informatique.