Guide sécurité web

Guide sécurité Web

Vous avez reçu un email suspect ? Transférez nous cet email en l'état grâce au bouton "transfert" de votre messagerie à l'adresse suivante :
alerte.internet@ca-nord-est.fr

Catégories

Des mots de passe efficaces

Les règles de base

Quelques règles de base doivent être suivies concernant les mots de passe.

Ne pas choisir un mot de passe facile à deviner

Si le mot de passe que vous choisissez est trop évident ou facile à déduire, plusieurs personnes pourraient le deviner. Ainsi, les dates de naissances, prénoms ou noms sont des éléments trop simples.

Un mot de passe doit être long

Un mot de passe trop court sera facile à trouver pour un attaquant. En effet, il existe une méthode pour trouver les mots de passe. Plus votre mot de passe sera court, plus vite il sera trouvé. Au contraire, les mots de passe très longs ne seront probablement pas testés par un attaquant. On recommande généralement une longueur minimale de 8/10 caractères.

Utiliser à minima des majuscules, minuscules et chiffres

Mélanger différents types de caractères (minuscules, majuscules, chiffres) permet de rendre un mot de passe moins prédictible. Pour aller encore plus loin, il est possible de mettre des caractères spéciaux (comme : ? ! ; @ ). Exemple : H7fx@V251

Utiliser des mots de passe différents

Retenir des mots de passe totalement différents pour chaque compte peut vite s'avérer difficile. Une solution consiste à utiliser une base commune à tous les mots de passe, en ajoutant une partie différente suivant le compte où celui-ci est utilisé. Exemple : H7fx@FacV251, H7fx@CreV251. L'intérêt d'utiliser des mots de passe différents pour vos différents comptes est d'éviter qu'un mot de passe piraté puisse être utilisé sur d'autres sites par la personne l'ayant dérobé.

Créer et retenir son mot de passe

Il est important de bien choisir ses mots de passe, que ce soit sur votre ordinateur ou smartphone mais également en ligne sur les différents sites internet utilisés.

Afin de créer (mais aussi de retenir) un mot de passe complexe, une solution consiste à partir d'une phrase de type Personne-Action-Objet.

Choisissez une phrase facile à retenir pour vous, il est également important que cette phrase soit "non prédictible" et donc inconnue de quiconque. En d'autres termes : inventez là, et ne lui donnez pas de sens trop évident !
Exemple : J'aime les glaçons roses !

Il est parfois possible d'utiliser une phrase entière comme mot de passe. Mais tous les sites n'acceptant pas des mots de passe aussi longs.
Un bon compromis est donc de garder les 2 ou 3 premières lettres de chaque mot, et de remplacer certaines lettres par des chiffres.

A partir de la phrase précédente, cela peut donner : J'Ail3sGl@Ros!

Garder votre mot de passe secret

Il ne faut jamais communiquer vos identifiants de connexion, que ce soit à un proche ou tout autre personne de vive voix ou sur internet.

Par ailleurs, aucun site, bancaire ou non, ne vous demandera de lui transmettre votre mot de passe ailleurs que dans la page prévue pour vous connecter.

Changer fréquemment de mot de passe

Pour parer à toute éventualité, y compris le vol de votre mot de passe sans que vous ne vous en soyez aperçu, il est utile de changer régulièrement vos mots de passe.

Il n'existe pas de durée de vie pour un mot de passe, mais le changer tous les 6 mois est un bon départ. Le changer plus fréquemment est plus efficace, mais attention à ne pas vous mélanger les pinceaux !

En cas de suspicion de vol de mot de passe, ne pas hésiter à en changer.

Se souvenir de son mot de passe

Autoriser le navigateur à retenir le mot de passe

La plupart des navigateurs vous proposent de retenir vos mots de passe.
Cette fonctionnalité peut être pratique pour des mots de passe utilisés sur des sites peu sensibles. Cependant, n'autorisez les navigateurs à retenir vos mots de passe que sur votre ordinateur. En aucun cas sur un ordinateur partagé.

Ne pas noter ses mots de passe

Un piège classique consiste à noter ses mots de passe sur une feuille de papier ou un bloc-notes. Des regards indiscrets pourraient les compromettre. Si vous ne pouvez pas vous empêcher d'écrire vos mots de passe, préférez des indices ou une version raccourcie du mot de passe, mais pas le mot de passe lui-même. Garder ces indices dans un endroit à l'abri des regards.

Trop de mots de passe à retenir ?

Si vous éprouvez de grandes difficultés à retenir vos mots de passe, il existe des solutions visant à mémoriser ces mots de passe pour vous. Ces solutions sont appelées "gestionnaires de mot de passe". Elles mémorisent vos mots de passe et les saisissent automatiquement pour vous, sur votre ordinateur et sur votre mobile, par exemple. Il vous en faudra dans ce cas un seul mot de passe : celui du gestionnaire de mot de passe.

Dans tous les cas, pas de panique ! Tous les sites internet proposent un moyen de définir un nouveau mot de passe en cas d'oubli.

Paiement en ligne

Dans le cadre d'un achat en ligne, quelques règles élémentaires sont à respecter afin de ne pas voir ses informations bancaires volées ou compromises.

Tout d'abord, il faut bien s'assurer que la communication avec le site internet sur lequel vous souhaitez effectuer un achat est bien sécurisée comme expliqué au chapitre : Vérifier que le site est sécurisé

Il faut également vérifier que le site internet appartient bien à une entreprise de confiance. Pour cela une rapide recherche sur un moteur de recherche peut vous apporter de précieuses informations, par exemple en associant le nom du site avec un mot clé tel que "arnaque" ou "avis".
Cela vous donnera rapidement des résultats que vous pourrez consulter afin d'avoir les retours des utilisateurs qui vous ont précédé.

Vous pouvez également compléter ces vérifications en vous assurant que les mentions légales et les conditions générales de vente sont bien accessibles.

Pour finir, il est recommandé de ne pas autoriser les sites Internet à conserver vos données de carte bancaire. En cas de piratage du site concerné, vos données ne seront pas affectées.

Informations sensibles

Les informations sensibles sont particulièrement recherchées par les attaquants. Elles leur permettent de faire de l'usurpation d'identité, ou d'utiliser vos données pour réaliser des paiements.

Mais qu'est-ce qu'une information sensible ? Voici quelques exemples :

  • Les informations de base permettant de vous identifier : Nom et Prénom, date et lieu de naissance, numéro de carte d'identité ou passeport, adresse postale ,
  • Vos informations d'authentification : identifiants, mots de passe, réponses à des questions secrètes ,
  • Coordonnées bancaires (code de carte, cryptogramme visuel, code PIN).

Ces informations sensibles sont précieuses, gardez-les donc avec soin et ne les communiquez que lorsque cela est réellement nécessaire.

Dans tous les cas, ne communiquez jamais votre mot de passe ainsi que vos coordonnées bancaires, ailleurs que sur des pages internet prévues à cet effet.

Concernant les informations bancaires, le Crédit Agricole ne vous les demandera jamais, de quelque moyen que ce soit.

Phishing

Le phishing (parfois appelé hameçonnage) est une forme d'arnaque sur internet qui consiste à vous inciter à cliquer sur un lien ou à transmettre des informations sensibles (numéro de comptes, numéro de carte bancaire, mots de passe...).

L'attaquant se fait passer pour un interlocuteur légitime, comme votre fournisseur d'électricité, de téléphone, d'internet ou encore pour votre banque. La plupart des attaques de ce type se font par email ou par téléphone et il convient de suivre certaines règles simples afin de s'en prémunir.

Dans le cas d'un mail, commencez par vérifier les liens qui y sont présents et si vous avez le moindre doute ne cliquez pas dessus. De manière générale, si vous souhaitez vous rendre sur un site internet suite à la réception d'un email, entrez directement son adresse dans votre navigateur.

Vous pouvez ensuite vérifier la qualité de l'orthographe et de la syntaxe du mail. Si celui contient des fautes ou des phrases tournées de manière inhabituelle vous pouvez l'ignorer à coup sûr.

De manière générale, un organisme officiel comme une banque ou les services de l'état ne vous demanderont jamais par email ou téléphone vos coordonnées bancaires ou vos identifiants.

Antivirus

Il est très important de posséder un antivirus efficace et à jour afin de se protéger des virus et autres malwares.

Les antivirus gratuits des éditeurs reconnus sont amplement suffisants pour un particulier.

Cependant, il convient tout de même faire attention et de ne télécharger des programmes que sur des sites internet de confiance.

Il convient également de ne jamais ouvrir la pièce jointe d'un email dont on ne connait pas l'expéditeur.

Bien choisir ses logiciels et les mettre à jour

Le système

Qu'il s'agisse de votre ordinateur ou de votre téléphone, les logiciels installés doivent être convenablement choisis et mis à jour.

On peut distinguer trois types de logiciels pour un usage Internet :

  • Le système (Windows, macOS, iOS, Android...),
  • Le navigateur web (Firefox, Internet Explorer / Edge, Chrome...),
  • Les autres logiciels.

Le système tout d'abord, est central sur l'appareil que vous utilisez.

Comme tout logiciel, il doit être mis à jour régulièrement, dès que l'éditeur (Microsoft, Apple, Google...) propose de telles mises à jour.

Les mises à jour sont généralement proposées de manière automatique, il faut alors les installer.

Attention toutefois, les appareils les plus vieux ne sont plus mis à jour et posent des problèmes de sécurité.

Le navigateur

Le navigateur web que vous utilisez pour aller sur Internet est également mis à jour par son éditeur de manière fréquente.

Ces mises à jour proposent généralement des petites évolutions fonctionnelles, mais souvent des correctifs liés à la sécurité.

Un piège consiste à ne pas effectuer les mises à jour (généralement proposées automatiquement).

Autres logiciels

De manière générale, voici quelques questions à se poser avant d'installer un logiciel :

  • Ai-je besoin de ce logiciel ?
  • Qui a créé ce logiciel ?
  • Où puis-je télécharger le logiciel de manière sûre ? (Sur le site de l'éditeur, généralement).

Tout comme le système ou le navigateur web, de nombreux autres logiciels bénéficient de mises à jour régulières, comprenant aussi des mises à jour de sécurité.

C'est tout particulièrement le cas sur les appareils mobiles (smartphones), pour lesquels toutes les mises à jour doivent être installées.

Note sur les téléchargements illégaux :

En plus d'être illégale, l'installation de logiciels piratés est dangereuse. Ces derniers contiennent généralement des virus ou malwares mettant en danger votre appareil.

Applications mobiles et droits d'accès

Les applications mobiles que vous installez sur votre téléphone nécessitent une attention toute particulière.

En effet, il est très facile d'en télécharger, et de leur donner de nombreux droits (accès aux photos, au stockage, aux SMS, à l'appareil photo, ou encore à la géolocalisation).

Certaines applications malveillantes pourraient nuire à votre vie privée. Voici quelques questions à se poser lors de l'installation d'une nouvelle application :

  • Ai-je besoin de cette application ?
  • Qui a créé cette application ?
  • Les autorisations demandées à l'installation semblent-elles légitimes ?

Il est également recommandé, de temps à autres, de parcourir les applications installées sur son téléphone et de supprimer celles qui sont devenues inutiles.

Utilisation de réseaux WiFi publics

L'utilisation de réseaux WiFi publics peut comporter des risques.
En effet, il est pratiquement impossible de savoir qui met un réseau WiFi à disposition : le nom du réseau, par exemple "WiFi touristes" ou encore "WiFi Gare" ne garantit en rien sa sécurité.

Certaines personnes malveillantes s'attèlent même à créer des réseaux gratuits et sans mot de passe afin d'espionner les communications des utilisateurs.

Il est donc fortement déconseillé de faire usage des réseaux WiFi inconnus, quel qu'en soit le but et notamment lors de la navigation sur Internet.

Dans la mesure du possible, utilisez une connexion privée (3G, 4G) dont les tarifs sont désormais très accessibles même lors de déplacements à l'étranger, en Europe.

Pour les utilisateurs les plus technophiles, l'utilisation d'un VPN (protocole de sécurisation de connexion) proposé par une entreprise sérieuse est envisageable. Cet outil permettra de chiffrer l'intégralité des données.

Veiller sur son matériel

Ordinateur fixe

Ne prenez pas la mauvaise habitude de laisser votre matériel sans surveillance.

Quelqu'un de mal intentionné ou de peu précautionneux pourrait insérer une clé USB sur votre ordinateur et transmettre un malware ou encore tout simplement dérober vos données personnelles.

Pensez au minimum, à toujours verrouiller votre ordinateur lorsque vous n'êtes pas devant et ne branchez pas de clé USB ou de disque dur dont vous n'êtes pas certain de la provenance.

Appareil mobile

Les appareils mobiles sont très sensibles aux vols physiques.

Au delà des règles de bon sens pour éviter des vols faciles, il est recommandé de mettre en place un mot de passe non trivial (autre que 0000 ou 1234 par exemple) afin de protéger ses données en cas de perte de l'appareil.

Autre élément d'importance : les regards indiscrets. Lorsque vous vous connectez sur un site web et que vous tapez le code de déverrouillage de votre téléphone, êtes-vous sûr que personne ne regarde par-dessus votre épaule ? Sans tomber dans la paranoîa, quelques précautions de base s'imposent donc.

Utilisations d'ordinateurs publics

Les ordinateurs publics ou généralement tout appareil ne vous appartenant pas sont par nature utilisés par d'autres personnes.
Ainsi les points d'accès à Internet disponibles dans les cyber-cafés, bibliothèques, aéroports ou dans tout autre lieu ne sont pas dignes de confiance, du moins pour l'utilisation de services sensibles.

Ce type d'appareil convient à la consultation pure d'informations, mais il est vivement déconseillé d'y saisir des informations sensibles et donc de se connecter à des services tels que sa banque ou sa boite email.

L'ordinateur lui-même peut être piégé (espionnage de l'écran, de la saisie sur le clavier), et la connexion Internet qu'il utilise n'est pas non plus digne de confiance.