Photo de James Sutton

Se protéger sans connaissances techniques

Le but de cet article est de présenter un certain nombre de bonnes pratiques que l'utilisateur non technique pourra utiliser pour se défendre. Je vais essayer d'être clair et concis. Je vais partir du principe que vous n'êtes pas une cible particulière et que vous êtes uniquement susceptible de subir des attaques automatiques et généralisées. Dans ce cadre, une bonne hygiène informatique est suffisante pour éviter tout déboire. Il y a principalement trois vecteurs d'attaques sur votre système : les sites webs, les mails et les programmes que vous installez.

1. Les sites webs

Votre navigation sur internet influe évidemment fortement sur votre sécurité.
Dans l'idéal, vous ne naviguez que sur des sites "de confiance". Il n'est pas évident de savoir à qui se fier mais on peut en général se méfier des sites de jeux en ligne, de téléchargement, pornographiques ou de streaming. Evitez d'installer des plugins ou des programmes proposés par ces services.
Une bonne façon de les utiliser malgré le risque encouru est d'avoir deux machines : une pour les services dangereux et une pour le reste.

Une chose importante pour votre sécurité pendant votre navigation est de vérifier si le site qui est en face de vous est bien celui que vous pensez et s'il est protégé. C'est assez simple : si vous voyez un petit verrou vert près de la barre d'adresse et que le nom de domaine est bien celui que vous attendiez, tout va bien. Le verrou indique que votre communication avec le site est chiffrée est que le site a confirmé son identité. Attention ! Confirmer son identité ne veut pas dire que vous êtes sur le bon site : cela veut dire que le site sur lequel vous êtes ne peut pas mentir sur son identité.
Alors, s'il ne peut pas mentir sur son identité, comment lire l'identité d'un site ? Par le nom de domaine.

Il faut savoir qu'une adresse web est décomposée en deux parties : le domaine et la requête. Le domaine indique en gros sur quel site vous êtes et la requête quelle est la page du site que vous demandez. Il faut savoir qu'un domaine peut se décomposer en sous-domaines. Par exemple, vous êtes à l'heure actuelle sur blog.niels.fr qui est un sous domaine de niels.fr (mon domaine principal). En tant que propriétaire de niels.fr, je possède tous les sous-domaines de niels.fr (et j'ai décidé de donner le domaine blog.niels.fr à mon blog).
Supposons maintenant qu'un attaquant essaie de se faire passer pour moi : il va acheter un nom de domaine comme hxx.se et vous diriger vers le domaine blog.niels.fr.hxx.se (il est propriétaire des sous-domaines, donc il peut faire ça). Ce site sera identique au mien en tout point et vous demandera d'entrer votre mot de passe pour accéder à la section VIP du blog. Mais là, vous vous méfierez : blog.niels.fr.hxx.se n'appartient pas à niels.fr mais à hxx.se ! N'entrez jamais un mot de passe sur un site dont vous n'avez pas vérifié l'identité au préalable.

2. Les mails

Le deuxième vecteur d'attaque le plus courant pour monsieur tout-le-monde est les mails. Votre défense principale passe par une communication de confiance : méfiez-vous de tout mail en provenance d'une entité inconnue. Un mail ne peut pas vous faire de mal en tant que tel (vous pouvez toujours les lire sans risque). Le danger vient des pièces jointes et des liens. N'ouvrez pas les pièces jointes d'inconnus. La règle d'or est d'être méfiant : même un ami peut vous envoyer des pièces jointes vérolées si son compte est compromis. Il ne s'agit pas d'être paranoïaque mais de faire preuve de bon sens : n'ouvrez pas une pièce jointe de photos de vacances à la plage en provenance de votre patron.
Appliquez le même raisonnement pour les liens : ne cliquez pas si vous n'avez pas confiance en votre correspondant.

Méfiez-vous des mails contenant beaucoup de fautes d'orthographes ou de mots bizarrement accentués, des mails vous disant que vous êtes l'heureux gagnant d'une tringle à rideaux, des mails vous demandant de l'aide pour sortir des lingots d'or de Côte d'ivoire, des mails de votre banque vous demandant votre mot de passe ou des mails qui vous proposent de cliquer sur des liens inconnus.

Soyez méfiants, faites preuve de bon sens.

3. Les programmes

Enfin, le dernier grand vecteur d'attaque est les programmes que vous installez sur votre ordinateur.
Il faut commencer par dire qu'il n'existe pas d'antivirus fiable à 100%. C'est même assez loin de ça en général. Votre meilleure protection se trouve entre la chaise et l'écran : c'est vous. Il s'agit encore une fois d'être méfiant et de faire preuve de bon sens.

Là où le débutant se fait le plus souvent avoir est durant l'installation d'un logiciel. Je sais, c'est énervant de devoir lire ce qui s'affiche, on a envie de cliquer sur "suivant". Mais il faut refréner son envie de tout envoyer balader et lire attentivement quand des options nous sont proposées. S'agit-il d'accepter un contrat d'utilisation ? S'agit-il d'installer des programmes en plus de celui qui s'installe actuellement ? S'agit-il d'autoriser ce programme, une fois installé, à récupérer des informations de votre machine et de les envoyer sur un serveur distant ?

En général, si vous ne savez pas quoi répondre, dites non ou décochez l'option. Si le programme n'a pas le comportement attendu, c'est peut-être qu'elle était nécessaire : il suffit alors de désinstaller ledit programme et de le réinstaller en acceptant cette fois-ci. Vous pouvez recommencer autant de fois que vous le voulez. Il vaut mieux installer pas assez et revoir à la hausse qu'essayer de retirer un programme vicieux.

Bonus : les mots de passe

Une bonne gestion des mots de passe se résume souvent à une bonne séparation des utilisations. Dans l'idéal, vous en utilisez un différent à chaque site web. Mais cela peut-être compliqué de gérer une telle quantité d'informations sans les noter ou utiliser un logiciel spécialisé.
Si vous ne voulez pas utiliser de gestionnaire de mots de passe, la bonne stratégie est d'avoir au moins trois ou quatre mots de passe que vous utiliserez selon le service. Si celui-ci est une cible potentielle comme votre compte de mails ou votre compte bancaire, utilisez le mot de passe réservé à cette catégorie. Viennent ensuite les sites de revendeurs, vos comptes de réseau sociaux qui auront le droit à leur mot de passe. Utilisez enfin un mot de passe pour tous les sites "bidon" que vous n'utilisez pas pour les sites des catégories supérieures.

Si vous avez la possibilité d'activer la connexion en 2 étapes (via l'envoi d'un code par sms par exemple), n'hésitez pas : la protection ajoutée est substantielle.
Vous pouvez également vous connecter en utilisant les boutons "se connecter avec google" ou "se connecter avec facebook". Cela vous évite d'avoir à gérer un mot de passe supplémentaire : la sécurité de la connexion reposera alors sur facebook ou google.

Vous n'avez pas besoin de changer régulièrement de mot de passe mais faites-le si vous perdez votre téléphone portable ou qu'un de vos appareil informatique se fait pirater. Visez une longueur minimum de 10-12 caractères pour vos mots de passe. Le mieux étant de mémoriser des phrases de passe. Par exemple, au lieu de choisir "Etoile91" qui est un mot de passe très faible, choisissez plutôt "Elleavaitlatêtedanslesétoiles" qui est aussi facile à mémoriser mais bien plus sûr.

Conclusion

Pas besoin d'être expert en informatique pour pouvoir se défendre efficacement. La méthode générale à suivre est d'isoler au maximum vos cas d'utilisation, que ce soit avec des mots de passe différents ou des ordinateurs différents.

La meilleure chose en informatique est de pouvoir s'assurer de recommencer en cas d'erreur. C'est également pour ça que je conseille fortement à celui qui veut vraiment avoir l'esprit tranquille d'avoir une sauvegarde de ses données et de savoir réinstaller son système. Cela peut faire peur dit comme ça mais une sauvegarde peut-être un simple disque dur externe sur lequel vous copiez vos photos, vidéos et documents importants. Réinstaller son système est très simple dans le cas de windows : ça ressemble beaucoup à une installation logicielle. Après l'avoir fait une fois, vous saurez tout ce qu'il y a à savoir.

Tout cela peut toutefois demander du temps et je peux concevoir que chacun n'est pas prêt ou ne veut pas le faire. Dans ce cas, mon conseil est d'acheter une solution de sauvegarde clef-en-mains et/ou d'acheter une deuxième machine dès que la première devient instable (et risque la perte de vos données).

Pour ceux qui aimeraient aller plus loin, il y a un excellent guide d'autodéfense numérique écrit par l'association boum.org disponible sur leur site.