Vous êtes dans : Accueil > Tribunes libres >

Bonne résolution #2 : réviser ses préjugés

Charles Blanc-Rolin , LUNDI 16 JANVIER 2017 Soyez le premier à réagir1 réactions

Après une première résolution s’adressant aux RSSI, je vous en propose une qui s’adresse à tous ! Sans vouloir jouer les paranos, il est grand temps de réviser nos préjugés en matière de sécurité au quotidien.

#PASDEVIRUSSURMAC

Même si pour certains ce n’est pas un scoop, non Mac OS n’est pas infaillible !

En 2017, nombreux sont encore les utilisateurs qui pensent que leur pomme peut rester « 100% bio » sur le Web. Sans pesticides, elle risque bien de devenir rapidement « véreuse ».

Un antivirus sur Mac n’est pas un luxe ! Même si ce système reste moins attaqué que Windows, il n’en demeure pas moins invulnérable. La récente annonce de trois vulnérabilités « 0 day » [1] visant les utilisateurs de Mac OS, actuellement en vente dans le blackmarket [2] comme le précise Damien BANCAL, le démontre une nouvelle fois. Le rançongiciel [3] Kidnap présenté aux dernières Assises de la Sécurité par un chercheur de la société Eset a mis en avant une importante faiblesse de Mac OS : un fichier exécutable sans extension est par défaut lancé dans le terminal ! Le créateur de Kidnap avait créé un fichier exécutable avec un icone et un nom faisant croire à l’utilisateur qu’il s’agissait d’un fichier JPEG, mais avec un simple espace derrière la fausse extension JPEG, il était exécuté par le terminal et chiffrait l’ensemble des fichiers contenus sur l’ordinateur, sans même éveiller la moindre suspicion chez l’utilisateur. Vous pourrez le découvrir dans cette excellente interview réalisée par Le Comptoir Sécu.

#HTTPS=100%SECURE

Pour les utilisateurs s’imaginant avertis, le cadenas vert indiquant qu’un certificat SSL/TLS est reconnu par une autorité de certification qui a « pignon sur rue » pour la connexion HTTPS à site Web, est un gage de sécurité à 100%. Attention, l’utilisation du protocole HTTPS / SSL/TLS indique que les échanges avec le serveur hébergeant le site Internet se font de manière chiffrée, ce qui est une excellente chose, mais cela ne signifie pas que vous êtes en sécurité absolue ! L’algorithme de hachage est également très important. L’utilisation de SHA1 est aujourd’hui à proscrire, l’utilisation de SHA256 est un minimum. Malheureusement, rare sont les personnes qui épluchent les détails techniques des certificats. Le module CipherFox sur Firefox permet d’y jeter un œil rapidement. Pour les utilisateurs de Google Chrome, les certificats SHA1 ont désormais droit à un cadenas rouge qui fait peur !

Autre détails que l’on a tendance à oublier, c’est qu’une « attaque man in the middle » [4] sur le protocole HTTPS ça existe. C’est d’ailleurs ce que font certains éditeurs de produits de sécurité qui renvoient leur propre certificat HTTPS au client afin de pouvoir « déchiffrer » les échanges, comme le précise les concepteurs de l’excellent (et Français) module additionnel pour Firefox CheckMyHTTPS. Module que je vous recommande vivement, permettant en un clic de vérifier que le certificat affiché par votre navigateur correspond bien à celui émis par le serveur.

Et pour finir, l’utilisation du protocole HTTPS et le beau cadenas vert rassurant c’est bien, mais n’oubliez pas de vérifier que vous êtes sur le bon site et non une copie illégitime en vérifiant le nom de domaine se trouvant dans la barre d’adresse de votre navigateur. Les sites d’hameçonnage en HTTPS ça existe aussi :

 phishing https

Firefox depuis quelques temps déjà affiche le nom de domaine du site Internet plus foncé que le reste de l’adresse de la page afin d’éviter les confusions qui peuvent naitre de certaines ruses : 

phishing url

#USBSANSDANGER

Les clés USB ne sont pas toutes inoffensives ! Non, on ne doit pas brancher une clé USB dont on ne connait pas la provenance, sous prétexte de vouloir découvrir ce qu’elle contient. Pour celles et ceux qui l’ont oublié, c’est grâce à des clés USB laissées sur un parking que le virus Stuxnet a pu atteindre les centrales nucléaires iraniennes.

Le connecteur USB devenu standard de charge pour nous tablettes et smartphone, n’est lui non plus pas toujours un allié. Ne branchez jamais vos périphériques sur un chargeur USB (aéroport, chargeur mobile…) avec un câble USB permettant le transfert de données. Utilisez toujours un câble ne permettant que la charge. De nombreux utilisateurs se sont fait aspirer leurs données par ce type de chargeurs malicieux.

Pour la sécurité de nos données, révisons nos préjugés !


[1] Faille de sécurité n’ayant fait l’objet d’aucune annonce et d’aucun correctif de sécurité.

[2] Boutiques en ligne sur des réseaux anonymisés du type « dark net » commercialisant des produits ou services illégaux.

[3] Logiciel malveillant prenant en otage un système d’exploitation ou des fichiers dans le but de percevoir l’argent d’une rançon.

[4] Une personne tierce s’interpose sur une connexion entre deux entités pour espionner leur dialogue.

sécurité, rssi


1 réaction(s) à l'article Bonne résolution #2 : réviser ses préjugés

#2

Cela me fait penser que, récemment, j'ai rencontré un éditeur qui souhaitait me vendre sa solution et lorsque le sujet de la sécurité a été abordé, il m'a dit, avec assurance, que leur produit était très sécurisé car il utilisait le protocole des banques ... il parlait du https :)


Message posté par GerardG (Déconnecté) le mardi 17 janvier 2017 à 09:06:09 en réponse au message n°#1 REPONDRE