8 mesures essentielles pour un environnement informatique sécurisé

Kevin Townsend, 24 juin 2019

D’un navigateur sécurisé à une paranoïa saine, voici les mesures essentielles pour assurer votre sécurité en ligne.

Un navigateur sécurisé

Pour la plupart d’entre nous, notre navigateur Web est Internet. C'est ainsi que nous accédons directement à l'information et au contenu en ligne, pour travailler, pour se détendre, pour faire des recherches, s'occuper de nos finance, communiquer et pour presque tout ce que nous faisons en ligne.

Comme il s'agit de notre premier, dernier et principal point de contact avec la toile, il est logique de nous assurer que nos navigateurs sont aussi bien sécurisés que possible.

Heureusement, la plupart des navigateurs les plus populaires sont assez sûrs. Que nous utilisions Firefox, Edge, Chrome, Safari ou même Opera, les fonctionnalités de sécurité intégrées sont suffisantes pour répondre à nos besoins de base. Cependant, cela ne s'applique qu'aux navigateurs qui sont tenus à jour, alors apprenez à vérifier les mises à jour. Faites-le fréquemment ou activez la mise à jour automatique sur le navigateur que vous avez choisi.

Cependant, même si la sécurité du navigateur est maintenue à jour, cela ne s'applique pas toujours aux extensions tierces. Les extensions malveillantes sont souvent associées à la fraude au clic. Le navigateur est dirigé vers un site publicitaire qui utilise le « paiement par clic » pour gagner de l’argent sur la base d’annonces du développeur d'extension. Début 2018, des chercheurs ont découvert quatre extensions Chrome (Change HTTP Request Header, Nyoogle, les logos personnalisés pour Google, Lite Bookmarks et Stickies, les Post-its de Chrome) qui avaient été installées par environ 500 000 utilisateurs. Les techniques utilisées pourraient aussi servir à établir une tête de pont dans le réseau local.

En octobre 2018, Google a introduit de nouvelles mesures de sécurité contre l'installation d'extensions malveillantes dans Chrome, ce qui a entraîné une baisse de ces installations de 89 % sur l'ensemble de l'année. Malgré cette amélioration, il est important de faire attention aux extensions que vous installez. Vérifiez si des incidents ont été signalés avant d'installer une extension sur votre navigateur.

N'attendez pas trop du navigateur. Il est tentant de penser : « Ça ne me dérange pas de cliquer sur ce lien car Chrome me préviendra s’il est malveillant. » C’est peut-être le cas, mais statistiquement, ça ne sera pas vrai. De récentes recherches laissent entendre qu’il existe plus de 17,5 millions de sites Web infectés par des malwares à un instant T. Mais seulement 15 % d'entre eux figurent sur la liste noire des moteurs de recherche, ce qui signifie que les navigateurs ne connaissent pas près de 15 millions de sites infectés pour lesquels ils ne peuvent donc pas nous prévenir.

Il peut s’avérer utile de jeter un œil aux navigateurs spécialement conçus pour la sécurité par des sociétés réputées, comme Avast Secure Browser, conçu sur le même moteur rapide que Chromium de Google Chrome, mais qui offre des fonctionnalités de sécurité étendues et plus résistantes.

Bloqueurs de publicité

De prime abord, un bloqueur de publicités semble améliorer notre qualité de vie plutôt que notre sécurité. Toutes ces fenêtres contextuelles qui s’affichent par-dessus ou par-dessous, ces bannières et ces colonnes publicitaires deviennent vite agaçantes et les désactiver améliore certainement notre expérience de navigation. Cependant, il est également important de limiter la quantité de publicités que nous autorisons sur notre navigateur du point de vue de la sécurité. Les publicités peuvent être un vecteur étonnamment efficace pour les malwares et cyberattaques, comme l’attaque PayLeak de l’an dernier, qui s’est fait passer pour une publicité légitime, afin d’attirer les utilisateurs vers des sites Web frauduleux. Il s’agissait d’une attaque contre les porte-monnaie d’Apple Pay.

Ce type d’attaque est connu sous le nom de malvertising, où une publicité inoffensive en apparence nous redirige discrètement vers un site malveillant qui essaie de nous infecter avec un spyware ou un ransomware.

Au cours des dernières années, un autre problème s'est amplifié avec les publicités en ligne. Nous nous sommes habitués à la publicité ciblée qui essaie de nous vendre ce que les spécialistes du marketing pensent pouvoir nous intéresser. Mais à présent, certaines personnes essaient de nous vendre des idées politiques. Des efforts concertés et documentés ont été déployés pour influencer le paysage politique en diffusant des publicités ciblées. Elles exploitent la psychologie des utilisateurs et essaient d'influencer notre vote. On parle d’ingénierie sociale politique réalisée via la publicité en ligne.

Il existe des extensions de blocage de publicité gratuites et réputées pour la plupart des navigateurs. L’une d’entre elles est également intégrée dans Avast Secure Browser en tant que fonctionnalité configurable. Lors de l'utilisation d'un bloqueur de publicité, nous ne devons pas oublier de mettre en liste blanche les sites Web les plus fiables pour permettre à nos blogs et sites d'actualités préférés d’assurer leur pérennité avec de la publicité légitime.

Anti-malware

Avec un tel nombre de sites Web frauduleux, de tentatives de malvertising et d’autres manières dont disposent les malfaiteurs pour essayer d’usurper notre identité ou de nous infecter avec des malwares, nous avons absolument besoin de cet élément essentiel pour la sécurité de notre PC : une solution anti-malware. Tôt ou tard, un programme malveillant finira probablement par atteindre notre système, et quand ce sera le cas, il faudra le supprimer le plus rapidement et le plus efficacement possible.

Certains systèmes d'exploitation sont livrés avec leurs propres outils de suppression des programmes malveillants, comme Windows Malicious Software Removal Tool, mais il leur manque souvent des fonctionnalités par rapport aux applications anti-malware spécialisées. Disposer d’une solution antivirus efficace, comme Avast Antivirus Gratuit, pour rester protégé contre les menaces extérieures et pouvoir mettre en quarantaine et supprimer les fichiers malveillants qui se fraient un chemin jusqu’à nos machines est une excellente idée.

Il existe plusieurs produits antimalware gratuits. La plupart ont des versions « premium » disponibles à petit prix. Bien que la détection et la suppression des malwares de base soient les mêmes dans les deux versions, le système professionnel offre généralement des fonctionnalités supplémentaires, comme des alertes sonores, qui méritent un intérêt particulier.

Gestionnaire (et générateur) de mots de passe

Un mot de passe fort est l’une des étapes fondamentales de la sécurité, mais c’est aussi l’une des plus fréquemment ignorées ou compromises – une étude réalisée en 2019 par le National Cyber Security Center (NCSC, membre du GCHQ, les services de renseignements du Royaume-Uni) a montré que plus de 23 millions d’utilisateurs dans le monde utilisaient encore « 123456 ». Un bon mot de passe est unique, difficile à deviner et a une entropie élevée (l’entropie est une mesure du temps qu'il faut à un ordinateur pour forcer le mot de passe). L'entropie des mots de passe est améliorée en utilisant plus de caractères et en mélangeant lettres, chiffres et symboles. Un mot de passe vraiment fort ne peut être pas cassé en un temps suffisant, quel qu'il soit, avec les ordinateurs actuels. (L'informatique quantique bousculera les choses à l'avenir, mais c'est une autre histoire.)

Nous connaissons probablement déjà tous le problème majeur de la sécurité par mot de passe. Nous sommes censés avoir un mot de passe différent pour chaque site et service Web que nous utilisons et chacun de ces mots de passe est censé être long et compliqué. Garder nos mots de passe par écrit pour s’en souvenir n’est pas une bonne pratique. Si quelqu'un accède à un fichier texte ou à une note sur papier contenant ces mots de passe, cela lui donne accès à tous nos comptes et à toutes nos informations. Mais, pour rester sain d'esprit, la plupart d'entre nous avons fait des compromis sur la sécurité des mots de passe, du moins un peu, que ce soit en gardant des pense-bêtes ou en réduisant leur complexité.

Un bon gestionnaire de mots de passe sécurisé ne résoudra pas seulement le problème de l'unicité et de la complexité, mais il fournira également une plus grande facilité dans la navigation en saisissant les mots de passe pour nous. Un service comme Avast Passwords simplifie le processus de connexion sans compromettre l’entropie ou l’unicité des mots de passe. Il peut générer des mots de passe uniques et à forte entropie qui sont pratiquement impossibles à forcer, alors que tout ce dont nous avons besoin de garder en mémoire est le mot de passe principal pour le service.

Un VPN

Les réseaux privés virtuels (VPN) constituaient jusqu'à récemment un créneau relativement particulier. Cependant, avec les préoccupations croissantes en matière de protection de la vie privée et les publicités ciblées de plus en plus intrusives et étendues, de nombreuses personnes commencent à chercher d'autres moyens de préserver leur anonymat en ligne.

Les VPN fonctionnent en connectant le trafic Internet à un réseau de serveurs centralisé avant d'acheminer les requêtes jusqu’à leur destination. Ce processus insère une nouvelle adresse IP anonyme entre notre appareil et les sites Web sur lesquels nous naviguons. Cela signifie qu'en ce qui concerne les cookies de suivi ou tout autre intervenant malveillant surveillant le trafic, nos activités ne peuvent être tracées que jusqu'au serveur VPN, pas jusqu'à nous.

Soyez prudent lorsque vous choisissez un fournisseur VPN. N'utilisez que des services de confiance bien connus. Les VPN moins dignes de confiance peuvent nous mettre dans une position vulnérable. Bien que notre trafic ne soit pas enregistré et surveillé par les sites que nous visitons, le fournisseur de VPN peut conserver ses propres traces, et si les propriétaires du VPN sont peu scrupuleux, ces données peuvent être vendues avec d’autres informations personnelles, ce qui nous met dans une situation encore plus mauvaise que lorsque nous avons commencé à utiliser le VPN. Le VPN Secureline d’Avast n'enregistre pas l'activité de navigation ou l'utilisation de l'application. Il offre une période d'essai gratuite de sept jours à quiconque envisage de l'utiliser.

Sauvegardes des données

Que cela vienne de programmes malveillants, de dommages matériels ou de dysfonctionnements logiciels catastrophiques, nos appareils peuvent tomber en panne et nous pouvons perdre l'accès à nos fichiers. Il existe de nombreuses façons de faire des sauvegardes de nos données. Nous pourrions envisager un stockage matériel externe, comme un disque dur amovible ou un disque SSD. Ceux-ci conservent une copie récupérable à long terme de nos données, mais peuvent prendre beaucoup de temps si nos sauvegardes nécessitent des mises à jour fréquentes. Ils peuvent également se détériorer et subir des dommages physiques, ce qui peut nécessiter de faire appel à des services de récupération coûteux ou entrainer une perte permanente de données.

Il existe également l'option de stockage dans le Cloud pour sauvegarder nos données. La plupart des plus grands fournisseurs de stockage Cloud, tels que Dropbox, OneDrive ou Amazon S3, offrent un espace de stockage gratuit limité si nos besoins de sauvegarde ne sont pas trop importants. Cependant, certains services en ligne de base peuvent être vulnérables et il est facile de mal configurer leur sécurité, un rapport publié l’an dernier a remarqué qu’1,5 milliard d’enregistrements, y compris des informations sensibles, étaient exposées à cause d’un stockage en ligne mal configuré. Depuis, beaucoup d'autres ont été découverts, le plus récent étant, en mai dernier, les coordonnées de millions d'influenceurs d’Instagram.

Les services gratuits peuvent être suffisants pour les utilisateurs individuels, mais les petites entreprises devraient envisager de mettre en place un service de sauvegarde et de récupération des données sécurisé et adapté. Un bon service maintiendra automatiquement les fichiers à jour et accessibles sur plusieurs appareils, un peu comme les services de sauvegarde et récupération d’Avast, par exemple.

Chiffrement des données

Le chiffrement des données s’effectue généralement en coulisses. Lorsque nous enregistrons un mot de passe pour un service en ligne, ce mot de passe est stocké (ou devrait être stocké) dans un format salé et haché, une forme de chiffrement qui empêche les pirates de pouvoir simplement lire nos informations d’identification s’ils accédaient à la base de données du site. La combinaison de réglementations et de bonnes pratiques fait qu'il est devenu naturel pour les entreprises de chiffrer toutes les informations sensibles qu’elles détiennent sur leurs clients, donc, dans un sens, nous utilisons déjà le chiffrement des données. Cependant, pour notre sécurité personnelle, il serait encore mieux de penser au chiffrement des données plus près de chez nous.

Lorsque nous sauvegardons des données sensibles, il peut également s’avérer utile de les chiffrer. De nombreux services de stockage dans le Cloud chiffrent automatiquement les données, mais le chiffrement de données locales peut nécessiter une solution spécialisée.

De nombreux VPN assurent le chiffrement du trafic Internet sortant, mais ce n'est pas la seule option pour garder notre informatique chiffrée. Nous pouvons également activer le chiffrement pour notre réseau Wi-Fi, consultez le manuel de votre routeur pour savoir comment configurer cela. Si votre navigateur ou votre routeur dispose d’un paramètre de rejet des connexions HTTP, qui garantit que l'ordinateur n'accepte que les connexions HTTPS les plus sécurisées disponibles, assurez-vous de l'activer. Ce paramètre est activé par défaut dans Avast Secure Browser.

Enfin, et surtout si un ordinateur est partagé par plusieurs membres de la famille, il pourrait s’avérer utile de chiffrer certains fichiers ou dossiers pour que nous seuls puissions accéder aux données personnelles. Windows 10 dispose de ses propres fonctionnalités de chiffrement, mais il existe également de nombreux services tiers de chiffrement de fichiers, de dossiers et de disques. En général, lorsque vous choisissez un service de chiffrement, choisissez un algorithme de chiffrement bien connu et évalué par des spécialistes, tel qu’AES, Blowfish ou son successeur Twofish. Évitez le cryptage développé par le fabricant, à moins qu'il n'ait été examiné à fond par la communauté des spécialistes en chiffrement.

Une paranoïa saine

D'une certaine manière, ce huitième élément essentiel de la sécurité informatique est le plus important de tous. C'est la paranoïa, et ça marche. Il s'agit essentiellement d'avoir la bonne attitude à l'égard de la sécurité, et c'est la mesure la moins chère et la plus accessible de cette liste, même si elle peut aussi être la plus difficile à acquérir. Les mots « sain » et « paranoïa » ne vont pas ensemble sur le plan médical, mais pour que votre sécurité en ligne soit assurée, une attitude paranoïaque est probablement l'attitude la plus saine.

Nous devons être conscients que n'importe quelle adresse électronique peut être piratée et que n'importe quelle identité peut être usurpée. Ce n'est pas parce qu'une chose semble digne de confiance qu'elle l'est forcément. Cela vaut la peine de se méfier de tout ce qui est en ligne, comme un e-mail, un site Web, une page de réseau social qui demande des informations personnelles ou financières ou qui nous demande de fournir nos identifiants de connexion.

Ne faites pas automatiquement confiance aux liens contenus dans les e-mails que vous recevez et n'ouvrez jamais une pièce jointe que vous n’attendiez pas. En cas de doute, téléphonez à la personne qui a envoyé la pièce jointe pour confirmer qu'elle est bien authentique.

Sachez que les banques et les organisations financières ne demandent jamais d'informations sensibles par e-mail ou sur les réseaux sociaux. Essayez toujours de trouver des évaluations impartiales et indépendantes de tout site Web ou service qui vous intéresse. Consultez les pages d'information d’Avast sur l’hameçonnage, l’ingénierie sociale, les arnaques, l'usurpation d’identité pour en savoir plus sur les moyens de repérer et de se défendre contre de telles attaques en ligne. Souvenez-vous toujours de la règle d'or : Peu importe ce qui est offert ou si cela semble plausible, si cela semble trop beau pour être vrai, c'est probablement faux.

En termes simples, nous devrions inverser le proverbe : « la confiance n'exclut pas le contrôle ». Pour la sécurité informatique, nous devrions contrôler d’abord et faire confiance par la suite.

Articles liés