Passer au contenu

Le Top 10 des erreurs de sécurité à ne plus commettre

La force de toute chaîne tient dans celle de son maillon le plus faible! Il en va ainsi en sécurité comme dans toute autre activité de notre vie. Et en matière de sécurité, le maillon le plus faible n’est autre que l’utilisateur lui-même. Naïveté, laxisme et imprudence sont les clés d’une sécurité défaillante. Voici 10 des principales erreurs commises par chacun d’entre nous, et qui mettent en péril votre sécurité et votre confidentialité…

Bien des utilisateurs installent Windows sans définir de mot de passe Administrateur, puis utilisent Windows avec des comptes disposant des droits d’administrateur sans leur définir de mot de passe.

Utiliser Windows sans mot de passe, c’est un peu comme utiliser pour fermer sa maison une porte sans serrure. Tout le monde peut entrer… il suffit de pousser la porte! La seule différence, c’est qu’en informatique les voleurs peuvent pousser la porte à distance!

Quelle solution ?

Il faut absolument définir un mot de passe pour chaque compte utilisateur. Pour cela, utilisez le Panneau de configuration et son icône “Comptes d’utilisateurs”.

Vous trouvez cela trop contraignant au quotidien? Vous avez tort! L’important c’est de définir un mot de passe. Pour autant, vous n’avez pas nécessairement à le saisir à chaque démarrage! Sous XP, utilisez le PowerToys “TweakUI” pour définir un login automatique. Sous Vista, saisissez “Netplwiz” depuis le menu Démarrer, et décochez la case “Les utilisateurs doivent entrer… “.

Pour que ce mot de passe soit vraiment utile, il doit comporter au moins 7 caractères, mixer des majuscules et des minuscules, employer au moins un chiffre et un signe (*-/+$’&#) !

Par exemple :
“fleur” n’est pas un bon mot de passe : il est trop court, pas assez varié et c’est un mot du dictionnaire !
“Martine” n’est pas un bon mot de passe : un mot de passe ne doit pas inclure le nom de l’utilisateur.
“030965” n’est pas un bon mot de passe : votre date de naissance, c’est trop facile.
“zuyX*207” est un bon mot de passe qui répond à tous les critères de base.

N’avoir qu’une seule adresse email et l’utiliser à la fois pour accéder à son compte de paiement en ligne (genre Paypal), envoyer des courriers à ses amis, s’inscrire à des newsletters, participer à des forums, et remplir le champ email demandé par presque tous les sites Web et tous les logiciels, est le moyen le plus simple de se faire envahir de spam, de se faire usurper son identité, de se retrouver infecté par des “malwares” via email ou messenger.

Quelle solution ?

Il faut utiliser plusieurs adresses email! Tous les FAI vous permettent de définir plusieurs adresses email. On peut aussi y ajouter les WebMails gratuits (Gmail, Yahoo Mail, Hotmail, etc.) et les solutions d’email temporaires (KasMail, GuerillaMail, 10minutemail, Jetable.org, Spamfree24.org, etc.).

Dans l’idéal, vous devriez avoir :
– Un compte email FAI pour correspondre avec vos amis
– Un compte email FAI pour tout ce qui a trait aux transactions bancaires
– Un compte email WebMail pour les newsletters auxquelles vous souhaitez être abonné
– Un compte temporaire pour tout ce qui est inscription dans les forums, inscription sur les sites, inscription dans un logiciel, activation de logiciels, etc.

Les services comme KasMail.com, GuerillaMail.com, 10minutemail.com, sont très pratiques pour créer des adresses emails jetables. Celles-ci ne restent généralement actives que quelques minutes ou quelques heures, juste le temps de recevoir une demande de confirmation d’inscription ou un code d’enregistrement. Puis elles disparaissent. En outre ces adresses ne sont pas rattachées à votre personne… Elles sont temporaires, fictives et pratiques.

Voilà la grande erreur, celle que tout le monde commet et qui simplifie la tâche de tous les cybercriminels passés maîtres dans l’art de l’usurpation d’identité. Dans certains marchés “Underground” de Moscou par exemple, on peut obtenir pour une demi-douzaine d’euros un CD contenant des listes très exhaustives de Login et mots de passe. Elles ont été obtenues en piratant les forums, les bases de certains sites, etc.

Si vous utilisez toujours le même Login et le même mot de passe pour vous connecter aussi bien aux forums, aux sites bancaires, aux sites de jeu en ligne, aux sites de bourse, etc. votre identité sera très facile à usurper.

Quelle solution ?

Utilisez des Login différents en fonction de vos activités: les Login des sites ayant accès à vos coordonnées bancaires doivent être différents de celui utilisé pour les sites de jeux et différents de celui qui vous sert pour les forums.

Variez les mots de passe! N’employez pas les mêmes mots de passe pour toutes vos activités en ligne! Une solution simple consiste à créer un mot de passe en fonction d’une base commune et du nom du site (en utilisant les 3 premières lettres du site ou la première et la dernière lettre).

L’essentiel du spam que vous recevez, y compris un certain nombre de newsletters fictives, proviennent des cybercriminels. En cliquant sur le lien “se désinscrire” ou “unsubscribe” de ces spams, vous serez illico redirigé vers un site géré par les cybercriminels où 2 désagréables surprises vous attendent:

1/ Vous venez de leur confirmer que l’adresse email est active et lue! Attendez-vous à recevoir encore plus de spams…

2/ La page d’accueil est à coup sûr piégée et utilise les dernières trouvailles comme les Webstorms ou le Drive-By-Download pour vous envoyer spywares, trojans et rootkits. Et ne comptez pas trop sur votre antivirus (surtout s’il est gratuit) pour vous en protéger! La plupart des antivirus actuels se montrent perméables à ces nouvelles attaques!

Quelle solution ?

Premièrement, ne jamais cliquer sur aucun lien présent dans un email de spam. Deuxièmement, installer un antispam ou s’équiper d’un client doté d’un antispam (Office Outlook 2007, Windows Live Mail, Vista Mail, Thunderbird 2) et enseigner à l’antispam l’expéditeur indésirable et ce type de courrier.

Nombreux sont les utilisateurs qui refusent la mise à jour automatique de leur Windows par Windows Update. Leur argument: il y a un risque de recevoir une mise à jour qui déstabilise le système. Bien que cela se soit effectivement déjà produit, et que ce risque ne puisse être écarté, il est beaucoup plus faible que celui d’être infecté dans les heures qui suivent la publication du correctif.

Les cybercriminels ne cherchent plus des failles dans le système. Ils attendent la publication d’un correctif, analysent tout simplement ce que fait ce correctif, et exploitent immédiatement la faille afin de toucher toutes les machines n’ayant pas encore installé le correctif en question. C’est actuellement l’une des principales voies d’infection, si ce n’est la principale.

Enfin, n’oubliez pas: les cybercriminels prennent de moins en moins en défaut le système. Leurs nouvelles victimes se nomment Acrobat Reader, Flash Player, QuickTime, et tous ces outils présents sur 90% des machines!

Quelle solution ?

Acceptez les mises à jour automatiques de Windows, qui ont lieu pour l’essentiel le deuxième mardi de chaque mois. En cas d’incident, il sera toujours possible de redémarrer en mode “sans échec” pour désinstaller la mise à jour qui pose problème. Ces problèmes, cependant, restent isolés et marginaux.

Pensez aussi aux mises à jour de Flash, QuickTime, Firefox, Thunderbird, Acrobat Reader, Google Desktop, etc.

La principale technique d’ingénérie sociale des cybercriminels: faire peur ! Vous recevez un email de sécurité de votre banque, d’eBay, de Paypal, du FBI, de la CIA, du centre de sécurité de Microsoft… Votre ordinateur affiche fréquemment des fenêtres indiquant que vous êtes infecté, qu’une infection a été détectée, ou que vous avez un problème de performance et vous invite à cliquer pour obtenir une solution…

Tous ces messages sont des leurres… Ne cliquez surtout pas dessus, vous seriez instantanément infecté!

Quelle solution ?

Ne soyez pas naïfs! Les banques ne préviennent jamais leurs utilisateurs par email, mais par des messages sur leur site. Idem pour Paypal et eBay…
Bref soyez vigilants, ne répondez jamais à ces sollicitations, passez un coup d’antispyware si les alertes se font fréquentes, et vérifiez que l’antispam de votre client email et les protections antiphishing d’Internet Explorer sont actives.

C’est une erreur classique: un programme qui semble ne pas fonctionner et hop, on désactive le pare-feu… Grave erreur! Il ne faut jamais désactiver le pare-feu. Et contrairement aux rumeurs colportées çà et là, les pare-feu de Windows XP-SP2 et Windows Vista sont beaucoup plus performants qu’on ne le croit et très efficaces. Certains pare-feu de suites sont encore plus sophistiqués et intelligents.

Nombre d’utilisateurs pensent qu’ils sont à l’abri derrière le pare-feu de leur routeur ou de leur Box, et oublient que le pare-feu de Windows (ou des suites) protège contre les attaques en Wifi, ce que ne font pas les Box.

Quelle solution ?

Votre PC doit toujours avoir un pare-feu et un antivirus actifs. Même si vous êtes connecté à une Box ou à un routeur.
Si vous ne voulez pas acquérir une suite de sécurité, conservez le pare-feu de Windows. Et contrairement à tous les autres, celui-ci est activé avant que les couches réseau ne soient ouvertes par Windows! Il protège donc toute la séquence de boot de Windows…

Tout le monde le sait aujour’hui. Il ne faut JAMAIS réaliser une transaction ou un achat sur Internet si la connexion n’est pas sécurisée, autrement dit si le petit cadenas du navigateur n’est pas affiché.

Le problème c’est que l’affichage du cadenas est une condition nécessaire mais pas suffisante! Les cybercriminels savent aujourd’hui présenter des sites avec des connexions sécurisées ou s’infiltrer entre vous et le magasin (technique du “Man-In-The-Middle”).

Quelle solution ?

Vous devez cliquer sur le cadenas et consulter les détails du certificat. Ne faites confiance qu’aux organismes de certification connus.

Evitez de passer commande sur des sites lorsque la barre d’adresse de IE7 ne s’affiche pas en vert. L’affichage en vert indique que le site sur lequel vous vous connectez a vraiment été reconnu, certifié et sécurisé.

Payez autant que possible via des systèmes tiers tels que Paypal, ou en utilisant les nouvelles “cyber-cartes” de Visa et Mastercard.

 

Qui est vraiment l’expéditeur du fichier reçu par email ou par Messenger? Est-ce dans ses habitudes? Sa machine n’aurait-elle pas été infectée? Combien d’utilisateurs se posent ces questions à chaque email qu’ils reçoivent avec pièce attachée ou à chaque transfert de fichiers via Messenger? A priori très peu, si l’on en croit la vitesse de propagation des infections par Messenger et par email…

Quelle solution ?

Lorsque vous recevez un fichier que vous n’avez pas sollicité, ayez le bon réflexe. Sauvegardez-le sans cliquer dessus ni l’exécuter sur le bureau. Puis demandez un scan à votre antivirus. Mieux encore, connectez-vous sur le site www.virustotal.com et faites-le contrôler par les 20 moteurs de détection de ce site!

L’excès de confiance conduit à l’imprudence, et l’imprudence à l’infection… Vous vous croyez à l’abri avec votre antivirus gratuit ou votre suite 2006, voire 2007? Détrompez-vous… En matière de sécurité, “les gentils” courent après “les méchants“! Seules les dernières protections vous protègent des dernières menaces… Quant aux outils gratuits, s’ils sont souvent d’excellents scans, il s’avèrent de bien piètres boucliers!

Et dans un même ordre d’idées, multiplier les protections redondantes conduit très souvent au résultat inverse de celui recherché.

Enfin, vous pensez être en sécurité parce que vous n’allez jamais sur les réseaux P2P et que vous ne visitez que des sites “sains”? Détrompez-vous!

– D’abord parce que tout dépend de ce que l’on entend par “site sain”: il n’y a pas que les sites pornographiques qui présentent des risques… Ils ne sont même pas en tête du palmarès… Les sites qui parlent des stars des ados et les sites de casinos/jeux en ligne sont au moins tout aussi risqués… Les sites de piratage et de cracks sont également de grands contaminateurs!

-Ensuite parce que les bannières publicitaires piratées et infectées commencent à se multiplier. Aux USA, plusieurs sites très connus et sans danger se sont retrouvés à véhiculer des Webstorms suite à l’infection du serveur de bannières publicitaires (serveur qui n’est d’ailleurs pas géré par le site lui-même).

Quelle solution ?

La prudence, la vigilance, l’application systématique des patchs de sécurité et l’utilisation de protections récentes constituent les meilleures armes contre la cybercriminalité et les attaques Internet.
Evitez également de vous exposer ou surexposer aux risques: n’allez pas sur les sites de P2P, les sites de stars et blogs non officiels, les sites de casinos, les sites de piratage de logiciels et les sites à caractère pornographique.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera