Table des matières
Au niveau des Bonnes pratiques
Pratiques essentielles
Ordinateurs de bureau ou portables, téléphones mobiles, tablettes, objets connectés (IoT)…
Sources : 10 règles d'or - Bonnes pratiques (cyber) - Bonnes pratiques (cybermalveillance)
- Professionnel et Personnel usages séparés. Un ordinateur pour chaque (et ses sauvegardes séparées…). Éviter de passer des supports de l'un à l'autre. Apprendre à séparer ses usages pro-perso.
- Mises à jour de sécurité : automatiques, quotidiennes, pour le système et les applications. Pour les appareils mobiles aussi. Sur Linux, installer les Navigateur (wiki) à partir du site de l'éditeur, pas du dépôt de la distribution (plusieurs mises à jour de retard).
- Sauvegardes régulières de vos données, automatiquement. Faites des Sauvegardes (wiki) avant les Mises à jour.
- Supports de stockage sensibles (clef USB, disques, sauvegardes…) en lieu sûr.
- Mots de passe forts différent pour chaque compte + Gestionnaire de Mots de passe — Mots de passe (wiki)
- Authentification à double-facteur si possible, ou mots de passe complexes.
- En déplacements, toujours un œil sur vos équipements (vol, compromission…).
- Session de travail verrouillée hors de votre présence.
- Messageries — attention aux pièces jointes et aux liens.
- Réseaux Wi-Fi publics ou inconnus, VPN obligatoire.
- VPN, beaucoup ont des services supplémentaires de protection.
- Bornes de recharge USB… — danger.
- Visioconférence, échanges téléphoniques — pas Confidentialité sur les réseaux publics.
- Smartphone — ne pas le prendre pendant les réunions sensibles. Il peut être utilisé pour enregistrer vos conversations à votre insu.
- Informations personnelles en ligne, c'est votre identité numérique… Réseaux sociaux avec maîtrise et modération.
- Pare-feu, contre le trafic indésirable entrant ou sortant.
- Chiffrez vos correspondances.
- Applications, ne les téléchargez que sur les sites officiels.
- Messages inattendus — méfiez-vous, hameçonnage ou phishing. — Menaces (wiki)
- Fraudes à la carte bancaire, vérifiez les sites avant. Utilisez toujours une “e-Carte bleue”.
- Sensibiliser votre entourage, y compris vos enfants.
Plus d'explications :
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/les-10-regles-de-base-pour-la-securite-numerique avec explications.
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/10-mesures-essentielles-assurer-securite-numerique
Appareils mobiles
Appareils mobiles — Cybermalveillance.gouv.fr
Comment sécuriser au maximum l’accès à votre smartphone ? — CNIL
Comment sécuriser son ordiphone ? — ANSSI
Utiliser le “clavier virtuel” contre le risque posé par les keyloggers (enregistreurs des touches tapées au clavier).
Création des comptes
Un compte (sur une machine ou sur un site web) est strictement personnel, surtout son mot de passe.
Vos correspondants
Informez vos correspondants de votre approche de la confidentialité sur le web.
Vos correspondants connaissent des informations sur vous. S'ils n'ont pas conscience de la captation des données, qu'ils sont diserts sur leur entourage, ils peuvent émettre des informations, des traces, que vous ne souhaitez pas.
Informez-les des risques qu'ils courent pour eux-mêmes.
Sachez que tout ce que vous faites sur Internet est public, un jour ou l'autre, et surtout, éternel (voir les conditions de FessesBouc). Attention aux photos douteuses de la fête de fin de promo…
Tous vos commentaires, “likes”, “pouces”, “j'aime”… sont publics et servent à établir votre profil 2.0, qui est revendu à de très nombreuses entreprises de marketing. En fonction de leurs scores, vous aurez accès ou pas, à certaines choses.
Confidentialité — Anonymat
Est-il judicieux de donner tous ces renseignements (exacts) sur des sites où ça ne semble pas utile mais qui l'exigent ?
- Identité (exacte ?)
- Date de naissance (exacte ?)
- Adresse postale (exacte ?)
- Numéros de carte bancaire (?), il y a une vérification algorithmique.
- Numéros de téléphone (exacts ?)
- Profession (exacts ?)
- E-mails
- Goûts, intérêts… (exacts ?)
- Etc.
Considérez les fuites de données comme la norme, une banalité, tous les réseaux sociaux y ont eu droit. La question n'est pas de savoir s'il est possible que ça se produise, mais quand cela se produira ; et quelles informations aurez-vous confié à ce site?
Fuite de données Facebook, 533 millions de comptes concernés (2017, 2018, 2019).
Le risque est dans tous les domaines… Fuite massive de données médicales.
Qui peut-être intéressé par vos données : assureurs, complémentaire santé, banquier, fisc, cambrioleurs, raquetteurs par le web, prospecteurs…
Google va croiser encore plus de vos données personnelles. - 24/10/2016
Solutions
Double authentification
Faire la liste des services validés avec une Double authentification = Vérification en 2 étapes (sur nouveau navigateur).
Organisme | Service | Date de souscription | Appareils certifiés (modèle) |
---|---|---|---|
Banque Postale | Certicode Plus | 02/04/2018 | TéléphoneA48, PCLeno785 |
Yahoo | adresse.mail@yahoo.fr | 25/06/2018 | TéléphoneD86, PCLeno785, TabletteRT456 |
Comptes mail
Faire la liste des comptes mail et de leurs validations croisées (envoi d'un mail pour récupération du compte).
Compte | Adresse de récupération |
---|---|
adresse.mail@yahoo.fr | adresse.mail@monsite.fr |
Message d'absence
Sur les répondeurs téléphoniques, mail de réponse automatique, réseaux sociaux…
Pour qu'on sache quand vous serez partis de chez vous…
Départ en vacances
Les erreurs à ne pas commettre sur le web (CNIL) : comptes mails, comptes sociaux (Instagram, Facebook, Twitter).
Conseils pour éviter les cambriolages (ministère de l'Intérieur).
Mots de passe
Mots de passe, ce qu'il faut savoir.
Notes Yahoo
Source : comment préserver la sécurité - Yahoo
- Logiciels à installer — Soyez certain de leur provenance (logiciels malveillants).
- Visitez les Centres de sécurité des sites — Découvrez comment protéger vos informations et rester sécurisé en ligne.
- Sur les ordinateurs publics, déconnectez-vous toujours de vos comptes.
- Hameçonnage — Ne cliquez pas sur des liens dont vous n’êtes pas sûr, même s’ils vous ont été envoyés par des amis.
- Vérifiez les connexions — Recherchez dans les activités récentes sur votre compte des connexions inhabituelles.
- Supprimez les questions secrètes de sécurité — C'est une faille pour les attaques par dictionnaire. Les traiter comme un mot de passe normal.
- Mettez à jour vos informations de récupération — Enregistrez dans votre compte une adresse mail et un numéro de téléphone portable à jour.
- Supprimez une méthode de récupération abusive — Si une tierce personne a ajouté à votre compte une adresse mail ou un numéro de téléphone portable, supprimez-la ou supprimez-le complètement en cliquant sur le lien qui se trouve dans le mail de vérification que notre système vous a envoyé lors de son ajout. Pour des raisons de sécurité, les options de récupération qui sont supprimées de cette façon ne peuvent plus être ajoutées à nouveau.
- Supprimez les mots de passe d'application que vous ne reconnaissez pas — Si vous avez changé le mot de passe de votre compte pour des raisons de sécurité, veillez également à révoquer tous les mots de passe d’application.
Yahoo : adresse mail secondaire = supplémentaire = temporaire = Alias.
Règles
La 1ère faille : l’humain. Un ordinateur est strictement personnel. La façon de le gérer, de le structurer, de le protéger, dépendent du niveau de connaissance et de la rigueur à en prendre soin.
Les 10 lois de la sécurité informatique — ou — 10 lois immuables de sécurité selon Micro$oft
- 1 nom de compte différent pour chaque site — Ingénierie sociale.
- 1 mot de passe différent pour chaque site — Fuite de données des sites.
- Pas d'authentification par un compte tiers (FessesBouc, Googol…) — Profilage marketing — Ce compte tiers une fois piraté, ouvre tous les autres.
Authentification unique (SSO - single sign-on) par un site tiers, est une méthode permettant à un utilisateur d'accéder à plusieurs applications informatiques (ou sites web sécurisés) en ne procédant qu'à une seule authentification. Mais quand elle est compromise, tout ce qui en dépend est compromis… Tout ça ne repose que sur 1 seul Mot de passe !
- YahooID (Yahoo!)
- Live ID (Microsoft)
- Google Account (Google)
- Apple ID (Apple)
- OpenID (Yahoo!, Myspace, Google, Microsoft…).
Données sensibles
Les données sensibles sont susceptibles d’engendrer un risque élevé pour les droits et les libertés.
- Données d'identité.
- Données de santé (n° de sécurité sociale = Numéro d'Inscription au Répertoire des Personnes Physiques (NIRPP ou NIR), résultats d’examen ou de test biologique, données génétiques, maladie (ou risque), handicap, taux d’invalidité, antécédents médicaux, traitement médical (indique le type de pathologie), soins réalisés, état physiologique ou psychologique, admission dans un établissement spécialisé, codage CCAM (Classification Commune des Actes Médicaux)…). Plus subtil, le croisement de mesures avec d’autres données (poids, nombre de pas, mesure des apports caloriques ; croisement de la tension avec la mesure de l’effort, etc.).
- Identifiants et mots de passe.
Services les plus importants
⇒ courriels, impôts, banques, sites de commerce en ligne, etc.