En 2013 éclate l’affaire Snowden; le commun des mortels découvre alors que les services de renseignements américains, notamment la NSA, ont la capacité d’effectuer une surveillance de masse des appels téléphoniques et échanges en ligne et de mettre sur écoute de nombreux dirigeants étrangers. De plus, de nombreuses informations sont collectées sur les citoyens ordinaires aux États-Unis. La NSA assure une mission de surveillance dans un but antiterroriste mais outrepasse cette mission en versant aussi dans l’espionnage économique et industriel.
À la suite de ce scandale, même si la vie privée et les data du citoyen lambda n’intéressent pas particulièrement les services de renseignements, les traces et les datas laissées par notre navigation sur Internet et sur les réseaux sociaux intéressent des acteurs comme les GAFAM (Google, Amazon, Facebook, Apple, Microsoft) mais d’autres aussi, moins honnêtes… Aussi, c’est l’intérêt de tous de protéger au mieux ses datas, qu’il s’agisse (surtout !) d’une entreprise ou d’un particulier.
Internet, c’est la vie privée mise sur la place publique. Dans la société contemporaine, marquée par ce que le philosophe Richard Sennett décrivait en son temps comme une "tyrannie de l’intimité" conduisant à une survalorisation du "moi", du personnel et de l’authentique, ce type d’agression peut se révéler d’une particulière gravité. Sans basculer dans la paranoïa, il est urgent de protéger nos données car celles-ci revêtent une importance stratégique, tant pour le particulier comme pour l’entreprise, car elles représentent l’or noir d'aujourd'hui. Un grand nombre d’internautes sous-estime la valeur des données personnelles, la façon dont elles peuvent être traitées à leur insu jusqu’à être utilisées pour des usurpations d’identité ou pour faire d'eux des proies face aux cybercriminels.
Ainsi donc, une bonne hygiène numérique et l’utilisation de certains outils détaillés dans ce document permettent de limiter les traces et la communications de métadonnées exploitables par des esprits malveillants. Cependant, malgré l’accès à des logiciels de protection, le problème se situe, bien souvent, entre la chaise et le clavier… De bonnes pratiques sont indispensables pour une cyber-hygiène, responsable et efficace.
LES BONNES PRATIQUES
Protection des données collectées
Dans l’actualité de ces derniers mois, les prises de consciences se multiplient en matière de données personnelles. Pour rappel, voici deux exemples:
- La fuite d’information de Facebook via la firme britannique, Cambridge Analytica, a eu deux conséquences. La première étant la chute du cours boursier du réseau social, avec une perte record de 93 milliards de dollars (soit plus que la capitalisation totale de BNP Paribas).
- La seconde, qui nous intéresse davantage dans le cadre de ce dossier, est le risque que les données récoltées permettent l’élaboration d’un logiciel capable de prédire et d'influencer le vote des électeurs. En effet, cette société, liée au Parti républicain américain, affirme disposer d'informations sur plus de 230 millions d'électeurs américains…
- L’application de fitness « Strava », utilisée pour partager ses exploits et diverses performances sportives a fait la une des médias au mois de janvier dernier car elle dévoilait des itinéraires, empruntés par des soldats français et américains autour de leurs bases militaires, secrètes pour certaines d’entre elles. Le danger étant manifeste, le ministère de la Défense a rappelé à l’ensemble des troupes de penser à désactiver la fonction GPS sur leur smartphone.
Par ailleurs, le RGPD (règlement général sur la protection des données), qui entrera en vigueur le 25 mai 2018, tend désormais à modifier le rapport de force avec les internautes.
Les données personnelles sont collectées sur l’ensemble des systèmes d’information, à commencer par les smartphones grâce notamment au Wi-Fi. En effet, que l’on utilise un iPhone et son système d’exploitation iOS ou d’autres téléphones utilisant Android, de nombreux moyens permettent d’analyser nos comportements dans le but de présenter et d’améliorer les produits, services et propositions commerciales destinés aux consommateurs du web. L’utilisation de ces données recouvre un vaste champ d’exploitation et servent, entre autres, à l’amélioration de la prédiction de résultat : lors de nos recherches, pour connaître le nombre de personnes présentes dans un magasin ou encore pour mieux cibler les publicités qui nous seront proposées.
Outre celles collectées par les applications tierces, où la gestion et modification sont possibles dans chacunes d’entre elles, nous prendrons l’exemple des applications-constructeurs qui permettent de suivre vos déplacements et bien plus.
Sur les iPhones se trouve la fonction “Lieux fréquents” qui recense la majorité des endroits où vous vous êtes rendus, avec leur localisation exacte, la date et l’heure d’arrivée/départ ainsi que le nombre de fois où vous vous êtes rendu à cet endroit.
Ces données sont, en principe, utilisées pour améliorer certains de nos trajets, il n’empêche qu’elles constituent une référence géographique importante sur notre vie personnelle. Il devient alors très facile de déterminer l’adresse de notre domicile, de notre travail ou de tout autre lieu que nous fréquentons.
Un possesseur d'iPhone peut vérifier/désactiver ces informations en suivant la procédure suivante: Aller dans Réglages → Confidentialité → Service de localisation → Service système → “Lieux importants” ou “Lieux fréquents” selon les versions iOS.
De son côté, Google a un système similaire, plus développé, intitulé: “Google My Activity”. Cet utilitaire collecte un certain nombre d’informations sur tout usager de téléphone Android (par exemple Samsung ou Huawei) ou sur un simple utilisateur de service Google, comme Gmail ou YouTube.
De nombreuses informations sur notre vie privée y sont enregistrées, par exemple l’historique de navigation internet y est sauvegardé, l’ensemble des vidéos YouTube visionnées, l’utilisation des différentes applications appartenant à la famille du géant américain, comme “Google Maps”. Vous y retrouverez les trajets effectués, le moyen de transport utilisé, les dates de départ et d’arrivée et le parcours réalisé sur la carte.
Afin de mieux nous rendre compte de l’intégralité des informations nous concernant, liées à votre compte, on peut les consulter en cliquant sur le lien ci-après. Il sera alors possible de les désactiver si vous le souhaitez : https://myactivity.google.com
Voici quelques astuces pour se prémunir de ces dérives:
- Astuce n°1
En quelques clics, il est possible de désactiver la collecte de nos données de géolocalisation par Google Maps en allant dans:
→ "mon compte" > "vos informations personnelles" > "accéder aux commandes relatives à l'activité" > désactiver l'onglet "historique des positions".
- Astuce n°2
Effacer notre historique de navigation dans Chrome n'empêche pas Google de pourvoir collecter des informations sur notre activité sur écran (recherches et sites visités). On peut cependant en supprimer l’intégralité en quelques secondes en allant dans:
→ "mon compte" > "accéder à mon activité" > "supprimer des activités par" > sélectionner "toute la période" et "tous les produits" > "supprimer".
- Astuce n°3
Depuis la page compilant l'ensemble des applications ayant accès à certaines de vos données Google, on peut supprimer les droits d'accès que vous ne jugez plus pertinents en allant dans:
→ "mon compte" > "applications et sites connectés".
Ces services, créés pour faciliter la vie des utilisateurs ne doivent pas seuelement être perçus comme des espions de nos vies privées. Cependant, il faut avoir conscience de leur détournement à des fins commerciales et, parfois, malveillantes. À nous d’être vigilants et de maîtriser les informations que nous divulguons.
La sécurité mot de passe
Les cyberattaques exploitant les “vulnérabilités mots de passe” sont très fréquentes car l’accès aux techniques permettant de “récupérer” les mots de passes ou de pirater les divers identifiants est aujourd’hui à la portée de tous. Il s’avère que ce type de vulnérabilité concerne moins le citoyen lambda que les nouveaux « intérêts criminels » se développant autours des cyberespaces et des systèmes professionnels d’information. En 2017, on ne compte pas moins de 5 cyberattaques majeures sur des entités professionnelles, par le biais de l’exploitation frauduleuse des
“ vulnérabilités mot de passe” :
- En mars 2017: Le bureau de consulting Deloitte découvre que, pendant 6 mois, il a été victime d’une intrusion sur ses systèmes d’informations. Les hackers ont utilisé un identifiant et un mot de passe administrateur afin d’accéder à une partie des données Deloitte, hébergées dans le Cloud Azure de Microsoft.
- En septembre 2017: Equifax, société américaine spécialisée dans le crédit, a subi un piratagede cartes bancaires (plus de 200 000 numéros). L’intrusion s’est effectuée via l’une des applications de la société, apparemment sécurisée par un mot de passe dit “faible”.
- En octobre 2017:La plateforme Android pour smartphones et tablettes a été prise en otage par le ransomware « Doublelocker », capable de changer le code PIN des utilisateurs, les empêchant ainsi d’accéder à leurs appareils.
On citera aussi pour cette même année, les cas de Imgur et Microsoft Office 365.
Pour se protéger au mieux contre une attaque sur une “ vulnérabilité mot de passe”, il est donc utile d’exercer une activité de veille afin d’adapter les dispositifs de sécurité si besoin.
Trois types d’attaques mot de passe peuvent être distinguées:
- « Brute Force Attack » ou attaque de force brute: un hacker utilise un programme ou un script pour tenter une intrusion sur une machine ou un système, par une combinaison de plusieurs mots de passe.
- « Dictionary Attack » ou attaque dictionnaire: un hacker utilise un programme ou un script pour activer un cyclage de mots de passe au moyen d’une combinaison de mots communs (un dictionnaire).
- « Keylogger Attack » ou attaque Keylogger:un hacker utilise un programme pour enregistrer tout ce qu’un utilisateur a pu taper sur son ordinateur, y compris des identifiants et des mots de passe.
Ces types d’attaques sont aujourd’hui volontairement reproduites lors d’ateliers professionnels, parfois ouverts au grand public lors de salons professionnels ou de concours organisés : INS’Hack, Hacking de l’hôtel de ville, Hackers challenge, Hackathon, Tufts Cracking Contest (University Security Class), CuriousU (Twente University) et bien d’autres…
Ces événements servent tant d’observatoires que de laboratoires pour sensibiliser à la cybersécurité, résoudre les problématiques actuelles et accélérer le développement des solutions.
L’une des parades existantes pour sécuriser les mots de passe sur internet est l’utilisation d’un gestionnaire de mot de passe. Cet outil permet avant tout la sauvegarde des mots de passe mais, par leur chiffrement, il peut devenir une méthode de protection. Il convient de garder à l’esprit que ce type d’outil reste un programme, il peut donc, lui aussi, présenter des vulnérabilités:
- En juin 2017: Piratage du gestionnaire de mot de passe OneLogin, comptant des millions de clients dont 2000 entreprises (Dropbox entre autres).
- En décembre 2017: Keeper, un autre outil de gestion de mots de passe, est alerté par le chercheur anglais Tavis Ormandy sur une vulnérabilité qui permettrait de récupérer les données du logiciel. Depuis lors, celle-ci a été corrigée.
Selon le hacker allemand Matthias Ungethuem, la manière la plus simple de sécuriser un mot de passe consiste à en choisir un de grande complexité dont le crackage pourrait être retardé au maximum. Selon l’ANSSI (Agence Nationale de la Sécurité et des Systèmes d’Informations), choisissez des mots de passe composés si possible de 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire. Au travers de différentes interventions, conférences et publications, les pouvoirs publics sensibilisent activement sur ces pratiques et proposent aussi un certain nombre de recommandations importantes pour faire face aux attaques mots de passe.
Les antivirus
L’utilité des antivirus et la nécessité impérative de leur installation dès la configuration d’une nouvelle machine est aujourd’hui largement comprise et acceptée par les utilisateurs.
L’antivirus, ou antimalware, identifie et neutralise les logiciels malveillants afin de protéger notre système d’une infection. Ces virus peuvent être téléchargés à notre insu lors de la navigation sur le Web, camouflés dans des programmes ou fichiers d’apparence inoffensive ou lors de l’ouverture d’une pièce jointe dans un courriel.
Les logiciels malveillants peuvent avoir de très nombreux effets sur la machine mais ils s’attaquent majoritairement aux données et informations de l’ordinateur. Ils peuvent se contenter de les voler mais peuvent aussi les détruire (wipers tels que le fameux NotPetya ou Shamoon, utilisés notamment contre les sociétés Saudi Aramco et le qatari RasGas) que les chiffrer. Fléau de l’année 2017 (Petya, Wannacry), les logiciels de rançon dits ransomwares chiffrent une partie ou tout l’ensemble des données d’un utilisateur pour lui réclamer ensuite à l’utilisateur souhaitant les récupérer, une certaine somme d’argent, généralement en crypto monnaies, comme le bitcoin.
Pour un expert en intelligence économique, dont l’une des prérogatives est la protection des informations de l’entreprise, on ne peut que souligner la pertinence de l’installation d’un antivirus et, surtout, la nécessité de sensibiliser les employés à tous niveaux à leur bonne utilisation. En effet, celle-ci ne se limite pas au choix et à l’installation d’un antivirus (par ailleurs recommandé sur tous systèmes d’exploitations, macOS compris), mais aussi aux mises à jours régulières. Cela permet à l’antivirus d’ajouter à sa base de donnée les derniers malwares découverts ; ne pas les effectuer revient donc à créer des failles de sécurité dans son système.
Il existe de nombreux éditeurs d’antivirus qui proposent chacun des solutions différentes, intégrant plusieurs niveaux de protection mais aussi de prix. Parmi les solutions payantes, les plus utilisés sont, entre autres, Bitdefender, Kapersky, Norton et McAfee. À l’évidence, les solutions gratuites (Avast, Avira) offrent une protection moins complète et ne sont donc pas recommandées en entreprise. L’éditeur Emsisoft propose notamment, en plus d’un antimalware de nombreuses fois primé, un logiciel portable appelé “Emergency kit” qui permet de nettoyer les données d’un ordinateur infecté, sans installation nécessaire. La particularité de cet antivirus Emsisoft consiste dans l’utilisation d’un scanner à double moteur, plus rapide et efficace que les scanners habituels : le premier moteur se concentre sur les menaces courantes tandis que le second recherche les programmes indésirables.
Pour les smartphones, la solution Lookout propose une application (iOS et Android) de protection contre les risques provenant des réseaux, applications et autres appareils. Elle permet par ailleurs de vous prévenir si quelqu’un essaie de déverrouiller votre téléphone plusieurs fois, de localiser celui-ci en cas de perte ou de le bloquer.
On rappellera malgré tout que l’installation d’un antivirus, sa bonne configuration et les mises à jours régulières ne rendent pas une machine immunisée aux attaques et peut procurer un faux sentiment de sécurité. Il est important de comprendre et respecter les autres éléments introduits le long de ce dossier afin de limiter les risques d’infection au maximum .
Les gestes de l’internaute avisé
Sur Internet, une multitude de risques sont susceptibles de récupérer ou dévoiler les informations personnelles des internautes et peuvent éventuellement avoir un coût financier pour leurs victimes. Nous pouvons évoquer, par exemple, l’infection par des malwares, au travers de pièces jointe d’emails, mai aussi via un réseau Wi-Fi.
Afin de limiter voire éviter ces risques, les internautes sont invités à prendre, entre autres, les mesures suivantes:
- Ne pas ouvrir le courriel si le texte est en langue étrangère et que l’expéditeur n’ait aucune raison d’écrire en cette langue.
- Faire attention à l’extension de la pièce jointe avant de l’ouvrir. Les fichiers en .exe et en .vbs ont plus de risques de contenir un virus que les autres formats de fichiers.
- Être attentif à la forme des URL sur lesquels on navigue. Ainsi, privilégier les sites intégrant le HTTPS (HyperText Transfer Protocol Secure) au HTTP car le protocole HTTPS vérifie l’identité du site web sur lequel se rend l’internaute via des certificats d’authentification. Grâce à un processus de chiffrement, le HTTPS permet de garantir l’intégrité des données saisies par l’utilisateur sur une page web, ce qui est particulièrement important pour des transactions financières.
- Scanner, dans la mesure du possible, la pièce jointe avec un logiciel antivirus avant son ouverture.
- En cas de connexion au Wi-Fi public, ne pas transmettre d’informations importantes (par exemple : ne pas se connecter au site de sa banque). D’autres personnes connectées au même Wi-Fi pourraient intercepter des informations vous concernant.Utiliser un VPN.
- Vérifier, de temps en temps, si des personnes inconnues se connectent à votre Wi-Fi personnel. On peut facilement visualiser les personnes connectées à son réseau domestique avec l’aide d’application mobiles comme « fing », disponible pour iPhone et Android.
- Mettre à jour régulièrement les logiciels installés et le système d’exploitation afin de corriger les failles de sécurité.
- Obstruer sa webcam lorsque vous ne l’utilisez pas, au cas où l’ordinateur aurait été infecté par un malware. En effet, certains viruspermettent aux hackers de manipuler une webcam à distance.
Les risques sur l’appropriation des données à caractère personnel n’existent pas que sur Internet ; ces données peuvent également être subtilisées de manière physique. Il faut donc toujours verrouiller
l’ordinateur avec un mot de passe lorsque l’on est contraint de le laisser sans surveillance. De plus, il est utile d’utiliser un filtre de confidentialité lorsque l’on se déplace sa machine. Ils permettent de limiter la vision sur l’écran pour les personnes ne se trouvant pas juste en face de celui-ci et évite les regards indiscrets par exemple dans le train ou dans un café.
Découvrez le deuxième volet de ce dossier, nous vous y présentons diverses astuces pour naviguer sur internet de façon sécurisée et anonyme.
L’équipe de rédaction du Club Cyber AEGE :
Guillaume Demonet, Jérôme Freani, Hirotaka Kato, Choukri Omari, NC
Avec la participation de :
Le Club Webtechno de l’AEGE Anne-Elizabeth Maghinici
Le Club BigData & IA de l’AEGE représenté par Lucas Atton
Baptiste Fortin