Nos Partenaires

Auteur Sujet: Sécurité informatique  (Lu 2177 fois)

28 novembre 2019 à 04:33:07
Lu 2177 fois

Vladimir


« Modifié: 18 décembre 2019 à 02:11:19 par Vladimir »
😆

28 novembre 2019 à 13:35:53
Réponse #1

Krapo


La sécurité informatique est un sujet important et d'actualité+++

TAFDAK mais...

A qui est censé s'adresser ce très long texte ?

Si c'est pour un geek ou quelqu'un ayant d'assez bonnes connaissances en informatique ( mon cas ! ), il ne permet pas d'apprendre grand chose car toutes ces notions sont déjà connues. Si c'est pour aider un débutant ou un utilisateur de base n'ayant pas de connaissances très poussées alors il est plus que rébarbatif.

Pour information : VPN => https://www.expressvpn.com/fr/what-is-vpn
Laissons glouglouter les égouts !

29 novembre 2019 à 11:33:07
Réponse #2

DavidManise


A quand ce site en https? :'(

Demande à Arnaud ;#

+1 pour ProtonVPN et Protonmail.  Pas tellement pour me protéger du Grand Méchant Gouvernement (concrètement, même si ça chie un peu de partout, on reste quand même en dans un Etat de droit), mais surtout pour boycotter gmail et avoir un truc suffisamment safe pour faire passer des infos personnelles dedans.

Concrètement, se faire pirater sa boîte mail, c'est LE truc qu'il faut éviter.  Y'a TOUT là-dedans, entre les adresses physiques de plein de gens et la tienne, et surtout la possibilité de changer tous tes mots de passe ou presque et de prendre le contrôle de ta vie numérique presque totalement.

Bref, si y'a un truc à sur-bétonner, c'est le mail.  Donc super mot de passe noté nulle part, et double-facteur, et tout le toutim.  Et un vrai dispositif de verrouillage sur le smartphone en cas de perte.  Minimum.

Bisous ;)

David
"Grand, gros, lourd, sale, fort et bête" ;)

Stages survie CEETS

29 novembre 2019 à 16:46:27
Réponse #3

Karma


Je m’intéresse depuis quelques temps au sujet de la sécurité informatique et je suis content d'être tombé sur ce "pavé" qui, même s'il n'est pas parfait me donne quelques billes et pistes de recherche.

Je ne suis pas geek mais ça va, ça reste compréhensible, merci pour l'effort de compilation. Ça fait plus de 10 ans que je suis inscrit sur ce forum, de moins en moins souvent parce que je trouve que ça se tire vite dans les pattes et ce sujet le confirme. N'oubliez pas la bienveillance, tout ça...

29 novembre 2019 à 20:55:56
Réponse #4

Hurgoz


Cas pratique:

Citer
Z0rr0 le hacker fait un repérage sur FB et découvre que tu es pote avec Pedro, qui vient de partir en vacances en Belgique. Il tente un hameçonage de Pedro en spamman les principaux noms de domaines sur des combinaison d'adresses mail probables (ex: nom.prenom@domaine, etc). L'hameçonage passe et il découvre que l'adresse de pedro est pedro@gmail.com.

Zorro crée un mail padro@gmail.com et imite l'entête de Pedro. Il t'envoie un mail t'invitant à aller regarder des photos de ces vacances en Belgique. La photo qu'il t'invite à regarder a été modifiée pour exploiter une vieille faille de ton navigateur permettant d'exécuter une commande à ton insu; tu visualises la photo et en même temps, te voilà l'heureux propriétaire d'un petit soft qui envoi tes frappes clavier et des screenshots à chaque clique souris à Z0rr0.

Celui ci a maintenant l'ensemble de tes mots de passe (même ceux à 3 milliards de caractères), des sites que tu visites, ce que tu y fait, etc bref: toute ta vie numérique

Dans ce cas pratique, pas si fictif que ça, il y a plein de comportements communs qui ont fait que Z0rr0 est arrivé à ces fins. J'vous laisse gamberger un peu.

Tcho
« Modifié: 29 novembre 2019 à 21:46:09 par Hurgoz »
"Considérant qu'il est essentiel que les droits de l'homme soient protégés par un régime de droit pour que l'homme ne soit pas contraint, en suprême recours, à la révolte contre la tyrannie et l'oppression." DUDH

29 novembre 2019 à 22:43:58
Réponse #5

Karto


J'vous laisse gamberger un peu.

Ton scénario est pédagogique. J'y vois plusieurs facettes.

D'abord c'est une attaque ciblée.  En général, ça arrive plutôt à une cible à forte valeur ajoutée. Ca peut arriver au quidam, mais perso c'est pas les premières que j'ai en tête quand je réfléchis à *ma* sécurité informatique. En tant que particulier on est plutôt victime d'attaques massives et indiscriminées, qui vont s'appuyer sur d'autres mécanismes et, en moyenne, être moins subtiles et plus faciles à anticiper. Toutes proportions gardées.

Ensuite, ouais elle est plausible. Ma mère ça pourrait lui arriver... Parce que ma mère adore les photos de Belgique. Et parce qu'elle ne tient pas son navigateur à jour. Et que quand on regarde les extensions installées sur son navigateur y'en a des dizaines dont elle-même jure n'avoir jamais entendu le nom. Mais c'est ma mère. Parce que sinon, "exploiter une vieille faille", ça n'arrive pas si facilement.

Soit on se fait exploiter par une vieille faille. Parce que la faille était connue, et que des kits pour l'exploiter circulent. Mais, avec un navigateur raisonnable (Firefox, Chrome), si on en est là, alors la faille a déjà été comblée par l'éditeur. Et pour peu qu'on ait autorisé les mises à jour automatiques, alors elle est aussi comblée sur l'ordinateur que j'utilise.
En parlant de ça, quand un éditeur publie une mise à jour de sécurité, des petits malins se précipitent dessus pour comprendre ce que l'éditeur a changé et en déduire la faille de la version précédente. Puis ils fabriquent des kits qu'ils vendent à ceux qui veulent exploiter, de manière massive et indiscriminée, la faille chez tous les gens qui utilisent encore la version précédente. Il y a quelques années, il s'écoulait en moyenne 180 jours entre le moment où un correctif était rendu public et le moment où un kit était commercialisé sur le marché noir pour l'exploiter. Aujourd'hui il s'écoule en moyenne une journée. Une. Journée.

Soit on se fait exploiter par une faille jusque là inconnue. Mais quand on connaît une faille que personne d'autre connaît, on la monnaye cher. Et c'est pas en piquant le sac à main de mamie qu'on rentabilisera le prix. Et donc, retour à une cible à forte valeur ajoutée, ou à un gros coup de filet indiscriminé sur des millions de cibles en même temps.

Après, ouais, ma mère va se retrouver avec un truc qui note tout ce qu'elle tape. Un keylogger. Qui, souvent, est aussi un screenlogger. Mais, tiens, là encore, pour bien exploiter un screenlogger, faut un humain derrière, ce qui arrive moins souvent avec les attaques impersonnelles. En tout cas une fois en place, c'est plus dur à voir qu'un pou. Mais le keylogger ne sert à rien s'il ne peut pas renvoyer ses données à son patron. S'il s'agit d'un bête programme qui vivote dans un coin, il se fera prendre par le firewall de la machine. Mais en général il va aller se cacher dans le coffre d'un autre programme, amicalement connu des douaniers, pour passer sans qu'on le remarque. A moins de couper définitivement le accès réseau, bonne chance pour l'attraper. Alors il faut que l'accès à ce qu'on a de sensible soit tolérant à ce que tous nos mots de passe soient dans la nature.

Et là on retrouve une idée de strates. Ou de remparts successifs. Avoir un mot de passe est le premier rempart entre ma boîte mail et la mégère du bout de l'impasse. Si elle l'a choppé, j'ai un deuxième rempart. Par exemple une alerte sur mon téléphone comme quoi quelqu'un essaye de se connecter depuis un ordinateur inhabituel, et la possibilité de lui dire non. On peut ensuite avoir un troisième rempart, un quatrième, selon la sensibilité de la zone, mais là on n'est plus dans le scenario.

M'enfin.
Ma mère est sous Linux. C'est tout à fait hackable, mais Zorro n'a sûrement pas fait cette hypothèse. La diversité est plus robuste.
Et puis elle a plutôt des potes belges qui viennent en vacances en France que le contraire.
« Modifié: 29 novembre 2019 à 23:11:49 par Karto »

29 novembre 2019 à 22:58:50
Réponse #6

Karto


A part ça, la sécurité informatique, c'est pas que pour les ordinateurs avec un clavier et un écran.

Les smartphones sont un maillon ultra-faible.
Les voitures avec beaucoup d'électronique, maintenant, aussi.
La domotique.
Toutes ces merdes là... Tout ce qui a un microprocesseur et qui peut servir à des choses gênantes...

29 novembre 2019 à 23:11:30
Réponse #7

Hurgoz


Ton scénario est pédagogique. J'y vois plusieurs facettes.

C'est le but du scénario: la pédagogie et introduire à quelques idée générales et simple d'application pour éviter les emmerdes. Tu y a vue pas mal de trucs....mais pas tout ;)

A part ça, la sécurité informatique, c'est pas que pour les ordinateurs avec un clavier et un écran.

Les smartphones sont un maillon ultra-faible.
Les voitures avec beaucoup d'électronique, maintenant, aussi.
La domotique.
Toutes ces merdes là... Tout ce qui a un microprocesseur et qui peut servir à des choses gênantes...

Ouaip. Quelques exemples:

L'attaque d'OVH par un parc de camera connectées:
https://www.developpez.com/actu/104476/OVH-victime-de-la-plus-violente-attaque-DDoS-jamais-enregistree-par-un-botnet-de-cameras-connectees-qui-n-etaient-pas-securisees/

La faille WIBattack sur les cartes SIM:
https://www.20minutes.fr/high-tech/2617463-20191001-carte-sim-une-importante-faille-de-securite-reperee

Le piratage d'une jeep à distance:
https://www.lefigaro.fr/secteur/high-tech/2015/07/21/32001-20150721ARTFIG00294-une-jeep-piratee-et-stoppee-a-distance-sur-une-autoroute.php

Sachant que la quantité d'attaque est sans arret en augmentation...

Tcho
« Modifié: 29 novembre 2019 à 23:21:39 par Hurgoz »
"Considérant qu'il est essentiel que les droits de l'homme soient protégés par un régime de droit pour que l'homme ne soit pas contraint, en suprême recours, à la révolte contre la tyrannie et l'oppression." DUDH

29 novembre 2019 à 23:12:34
Réponse #8

Karto


Evidemment qu'il n'a pas tout. Non seulement c'est une pelote énorme, mais le pire dans ce domaine, c'est que le temps qu'on en parle il a déjà changé.

30 novembre 2019 à 07:10:08
Réponse #9

Krapo


 :up:

C'est le premier conseil à donner : maintenir à jour son système d'exploitation ainsi que ses outils de navigations + webmail !

Et surtout, le meilleur outil ( le pire par moment ! ) est ce qui se trouve devant la machine : l'être humain. Avec un minimum de jugeote et en réfléchissant toujours avant de cliquer, il est possible d'éviter le maximum des emmerdes numériques pour un utilisateur sensé ;)
Laissons glouglouter les égouts !

30 novembre 2019 à 20:33:40
Réponse #10

Hurgoz


Yo,

Personne d'autre?! Si on a que les vieux neuronnes de Karto, on est pas sorti du sable, c'est moi qui vous le dis!  ;#

Pour se protéger, il faut comprendre un peu comment ça fonctionne. Voyons ça:

- La première étape de l'attaque a été un peu d'espionnage des réseaux sociaux. Comme il a été dit, ça a été une attaque ciblée car je voulais vous faire réagir et surtout je voulais vous faire toucher du doigt que même "si on a rien à cacher", il est irresponsable de laisser un inconnu avoir accès à votre liste "d'amis" ou à vos activités, non seulement pour vous, mais aussi vos amis que vous exposez.
Par contre, si j'avais voulu parler d'une attaque visant un large panel, j'aurais parlé des groupes FB; on en cible un sur un thème ne regroupant pas d'esprit trop éclairés (un vivié à couillons), on fait un profil bidon (si possible féminin, pas trop canon pour pas que se soit louche mais agréable au regard pour tenter les couillons), on met des coeurs à droite et à gauche pour hameçoner, puis on post le lien qui va bien.
Enfin, histoire de continuer dans la pédagogie: on pourrait aussi remplacer le groupe FB par un forum bien connu sur lequel on crée un compte et qu'on post un seul sujet bien porn-gear et un lien promettant tout plein de matos outdoor à des prix concurrentiels.... ;#

- La seconde étape a été toujours un peu d'espionnage et de phishing pour trouver le mail du contact qu'on voudra utiliser par la suite. Là aussi, c'est la naïveté (et, certes, un peu de chance) qui permet de détecter qu'un des mails est le bon.

- La troisième étape c'est du social engineering où j'utilise les informations obtenues avant pour mettre ma cible en confiance, avec des infos crédibles; on ajoute un peu de curiosité et le pot de miel est alléchant.

- La quatrième étape c'est d'exploiter une faille. Comme l'a dit Karto il suffit de faire les mises à jours...le seul hic c'est qu'il faut être conscient que tout les programmes peuvent avoir des failles, et qu'il faut donc tenir à jour l'ensemble des programmes, y compris Acrobat, VLC, 7zip, etc (avoir 50000 programmes n'est donc pas une bonne idée).
Ca se complique nettement lorsqu'on commence à parler de programmes payant ou des programmes piratés: dans un cas comme dans l'autre, on ne peut pas forcément faire les mises à jour; il faut alors être conscient du risque et n'ouvrir plus que des fichiers provenant de sources fiables pour limiter la casse.

- Le cinquième point c'est de ne pas utiliser de compte administrateur et de n'utiliser ce dernier que pour les installations; idem il convient sur un pc Windows de ne pas désactiver le contrôle UAC afin de voir si quelquechose s'exécute contre son gré.
Edit: l'exploitation de certaines failles permet d'utiliser le compte ayant démarré l'application avec des droits d'admin (élévation de privilèges), on en revient donc au point précédent: les mises à jour...

- Le sixième point c'est effectivement l'émission de la donnée vers le hacker. Il y a plusieurs écoles, mais en générale, le premier truc, c'est que les Firewalls, par défaut, filtres les connexions entrantes et non les connexions sortantes, ce qui permet à tout programme installés sur le PC de communiquer assez librement vers l'extérieur.

Mais une fois qu'on a dit tout ça, on est passé à côté d'une question: pourquoi? Soyons bien d'accord, un hacker agis toujours par intéret; ca peut être pour rançonner, pour se faire embaucher ou pour escroquer, mais en tout cas on ne passe pas des heures et des heures à étudier les protocoles, les programmes, à faire du reverse engineering seulement pour la beauté du geste. Donc, si on veut éviter un certains nombres de problèmes, il faut rendre le hack de son système peu rentable...
(à moins que se soit par vengeance et là...)

Dans n'importe quel cas, il convient de rester très humble et vigilant: on est pas des cadors et il y aura toujours un petit malin qui pensera au truc auquel personne n'a pensé avant....donc les "moi j'ai pas besoin d'un antivirus parce que je sais ce que je fait", etc  :down:

My 2cts

Tcho
« Modifié: 01 décembre 2019 à 23:00:39 par Hurgoz »
"Considérant qu'il est essentiel que les droits de l'homme soient protégés par un régime de droit pour que l'homme ne soit pas contraint, en suprême recours, à la révolte contre la tyrannie et l'oppression." DUDH

02 décembre 2019 à 07:55:52
Réponse #11

nox


Je mets un lien vers une vidéo qui traite du sujet.
Avec mon niveau bac -10 en informatique, j'ai pu comprendre un peu comment ça fonctionne.

https://youtu.be/5LYUq4Le3Q8

02 décembre 2019 à 18:45:14
Réponse #12

Hurgoz


Yo

Je mets un lien vers une vidéo qui traite du sujet.
Avec mon niveau bac -10 en informatique, j'ai pu comprendre un peu comment ça fonctionne.

https://youtu.be/5LYUq4Le3Q8

Merci  :up:

Basiquement, il existe 3 leviers pour pousser quelqu'un à cliquer sur un lien et devenir un perdreau:
- Le sexe
- La curiosité
- Le fric (gain ou perte)

On peut utiliser l'un de ces leviers ou plusieurs selon...

Tcho
"Considérant qu'il est essentiel que les droits de l'homme soient protégés par un régime de droit pour que l'homme ne soit pas contraint, en suprême recours, à la révolte contre la tyrannie et l'oppression." DUDH

14 décembre 2019 à 10:34:51
Réponse #13

Hurgoz


Yo,

Dans le genre de conneries à éviter, je vous disais plus haut de maintenir vos logiciels à jour. Il est important de télécharger ces logiciels depuis une source sûre (en général, le site du fournisseur), et ce pour éviter de télécharger un truc, qui sera exactement comme le soft que vous cherchez, qui effectivement le mettra à jour, mais qui en plus vous installera une saloperie.

Idem, lorsque j'installe un programme, je me met toujours en installation avancée pour décocher tout ce qui pourrait être addon publicitaires non sollicités (autrefois les google barres et autre cochonneries).

Tcho
"Considérant qu'il est essentiel que les droits de l'homme soient protégés par un régime de droit pour que l'homme ne soit pas contraint, en suprême recours, à la révolte contre la tyrannie et l'oppression." DUDH

14 décembre 2019 à 15:44:43
Réponse #14

Dutch


Bonjour à tous,

Une protection efficace, que j'utilise avec succès depuis une dizaine d'années.
Étant administrateur d'un forum de vieilles bécanes, j'étais particulièrement exposé aux tentatives d'hameçonnage, piratage & autres joyeusetés...

A la vitesse où l'informatique évolue, non niveau ne me permettait pas d'assurer une sécurité convenable.
Du coup, j'ai abordé le problème sous un autre angle: les ordinateurs sont peut-être les meilleurs en calcul & recoupements, mais ils ne sont pas intelligents.

Je me suis donc crée une identité bidon, mais cohérente et comportant quelques failles délibérées.
Pour cela, j'ai utilisé mon pseudo habituel (Charly), associé à un nom d'emprunt (Tobec, diminutif de Motobécane dans le monde des collectionneurs).

J'ai crée un compte Google à ce nom, associé à un compte Facebook, ainsi qu'à une adresse mail.
Le tout est lié à mon forum et à son hébergeur d'images.
Par ailleurs, j'ai légèrement tronqué les chiffres de mon département & mois de naissance, afin que mon n° de sécurité sociale ne soit pas remonté. Idem pour mon adresse.

Vu d'un ordinateur tout est cohérent, mais quand je reçois un rappel de facture, mail de ma banque etc... au nom de Charly Tobec, je sais à quoi m'en tenir.
Idem pour les fakes de promotions pour mon anniversaire des sociétés auxquelles je commande sur internet, sous ma véritable identité qui elle, est sécurisée.

Quant à une personne physique qui souhaiterait savoir où j'habite ou si je suis présent à mon domicile, il peut toujours chercher...
Nous avons déjà reçu des appels de démarchage suite à une fuite de données, mais quand on demande Mr Tobec, habitant à un autre numéro de la rue, on sait direct que ce n'est pas EDF au bout de la ligne... (Il s'agissait d'un repérage de cambriolage, ils sont mal tombés... ;#)

Au total, j'ai trois identités virtuelles, strictement cloisonnées (sinon, ça ne sert à rien):
_Celle de ma "vie publique" sur le net qui sert de leurre.
_Celle de ma vie personnelle: achats, relation avec ma banque & les administrations.
_Celle de ma vie privée: réservée à la famille & aux gens que je connais en vrai.

C'est relativement simple à mettre en œuvre sans être informaticien et c'est filtre assez efficace.
En espérant que ça puisse servir à d'autres ;)

En essayant continuellement, on fini par réussir.
Donc: plus ça rate, plus on a de chances que ça marche. (Devise Shadock)

 


Keep in mind

Bienveillance, n.f. : disposition affective d'une volonté qui vise le bien et le bonheur d'autrui. (Wikipedia).

« [...] ce qui devrait toujours nous éveiller quant à l'obligation de s'adresser à l'autre comme l'on voudrait que l'on s'adresse à nous :
avec bienveillance, curiosité et un appétit pour le dialogue et la réflexion que l'interlocuteur peut susciter. »


Soutenez le Forum

Les dons se font sur une base totalement libre. Les infos du forum sont, ont toujours été, et resteront toujours accessibles gratuitement.
Discussion relative au financement du forum ici.


Publicité