Safe-Computer EXploitation (Safe-CEX)

Quelles « règles » de comportement devez-vous adopter en tout temps ?

Ces « règles » sont les bonnes pratiques qui relèvent du simple bon sens. Lorsque ces règles ne sont pas suivies, la sanction est immédiatement : Virus PEBCAK.

Selon une étude du 27.11.2007 conduite par la Computing Technology Industry Association (ComTIA) auprès de 1.070 entreprises, 44,2 % ont mentionné les abus des utilisateurs/employés comme un défi pour la sécurité.

1. Contrôlez-vous et maîtrisez votre boulimie. Si votre machine doit être solide (un ordinateur de production pour un professionnel ou un ordinateur personnel sérieux), il doit être impérativement exclu d'en faire un laboratoire d'essais et d'y installer sans cesse tous les nouveaux trucs qui sortent. Plus encore : n'installez jamais, dès leurs sorties, les nouvelles versions de vos applications déjà installées. Il faut toujours rester grand « saigneur » (avec un « a ») et attendre plusieurs mois (3 à 6 mois), que les autres aient essuyé les plâtres, que les failles de sécurité aient été découvertes et, au moins, partiellement corrigées, que les additifs malveillants aient été découverts et contrecarrés (cela ne concerne pas, bien entendu, les mises à jour de sécurité (correctifs aux failles de sécurité) et les mises à jour des logiciels de sécurité..
   
   
2. Méfiez-vous de tous les produits (logiciels entre autres) et services gratuits (à fortiori s'ils ont l'air ludiques). Rien n'est gratuit, jamais - et encore moins sur le Net. Vous le payez, au minimum, par l'espionnage, le tracking, le profiling et la zombification de votre machine - au pire par la perte de votre patrimoine bancaire, etc.
   
   Le gratuit, ça n'a pas de prix, mais ça a un coût
   Si le produit est gratuit, c'est vous qui êtes le produit.
   Si le service est gratuit, c'est vous qui êtes le service.
   
   
3. Ne jamais révéler d'informations personnelles sur Internet. Ne donnez que des informations fausses (fausse adresse, faux numéros de tout, faux âge, faux profil, faux métier, faux revenus, faux nombre de personnes au foyer, faux niveau d'équipement, etc. ...). Ne dites jamais rien de véridique, ni rien qui puisse permettre, de près ou de loin, d'établir votre profil, surtout sur les sites de socialisation, les sites de rencontre, les forums de santé, les forums de conseils financiers, etc. ...
   Vous avez tout à cacher.
   Si vous croyez n'avoir rien à cacher, c'est que vous n'existez pas.
   
   
4. Ayez plusieurs adresses e-mail dont une que vous ne donnerez jamais que verbalement à vos proches. Lorsque l'on vous demande une adresse e-mail sur un site, lors d'une inscription à un forum, lors d'abonnement à des lettres, etc. ... ayez toujours et donnez toujours des adresses e-mail réservées à cela, car elles seront immédiatement la cible de spammeurs commerciaux et de spammeurs de cybercriminalités. Truc : introduisez, dans l'adresse e-mail que vous donnez lors d'un écrit électronique (dans un e-mail, dans un forum de discussion..), une altération évidente aux yeux d'un internaute qui saura vous répondre en corrigeant votre altération, mais qu'un robot spammeur ne verra pas - le spam ira s'écraser sur une boîte inexistante. Si votre adresse e-mail est moi@ici.fr, donnez un truc du genre moi_nospam_@_ici point fr. Un internaute saura vous répondre et restaurer votre bonne adresse e-mail, un robot s'y laissera prendre. Autre solution simple : utilisez CerberMail pour crypter vos adresses e-mail ou, génial, SpamGournet.
   
   
5. Au travail, ayez un comportement en accord avec le contrat qui vous lie à votre employeur, petit ou grand, et sachez que vous pouvez être surveillé. C'est normal. Ne faites jamais à autrui ce que vous ne voudriez pas que l'on vous fasse. N'avez-vous jamais songé à créer votre propre entreprise ? Ce jour-là, vous engagerez votre maison, vos économies, vos biens personnels, peut-être ceux de votre famille et vous travaillerez 25 h par jour. Votre responsabilité pénale, sociale et fiscale sera illimitée tandis que celle de vos employés sera inexistante. Au contraire, eux seront protégés. Trouverez-vous normal, à ce moment-là, que les gens que vous salariez en échange d'un travail utilisent les ordinateurs que vous avez achetés à chatter, télécharger des musiques ou des films, surfer sur des sites pornographiques, rédiger du courrier personnel, etc. ... C'est du simple bon sens.
   
   
6. Ne répondez jamais aux sites et aux courriers qui vous offrent de vous envoyer un cadeau ou une récompense, etc. ... à condition que vous remplissiez, bien sûr, la fiche de renseignements nécessaires. Vous êtes soumis à une véritable fiche de police avec votre adresse pour envoyer le cadeau, votre compte bancaire pour faire un virement... Ne répondez même pas pour dire « Non - Merci », cela validerait votre adresse eMail qui sera revendue plus chèr à d'autres spammeurs. Ne faites rien.
   
   
7. Ne répondez JAMAIS aux spammeurs. Soit le spam est malveillant et l'adresse de l'expéditeur est fausse (elle est « forgée »), soit le spammeur est un robot qui ne sait pas recevoir de réponse, soit, pire, le spammeur a, avec votre réponse (il se fiche complètement de ce que vous écrivez - c'est juste un robot qui reçoit votre réponse qui ne sera jamais lue) confirmation que votre adresse e-mail est valide et que vous avez lu son spam - votre adresse est donc validée (par vous-même !) et sera donc de plus en plus spammée.
   
   
8. Evaluez froidement la perte de vos disques durs avec tous les programmes et toutes les données qui y sont stockées, classées, etc. ... Quelles tranches de vie, privée ou professionnelle, risquez-vous en n'étant pas protégé ? Quel serait le coût de reconstruction de ces données si tant est qu'elles puissent l'être ? Etc. ... Ayez toujours une conscience aiguë du risque et de son évaluation. En somme, conduisez-vous en adulte responsable. Un kit de sécurité, comme Kaspersky PURE, coûte l'équivalent du prix d'un paquet de cigarettes par mois. Mettez ce coût en balance avec la perte de toutes vos données !
   
   
9. Lisez les conditions générales de droit d'usage d'un logiciel (clauses souvent appelées EULA (End User Licence Agrement)) AVANT de l'installer, ainsi que les clauses appelées « Vie privée » (ou « Privacy »), indiquant, à mots couverts, quelles sont les données privées qui sont capturées et stockées par le logiciel ou son site. En acceptant ces conditions pour installer le logiciel, vous êtes réputé les avoir lues. Elles contiennent, parfois, une description des données personnelles espionnées/collectées et certains sites clament leur appartenance à des chartes d'honnêteté bidon qui s'autoérigent en label de confiance. - (les Trust seal - sceaux de confiance)
   
   
10. Utilisez un pare-feu pour bloquer toutes les connexions entrantes à partir d'Internet à des « services du système d'exploitation » (Windows ou autre) tournant sur votre machine, mais qui ne devraient pas être accessibles au réseau public. Par défaut, vous devriez refuser toutes les connexions entrantes et seulement permettre aux services de Windows dont vous avez explicitement sollicité le fonctionnement de s'ouvrir au monde extérieur.
    
    • Sans pare-feu, vous avez 4 minutes pour survivre sur l'Internet.
      
    • Scan de ports
      
    • Scan de failles
      
    • Failles de sécurité
    
    
11. Développez une stratégie de mots de passe longs (14 caractères minimum), complexes (majuscules, minuscules, chiffres, caractères accentués et spéciaux), impossibles à mémoriser sauf à utiliser des moyens mnémotechnique, différents pour chaque compte (jamais le même mot de passe), n'appartenant à aucun dictionnaire de mots ou noms, etc. ... Voir le dossier « Mots de passe » et Testez la solidité d'un mot de passe. D'autre part, protégez les documents sensibles, sur votre machine, par des mots de passe : le vol de mots de passe en lui-même est déjà un exercice difficile. Un mot de passe introduit une couche supplémentaire de protection de vos données, même sur une machine compromise.
    
    
12. Assurez-vous en permanence d'avoir les droits administratifs les plus faibles possible qui vous permettent d'exécuter vos tâches (vos programmes). Ne jamais travailler sous un compte administratif, surtout lorsque vous êtes connecté sur l'Internet. Ne jamais travailler avec des privilèges élevés et inutiles qui mettent en péril la sécurité de votre ordinateur. Si un attaquant arrive à pénétrer votre ordinateur alors que le compte ouvert à des droits élevés (et inutiles), l'attaquant bénéficie des mêmes droits ! Sous Windows Vista, Windows 7, Windows 8 et suivants, même si vous êtes administrateur, vous travaillez par défaut avec des privilèges faibles, et c'est normal. Si une demande d'élévation de privilège vous parvient, soyez vigilant, voire méfiant, avant de répondre.
    
    • Principe de moindre privilège (pdf, français, 47 pages, Assiste.com)
    • DropMyRights
    • Comment ouvrir une « Invite de commandes » avec élévation aux privilèges administratifs (Windows XP, Vista, 7, 8, 10)
    
    
13. Empêcher absolument l'ouverture automatique de fichiers exécutables sur les CD-Rom, DVD-Rom, Blu-ray, Carte mémoire, Clé USB, disque dur externe, amovibles ou réseau, carte flash, iPod, lecteur mp3, appareil photo... Débrancher ces périphériques lorsqu'ils ne sont pas nécessaires. Mettre physiquement ces périphériques en « lecture seule » lorsqu'aucune écriture n'est envisagée dessus (et si l'option est disponible sur le périphérique). Voir « Comment Activer / Désactiver l'exécution automatique ? »
    
    
14. Désactiver le partage simple de fichiers par tous ceux qui se présente sur la machine, depuis l'extérieur ou depuis votre réseau interne. Si des fichiers ou répertoires doivent être partagés, ne jamais autoriser « tout le monde » (accès anonyme), mais autoriser uniquement des utilisateurs identifiés (qui disposent d'un compte et doivent demander une autorisation, par composition d'un identifiant et d'un mot de passe fort).
    
    
15. Désactiver les « services » du système d'exploitation qui ne sont pas nécessaires à l'utilisation que vous faites de votre ordinateur. Les systèmes d'exploitation, pour vous simplifier la vie, lancent à leur démarrage quantité de services dont certains sont absolument indispensables, mais d'autres sont totalement inutiles. Plusieurs de ces services inutiles, farfelus ou relevant de l'inconscience folle du concepteur du système (comme la prise de contrôle à distance de l'ordinateur sous prétexte qu'un technicien peut intervenir sans se déplacer, ou la modification à distance de la base de registre !), maintiennent ouverts des ports de communication avec l'extérieur (l'Internet). Ils offrent des fonctionnalités qu'un attaquant peut utiliser, comportent peut-être des failles de sécurité qui vont être exploitées... Il est probable que vous ne puissiez faire vous-mêmes des choix éclairés - même un spécialiste de Windows peut se noyer dans ce fatras : les descriptions des fonctionnalités de ces services sont obscures, lorsqu'elles existent. Des guides sont à votre disposition pour savoir comment entrer dans la gestion des services et quels sont ceux qui sont indispensables, intermittent ou totalement inutiles voire dangereux.
    
    
16. Si le service Bluetooth n'est pas utilisé pour des appareils mobiles, il faut le désactiver. Si vous vous servez de ce service pour scanner un périphérique, assurez-vous que ce périphérique soit réglé sur « invisible », de manière à ce qu'il ne puisse être scanné par un autre service Bluetooth voisin. Si des appareils Bluetooth peuvent/doivent être appairés (couplés), comme un téléphone ou un ordinateur avec une prothèse auditive, s'assurer que tous les périphériques Bluetooth dans l'environnement sont réglés sur « Non autorisé », de manière à ce que toute connexion soit soumise à une autorisation explicite. Ne jamais utiliser d'application Bluetooth en provenance de source incertaine ou inconnue.
    Si vous êtes à l'extérieur (rue, café, restaurant, lieu public, entreprise, etc.), n'importe qui peut scanner votre smartphone ou votre appareil connecté (y compris de santé, etc.) à une distance d'environ 8 mètres de vous, dans votre totale ignorance de cette surveillance/collecte/espionnage, etc. Imaginez cela par votre compagnie d'assurance dont le métier n'est pas de couvrir des risques, mais de ne pas prendre de risque, etc.
    
    
17. Mettre à jour tous les logiciels, surtout sur une machine qui est accessible de l'extérieur et dont plusieurs protocoles traversent le pare-feu (HTTP, HTTPS, FTP, MAIL, DNS...). Les mises à jour dont nous parlons ici ne sont pas les nouvelles fonctionnalités des applications et du système d'exploitation, mais la correction des failles de sécurité. Pour cela, il existe un outil côté Système d'exploitation : Windows Update et, pour toutes les autres applications, il y a un service de confiance gratuit en ligne de Scan de failles et vulnérabilités : Secunia Personal Software Inspector (PSI) qui signale tous les logiciels installés sur l'ordinateur scanné pour lesquels des correctifs aux failles de sécurité existent. Ce service peut même provoquer l'installation des correctifs.
    
    
18. Fermer la fenêtre de visualisation des e-mails de manière à ce que les e-mails ne soient jamais ouverts automatiquement lorsque l'on se balade dans la liste des e-mails. Détruire sans les ouvrir tous les e-mails sans titre et tous les e-mails dont le titre montre clairement qu'il s'agit d'une imbécilité (dont toutes les demandes de mettre à jour vos coordonnées quelque part, toutes les annonces que vous avez gagné quelque chose, etc. ...). Demander à tous les interlocuteurs de n'écrire qu'en « texte seul ». Rejeter sans les ouvrir les e-mails créés avec Incredimail et prévenir les interlocuteurs que leurs e-mail seront ignorés tant qu'ils utiliserons cet outil d'espionnage. Avant d'ouvrir un e-mail qui contient des pièces jointes, regarder le type des pièces jointes et mettre directement à la poubelle, sans les ouvrir, les e-mail contenant des fichiers dont l'extension est utilisée par les parasites cherchant à se propager comme : .vbs, .bat, .exe, .pif et .scr. S'habituer et habituer les autres à ne jamais ouvrir les pièces jointes sauf si elles viennent d'un interlocuteur connu et que la pièce jointe est attendue. Ne jamais ouvrir une pièce jointe avant de l'avoir faite analyser par le service VirusTotal ou l'un des services gratuits en ligne d'analyse antivirus de fichiers. Sur le Web, ne jamais faire confiance en quoi que ce soit. La confiance, dans le monde numérique, consiste à être au bord d'un précipice et faire un grand pas en avant.
    
    
19. Dans un réseau, domestique ou d'entreprise, isoler immédiatement les machines identifiées comme compromises, avant même de tenter de les désinfecter, afin que le parasite ne puisse se propager au reste des machines du réseau. En cas de doute, isoler toutes les machines et les analyser une par une de manière approfondie avant de les réintégrer une par une dans le réseau.
    
    
20. Si un parasite est identifié et que l'on sait qu'il utilise un ou des services réseau, arrêter et désactiver le ou les services réseau en question.
    
    
21. Ne jamais exécuter un logiciel qui vient d'être copié ou téléchargé sans l'avoir fait analyser, gratuitement et en quelques secondes, par des dizaines d'antivirus. Utilisez le service VirusTotal ou l'un des services gratuits en ligne d'analyse antivirus de fichiers.
    
    
22. Naviguer sur le Web avec Firefox (ne jamais utiliser un navigateur Web « propriétaire », par exemple d'une régie publicitaire).
    Cela exclu toute utilisation de :
    
    • Internet Explorer de la régie publicitaire Microsoft (en plus, il s'agit d'un navigateur Web ne respectant aucun standard et un générateur de failles de sécurité en flux continue avec usage de la technologie scélérate ActiveX.
      
    • Safari de la régie publicitaire Apple
      
    • Chrome le navigateur espion de la régie publicitaire Google et de son système global d'espionnage.

    Ajouter à votre navigateur (de préférence Firefox) le protocole de blocage complet de la publicité afin de bloquer les mécanismes publicitaires qui, outre leur usage normal en assommoir, servent à déployer des malveillances et à vous tromper. Exemples :
    

    • Fausses mises à jour de Java.
      
    • Publicités trompeuses et mensongères
      

23. Suivre les conseils de « Protection du navigateur, de la navigation et de la vie privée », car il suffit de visiter un site Web compromis pour permettre à un parasite de sauter sur une faille de sécurité non corrigée du navigateur Web utilisé.

24. Etc.; Surtout etc.; Tout est dans etc.