8,5 idées fausses sur la sécurité informatique

description La 3ème va vous étonner
Intro

A force de discussions en covoiturage, je me suis rendu compte que certaines illusions en sécurité informatique ont la vie dure… et que d’autres viennent récemment enrichir ce folklore.
Je profite d’un trajet Toulouse-Bordeaux un peu long pour ajouter ma petite pierre à l’édifice des articles putaclics mais que j’espère, cette fois, utiles.

La navigation privée empêche les sites Web de me traquer

La navigation privée empêche juste quelqu’un qui accède à votre ordinateur de savoir ce que vous avez visité comme sites, rien de plus. Les sites que vous avez visités, eux, sont libres de garder une trace de votre passage que vous soyez en navigation privée ou non (spoiler : ils le font). Et c’est le cas aussi des moteurs de recherche.

La navigation privée ne cache pas votre adresse IP. Elle ne vous rend pas du tout anonyme vis à vis d’Internet (malgré le nom trompeur parfois de navigation “anonyme”), ça évite seulement de laisser des traces sur votre machine. Les sites visités n’apparaissent pas dans l’historique de navigation et les cookies ne sont pas conservés après la fermeture du navigateur (mais ça ne veut pas dire qu’il n’y a pas de cookie du tout).
Donc, comme dit Microsoft, c’est bien Pour faire des recherches pOur un cadeau à votRe moitié saNs qu’il ou elle ne les vOit dans l’historique … … …

honte

Si vous voulez être anonyme, utilisez plutôt Tor link , c’est gratuit.

Il me faut un VPN pour me protéger des pirates et sécuriser mes données personnelles

Merci NordVPN, mais non (en fait merci vraiment à NordVPN pour financer autant de mes youtubeurs préférés, mais quand même non).

Un VPN est juste un relai pour demander à une machine d’accéder à Internet à votre place (en tout cas les VPN grand public c’est ça). Mais vos données arrivent quand même au site Web que vous visitez (seulement, il ne connait pas votre véritable adresse IP).
La seule différence c’est qu’au lieu que le contenu de votre trafic ne soit connu que de vous, votre fournisseur Internet, le site Web que vous visitez, son fournisseur à lui et quelques pays entre les deux, là il n’y aura “que” vous, le fournisseur de VPN, le site Web que vous visitez, son fournisseur et quelques pays entre les deux …
Donc bon … voila … au lieu que ce soit SFR/Bouygues/Orange qui revendent vos données, ce seront NordVPN/ExpressVPN/PureVPN … on est loin de Neo qui s’échappe de la matrice.

fail

Ensuite pour se protéger des pirates … mouuuuuuuuuuuais à moins de vous connecter depuis un Wifi public ouvert (sans mot de passe) sur un site qui n’a pas HTTPS (si ça existe encore) et de renseigner votre mot de passe ou votre carte de crédit dessus … ça ne changera rien.

Pour tout ce qui est netflix et autres, ok pour prendre un VPN mais ne croyez pas que ça augmente substantiellement votre sécurité.

Il me faut un antivirus payant si je veux vraiment être protégé

Un antivirus gratuit va bloquer 90% des menaces connues. Un antivirus payant va bloquer 99,999% des menaces connues … les menaces connues c’est 70% des menaces.
Voilà donc on s’en fout.

Derrière ces chiffres complètement arbitraires, l’idée principale est là : si un pirate compétent a créé un malware inédit, que vous ayez un antivirus gratuit ou payant, il va passer.
Notamment car avant de propager son malware, le pirate pourra l’essayer sur Virustotal link pour voir s’il est détecté comme malveillant et le modifier en conséquence jusqu’à ce qu’il passe tous les filtres.

L’intérêt d’avoir un antivirus payant réside peu dans les fonctions de détection avancées (car non infaillibles) mais plutôt dans les outils annexes fournis (vérification des mises à jour des programmes non Microsoft, blacklist d’URL connues pour être malveillantes, etc.) qui sont plutôt utiles pour les entreprises.
Le quidam que vous êtes n’est pas ou peu concerné, ne vous ruinez pas avec un antivirus payant c’est “overkill”.

overkill

Un bon mot de passe doit avoir des majuscules, des minuscules, des chiffres et des caractères spéciaux

Ce n’est clairement pas le plus important. Votre mot de passe doit avant tout:

  • Être long
  • Être imprédictible
  • Être inscrit nulle part

Si vous respectez ça, peu importe qu’il y ait des caractères spéciaux, des chiffres, etc.
Seulement, c’est en fait compliqué de respecter ces trois critères car ils sont incompatibles. Respecter deux de ces critères nuit forcément au troisième : par exemple, créer un mot de passe très long et ne l’inscrire nulle part incite à avoir un moyen mnémotechnique de s’en souvenir, ce qui diminue ses chances d’être imprédictible.
J’illustre souvent ça via le triangle d’incompatibilité suivant :

Triangle d'incompatibilité

En fait quand les experts en sécurité parlaient d’avoir des minuscules, majuscules, chiffres, ponctuation, etc, ils s’imaginaient plutôt que ça ressemblerait à W('9çQm_A0=z et non pas à Gri3zmann2018!. Sauf que si vous utilisez le premier, il est difficile à retenir et vous risquez donc de l’avoir noté sur un post-it (ce qui est le pire).
La plupart des gens construisent donc leur mot de passe autour de ce qu’on appelle une “racine” (un mot prononçable) qu’ils vont dériver comme de redoutables petits malins : “au lieu d’utiliser thomas je vais utiliser Th0m4S!” (en fait non). Et nous avons tous une facheuse tendance : celle de vouloir que notre mot de passe soit à notre image, on a envie d’en être fier en quelque sorte. On voudrait presque que nos amis le découvrent pour les entendre nous dire _“9unBl4deVIII ? quel homme de goût vous faites Jean-kevin”. C’est un piège dans lequel il faut se garder de tomber, votre mot de passe doit au contraire n’avoir aucun lien avec vous. Et si un ami le découvrait, ce que vous devriez entendre c’est plutôt ”… je me serais pas attendu à ça de toi”.

Pourquoi le fait qu’un mot de passe soit long est largement plus important que le fait qu’il contienne tout plein de caractères bizarres ? On peut évaluer la robustesse d’un mot de passe en calculant CL, où C est le nombre de caractères possibles (qui augmente donc quand on rajoute des majuscules, des chiffres, etc.) et L la longueur.
Augmenter L fait croitre la robustesse de manière exponentielle. Ce qui fait que, par exemple, un mot de passe de 13 caractères, comportant uniquement des minuscules, est 5 fois plus robuste qu’un mot de passe qui contient minuscules, majuscules, chiffres et caractères spéciaux, mais qui ne fait que 9 caractères. Si vous passez de 13 caractères minuscules à 16, ça devient 100 000 fois plus robuste (c’est ça qui est bien avec les exponentielles).

Donc occupez vous surtout que votre mot de passe soit long et imprédictible (évitez JulienLouise si ce sont les prénoms de vos enfants). Une méthode pas mal pour ça est de choisir trois mots qui n’ont rien à voir ensemble et de les coller (genre HermioneMagentaSoudoyer), ça a l’avantage d’être facile à retenir (donc de s’abstenir de l’inscrire sur un post-it).

Et utilisez un gestionnaire de mots de passe, ça change la vie.

Si vous voulez en savoir plus, j’ai fait un article plus détaillé sur le sujet.

Les smartphones sont facilement piratables

Les médias tentent souvent de sensibiliser le public à coup de “Attention les smartphones aussi sont la proie des pirates, chaque année des millions de téléphones sont piratés”.
Alors oui c’est bien de faire savoir que les smartphones ne sont pas invulnérables. Mais, clairement, par rapport à votre Windows sur votre PC, on est deux ou trois ordres de grandeur au dessus en termes de sécurité.

En fait il n’y a que deux scénarios vraiment menaçants pour un smartphone :

  • Vous avez installé une application qui ne venait pas du PlayStore ou de l’AppStore
  • Vous vous êtes fait voler votre smartphone et vous n’aviez pas mis de mot de passe de verrouillage (ou bien c’était 0000)

Bon pour le premier, déjà qui fait ça ? Le 1% un peu bidouilleur qui veut tenter de chopper une application payante en gratuit. ça va c’est suffisamment rare.
Inversement sur votre PC, même quand vous essayez de télécharger un programme depuis une source fiable, vous vous retrouvez avec 20 faux sites qui essayent de vous faire installer la Terre entière dans la foulée, des barres de pubs, etc.
Il arrive qu’il y ait des applications qui contiennent des virus sur le PlayStore ou l’AppStore, mais pour ça il faut que le pirate trompe la vigilance de Google et d’Apple, qui sont un peu plus entrainés que vous link , donc ça reste rare rapporté à la quantité d’applications. Et en plus, pour cacher un malware, il faut quand même développer une application que les gens auront envie de télécharger, c’est pas le truc le plus simple à trouver… Sinon tout le monde serait millionnaire (généralement ce sont des lecteurs de QR codes, des simulateurs de niveaux à bulles, des convertisseurs de devises, etc.).

Pour le second cas, les smartphones récents sont chiffrés via le mot de passe de verrouillage et le téléphone se bloque s’il y a trop de tentatives échouées. Sans ce mot de passe, le voleur n’accèdera pas à vos photos, votre profil facebook, vos emails, etc. Et, EN PLUS, on peut souvent effacer le smartphone à distance.
Maintenant, si un pirate vous vole votre smartphone et que votre code de verrouillage est vraiment honteux (1234, 0000, …) bon ben là c’est plié.
En comparaison, pour Windows c’est plus simple : si quelqu’un peut toucher physiquement votre PC, même si vous avez un mot de passe de tueur, on peut le contourner dans 99% des cas (car Windows ne chiffre pas le disque) et accéder à toutes vos données (fichiers, mots de passe, emails, clés Wifi, …).
Après, c’est sûr que c’est un peu plus probable de perdre son téléphone (qu’on emmène avec soi partout) que son ordinateur.

Sorti de ces deux scénarios, le reste est négligeable. Alors oui de temps en temps une vulnérabilité majeure est découverte et permet de prendre le contrôle du téléphone à distance via un SMS ou une photo ouverte sur le téléphone et ce, à large échelle … Mais c’est environ une fois tous les deux ans. Sur Windows on est plutôt proche de une fois par mois.
Un smartphone c’est piratable mais ce n’est pas ce qui devrait vous inquiéter en priorité si vous avez un PC.

Mac y a moins de virus que Windows

Nan, ok, ça c’est vrai. Mais ce n’est pas Mac, en particulier, qui a moins de virus que Windows. Tout ce qui existe sur Terre a moins de virus que Windows. Une Nintendo64 a moins de virus que Windows.

menace

Ce n’est pas un exploit de Mac d’avoir accompli ça. MacOS est basé sur BSD, qui est un système d’exploitation proche de Linux et dont l’architecture, dans sa conception même, est moins sujette aux virus. Et en plus, Windows étant la plateforme la plus utilisée, c’est la plus attaquée.
Mais si on va par là, n’importe quel Linux a moins de virus que Windows, sans pour autant couter le prix d’une peugeot 207 (pour rappel Linux c’est gratuit, Mac… c’est même plus que c’est payant, c’est plus proche de l’achat d’organe au marché noir).

En gros, tout système d’exploitation qui, au départ, contrôle lui même les logiciels qui seront installés (comme l’App Store, le PlayStore de Google, tous les Linux et maintenant le Windows Store dans les versions récentes) est forcément moins attaquable.
Il y a aussi un défaut historique de Windows qui lançait n’importe quelle tâche anodine (ouvrir un email, un pdf ou une photo) avec des privilèges d’administrateur qui permettent de mettre le sbeul partout si l’email, le pdf ou la photo sont piégés. Sans ça, les virus font moins de dégats.

La biométrie va remplacer les mots de passe

Lol… non.

La biométrie en supplément des mots de passe c’est bien, mais à la place des mots de passe c’est inenvisageable, car ça pose des problèmes “difficilement” surmontables.

Déjà, un mot de passe, vous pouvez le retenir et ne le noter nulle part. Mais pour la biométrie…
Quand vous vous baladez dans la rue, vous emportez le plus souvent votre visage et vos mains, qui sont donc exposés à la vue de tous. Cela revient à se balader avec un post-it sur le front où est inscrit votre mot de passe.
Nos constantes biométriques sont certes uniques mais elles sont loin d’être assez secrètes. L’Etat connait vos empreintes (vous les donnez pour obtenir une carte d’identité), les états des pays où vous avez voyagé aussi (on les donne à l’aéroport). Mais il y a bien pire : s’il existe des photos de vous sur Internet (Facebook, linkedIn, …), il est envisageable de les utiliser pour tromper la reconnaissance faciale et la détection d’empreintes ( si l'on aperçoit votre doigt sur une photo link ).

Deuxièmement, lorsque le mot de passe d’un utilisateur est compromis, il lui suffit d’en changer. Si son empreinte digitale est compromise (car il l’a laissée sur un verre d’eau) il ne peut pas changer ses doigts (sans parler du visage s’il a été pris en photo).
Et quand vous perdez votre mot de passe, il suffit de le réinitialiser. Mais si on vous coupe la main, le détecteur d’empreinte va galérer (pareil si vous êtes enroué, si vous faites de la chirurgie faciale, …)

perte_preuve_biométrique

Enfin, les détecteurs actuels (empreinte, visage, voix, …) sont loin d’être au niveau en termes d’infalsifiabilité : on peut contourner plus de 80% des detecteurs du marché avec une photo ou un décalque d’empreinte.
Pour les 20% qui restent, les imprimantes 3D marchent bien link , or elles sont de plus en plus abordables.
Quand on en sera à l’empreinte veineuse irriguée généralisée peut être que ce sera plus safe (notamment car il ne suffira plus de prendre un verre d’eau dans sa main pour filer ses empreintes) mais on en est loin.

On soupçonne que Google et Facebook revendent nos données

FAUX !!! … On ne soupçonne pas, on en est sûr.

Non seulement ils le font, mais c’est même leur coeur de métier. Le seul truc qu'ils vendent quasiment c'est ça link .

fric

Il ne faut pas imaginer ça comme un discours de geek qui aime rêver qu’il vit dans 1984. La revente de données ciblées sur les utilisateurs est le modèle économique de ces boîtes, le fameux “Quand vous ne payez pas pour un produit c’est que vous êtes le produit”. Ça ne veut pas dire non plus que Google a prévu de mettre en place un gouvernement mondial crypto-faciste, mais croire que la collecte massive et industrielle de nos données est une rumeur c’est se tromper lourdement.

Dites vous que ce que vous imaginez comme utilisation des données personnelles dans le futur… c’est probablement ce qui avait cours il y a 5 ans.
La vidéo suivante est certainement une des plus utiles de ces 10 dernières années, elle vous aidera à mesurer de quoi on parle :

Les produits chinois nous espionnent

Alors … oui … mais on peut enlever “chinois” de cette phrase.
On trouve effectivement des portes dérobées (des moyens d’accès à l’insu de l’utilisateur) dans des produits chinois à intervalle régulier. Et on soupçonne fortement que ça n’a pas été mis là par erreur. On voit aussi pas mal d’adresses IP chinoises dans les tantatives d’attaques. Et on soupçonne qu’il s’agit plutôt de hackers affiliés au gouvernement chinois que de loups solitaires.

POUR AUTANT,
même en faisant la somme de toutes ces portes dérobées et attaques, on est encore loin du niveau d’immiscion des Etats-Unis.

gates

Je vous renvoie aux détails de l'affaire Snowden link pour les trois qui dormaient au fond de la classe, mais, globalement, tout le monde espionne tout le monde … Mais les américains ont une bonne longueur d’avance.
Juste, quand c’est eux, on se plaint moins fort car ce sont des alliés et qu’ils ne sont donc pas censés en profiter pour piquer les plans de l’Airbus A350 ou de l’EPR de 4ème génération … … voila voila voila.

what

On attribue aussi beaucoup d’attaques informatiques à la Chine, à la Russie, etc. La vérité est que le degré de certitude est faible tant les attaques sous faux drapeau sont légion. Remonter avec certitude à l’origine d’une attaque est difficile car il faudrait que tous les pays du monde coopèrent, or ça coince entre certains (genre si Washington demande à Pékin “hey salut tu peux me dire qui utilisait l’IP 23.44.189.6, qui est chez toi, le 6 Juin à 14h stp ?” Pékin risque de répondre un truc du genre “no prob, c’est un certain Elvis Presley, vous connaissez ? Allez salut les cons !”).
Il faut donc se méfier de toute source qui vous sort des données un peu trop précises sur le piratage international.