Découvrir le Web/Se protéger
Un livre de Wikibooks.
Nous allons maintenant évoquer quelques bonnes pratiques qui vous mettront à l'abri de la plupart des menaces qui pèsent sur tout internaute.
[modifier] Protégez vos mots de passe
Certains des sites que vous fréquenterez régulièrement requièrent que vous vous identifiez via un nom d'utilisateur et un mot de passe.
En théorie, il faudrait, pour garantir une sécurité maximale, utiliser un mot de passe complexe (voir ci-après) différent pour chaque site. En pratique, il est trop compliqué de se souvenir d'autant de mots de passe complexes.
La meilleure chose à faire est donc de faire des compromis : pour les sites où le risque est majeur (votre banque), utilisez des mots de passe très bons tous différents. Pour les sites d'importance moindre, utilisez plusieurs mots de passe de niveau bon. Pour les sites où le risque est négligeable, utilisez un mot de passe simple, toujours le même. Ainsi, vous concentrerez vos effort de mémoire sur l'essentiel, là où le risque est important.
[modifier] Choisissez un bon mot de passe : c'est à dire un mot de passe complexe
| Méthode | Exemples | Niveau de sécurité |
|---|---|---|
| Les mots triviaux que tout le monde pourrait donner | password aaaaaaaaaaaaa motdepasse 123456789 azerty abcdef test... | Très mauvais |
| Les mots de passe de moins de 3 caractères | abc ffa 942... | |
| Les mots ou chiffres représentant des données personnelles | les codes postaux, plaques d'immatriculation, le nom du chien... | Mauvais |
| une suite de chiffres ou de caractères, au moins six | 943265 124975 kvgqpr jbnvhq 139751 jgnvqs | Moyen |
| une suite d'au moins huit caractères alpha-numériques aléatoires | r4j6nhy5 qrehgsm6 oi35xe9h 1hguo8co 1cohkmqn 4q2uh4qic | Bon |
| une suite d'au moins dix caractères alpha-numériques aléatoires comportant des symboles | u5u_4#-7qeu v@u_gu3v*3 (m6&i-vqrv 4u=iuhq2+v q4q!qqiqeq 1m9ib~qund | Très bon |
Une astuce pour créer des mots de passe de niveau bons faciles à mémoriser : partez d'une phrase comportant des nombres et mettez à la suite les initiales des mots et des nombres.
Exemple : Norbert pose quatre assiettes sur deux tables de huit mètres de haut donne np4as2td8mdh.
Autre astuce : utilisez une phrase quelconque (pas de nombre obligatoire) et transformez chaque mot en son initiale ou son nombre de lettres en alternance (1 fois sur 2 ou autre).
Exemple : 1 fois sur 2 : Norbert pose un certain nombre d ' assiettes sur des tables de plusieurs mètres de haut donne n4u7n1a3d6d9m2h.
[modifier] Gérer vos mots de passe
À force de s'inscrire sur des sites, on en vient à avoir des quantités de comptes. Cela pose deux problèmes :
- il devient difficile de se souvenir de tous ses mots de passe,
- il est pénible de devoir ré-écrire son identifiant et son mot de passe à chaque fois qu'on veut se connecter.
Pour ces deux raisons, la plupart des navigateurs modernes permettent d'enregistrer ces informations une fois pour toute. Ils les enregistrent dès la première fois où vous vous authentifierez. Les fois suivantes, les champs de saisie seront pré-remplis, vous n'aurez plus qu'à valider le formulaire.
Quand vous vous identifiez auprès d'un site, Firefox vous propose d'enregistrer le mot de passe pour que vous n'ayez pas à le retaper à la prochaine connexion. Lorsque vous validerez le formulaire, Firefox vous proposera trois solutions :
- « Retenir » : le mot de passe est enregistré et quand vous reviendrez sur cette page les champs seront déjà remplis.
- « Jamais pour ce site » : le mot de passe ne sera pas enregistré et Firefox ne vous reposera jamais la question
- « Pas maintenant » : Firefox n'enregistrera pas le mot de passe mais vous reposera la même question (avec les même options) la prochaine fois que vous vous connecterez. C'est pertinent si par exemple vous utilisez un compte que vous ne réutiliserez pas ou qui n'est pas à vous (lorsque vous prêtez votre ordinateur par exemple).
Attention toutefois si vous enregistrez des mots de passe : si quelqu'un accède à votre poste et lance Firefox, il pourra se connecter à votre place, il pourra également afficher vos mots de passe. En effet, tous les mots de passe que vous enregistrez sont stockés en clair et il est possible de les afficher. Il suffit de se rendre dans le panneau « Sécurité » dans les préférences puis de cliquer sur le bouton « afficher les mots de passe ».
Il est possible d'utiliser un mot de passe principal qui sera demandé à chaque fois que des champs doivent être pré-remplis. Cela permet de limiter le risque évoqué. D'une façon générale, nous vous recommandons d'utiliser le gestionnaire de mots de passe uniquement pour les données qui n'ont pas une importance critique. Sur le site de votre banque par exemple, utilisez la fonction « Jamais pour ce site ».
[modifier] Protéger votre adresse de courrier électronique
Parfois, des sites Web vous demanderont de leur fournir votre adresse courriel lors de votre inscription, c'est une pratique courante. Cependant, il faut vous méfier lorsqu'on vous demande votre adresse de courriel : ne la fournissez que si vous avez une bonne raison. Il se peut qu'on vous la demande sous un prétexte fallacieux pour ensuite vous envoyer du pourriel(ou "spam"). Il s'agit de courriers électroniques indésirables envoyés en masse qui pourront vite inonder votre boîte courriel (typiquement de la publicité pour des médicaments ou des montres contrefaites ou pour des sites de logiciels piratés, des arnaques, etc.).
De même, évitez d'écrire votre adresse courriel en clair sur une page web. Si vous devez l'écrire, ne l'écrivez pas exactement mais préférez « votreadressecourriel_CHEZ_fournisseur_POINT_net » plutôt que « votreadressecourriel@fournisseur.net ». Des robots parcourent le web et récupèrent toutes les adresses courriels qu'ils trouvent. La seconde sera reconnue par le robot, il ne verra pas la première. Avec cette méthode, vous évitez donc que votre adresse soit récupérée par un robot qui constitue une collection d'adresses à polluer.
[modifier] Les adresses courriels jetables
Certains sites proposent un service d'adresses jetables, une fois le site chargé, une adresse virtuelle est générée. On peut alors donner cette dernière. Le site permet ensuite de consulter les courriels reçus à cette adresse. Ce type de service est à utiliser simplement pour recevoir un mail immédiat.
Des exemples de sites proposant ce service :
[modifier] Les redirections temporaires
Une autre méthode, plus pérenne, vous permet de générer une redirection temporaire vers votre véritable adresse courriel.
Des exemples de sites proposant ce service :
- http://jetable.org/ proposé par l'APINC
- http://trashmail.net/
[modifier] Protégez votre vie privée en effaçant vos traces
Pour protéger votre vie privée, vous pouvez effacer les traces que vous laissez sur votre ordinateur. Parmi les éléments qui pourrait être révélateurs, il faut signaler :
- l'historique de navigation,
- l'historique de téléchargement,
- les cookies,
- les entrées dans les moteurs de recherche,
- les données mises en cache,
- les mots de passe enregistrés.
Attention toutefois : même en effaçant les traces locales, il restera les traces que vous laissez sur les différents sites que vous visitez.
Firefox vous propose un outil de suppression des traces que vous laissez sur votre ordinateur : vous pouvez accéder à cet outil via le menu « Outils », en sélectionnant « Effacer mes traces ». Vous pouvez aussi utiliser le raccourci clavier Ctrl+Maj+Suppr.
[modifier] Protégez-vous des sites contrefaits et des espions en utilisant des connexions sécurisées
Avec l'avènement du marché en ligne, il a fallu mettre en place des systèmes de sécurité pour assurer des transactions confidentielles. Le système actuel est appelé TLS (anciennement SSL), il permet deux choses :
- Authentifier le site sur lequel vous êtes. C'est à dire que vous êtes bien sur le site qui appartient à l'entreprise et pas sur un site contrefait.
- Chiffrer la connexion entre le site et votre ordinateur. Il s'agit de faire circuler les données entre chez vous et le site de façon totalement opaque, ceci afin que quelqu'un qui espionnerait la connexion ne puisse rien comprendre aux messages qu'il intercepte. Une remarque : le chiffrement est indépendant de l'authentification : c'est à dire que vous pouvez vous trouver avec une connexion chiffrée avec un site non-authentifié (qui peut être le vrai site ou un site contrefait)
Vous pouvez reconnaître qu'une connexion utilise TLS avec l'adresse. Avec une connexion sécurisée, les adresses commencent par « https:// » et plus « http:// » (pensez à s comme http sécurisé ou http sûr).
[modifier] Protégez-vous du contenu intrusif et de la publicité
Bien qu'étant un des moyens permettant de rémunérer le travail des auteurs, la publicité peut être intrusive au point de rendre le site illisible. Utilisez un filtre peut permettre de limiter, voire de supprimer totalement l'apparition de ce bruit, souvent néfaste et parfois obscène, notamment pour les enfants qui y sont déjà surexposés quand ils ne sont pas sur l'ordinateur.
Adblock Plus est une extension très efficace pour cela. Vous pouvez l'installer depuis la page Adblock sur le site dédié aux extensions Firefox. Pour en savoir plus, vous pouvez consulter le site officiel de Adblock Plus.
Les fenêtres intruses sont des fenêtres qui s'ouvrent au chargement d'une page en plus de la page demandée et ce, sans avoir été sollicitée. Comme elles ont tendance à se multiplier (parfois il s'en ouvre plusieurs à chaque fois qu'on change de page !), c'est un vrai fléau et il devient vite pénible d'avoir à les fermer les unes après les autres pour retrouver la page qu'on était en train de lire.
Firefox intègre un filtre de fenêtres intruses activé par défaut. Toutefois, si Firefox bloque une fenêtre, un bandeau apparaîtra en haut de page avec un bouton permettant de l'afficher si vous le voulez.
Les éléments Flash sont pour le plupart inutile (décoration, publicité), de plus, nombreux sont ceux qui sont intrusifs : c'est typiquement le cas quand ils émettent du son et qu'il n'est pas possible de l'arrêter ou de baisser le volume. De plus, le flash est assez lourd, il consomme de la bande passante. Voilà de bonnes raisons de bloquer le contenu en Flash par défaut.
C'est ce que permet l'extension Flashblock. Tous les objets flash seront remplacés par un cadre de la taille équivalente sur lequel il suffit de cliquer pour lancer l'objet flash comme s'il n'avait pas été bloqué.
Cette extension a prévu le cas des sites (minoritaires) qui font un bon usage du Flash avec un système de liste blanche. Tous les sites que vous ajouterez à cette liste seront affichés comme si Flashblock n'était pas installé.
Les scripts JavaScript sont des petits programmes intégrés aux pages internet. Ils sont exécutés directement par votre navigateur afin d'enrichir votre expérience du Web (éléments interactifs, lecteurs audios et vidéos, etc.). Cependant, certains sont créés à des fins malhonnêtes (exploitation de failles de sécurité, publicités intrusives, etc.). Il convient donc de choisir ceux que l'on souhaite laisser activés.
Comme son nom l'indique, l'extension NoScript offre cette possibilité, ainsi que le contrôle des éléments flash et autres plugins. Son fonctionnement est similaire à Flashblock, vu précédemment. Étant incompatible l'un avec l'autre, choisissez l'extension correspondant le plus à vos besoins (simple limitation du Flash ou contrôle total ?).
Minuscules fichiers textes enregistrés sur votre ordinateur via le navigateur, les cookies permettent de suivre vos visites et votre parcours sur un site. Dans certains cas (forum, site sécurisé, etc.), cela permet une personnalisation pertinente, en fonction de vos préférences (éléments consultés, identifiants et mots de passe, etc.). Cependant, sur la plupart des sites, ils ne sont utilisés que pour récupérer des informations sur les habitudes de navigation des visiteurs (entre autre, pour choisir les publicités à afficher). Il est donc intéressant de n'accepter que les cookies des sites qui en ont réellement besoin.
Bien que pénible au cas par cas, cela est possible à configurer via l'onglet "Vie privée" dans le panneau "Préférences" de Firefox. Pour y remédier vous pouvez utiliser l'extension CS Lite. Elle facilite grandement la gestion des cookies en accordant en un clic, une autorisation permanente, temporaire ou une interdiction aux sites visités. En plus d'une liste noire (interdictions) fournis d'office, vous aurez rapidement une liste blanche (autorisations) réalisée par vos soins.
[modifier] Protégez-vous des logiciels malveillants
Connus sous le nom de Malware ou plus communément Virus, le web en est le principal vecteur de propagation. Ce sont des "logiciels développés dans le but de nuire à un système informatique" soit en empêchant son utilisation par diverses dégradations, soit en l'infiltrant afin de récupérer discrètement ressources et données personnelles. Bien que ce fléau soit aujourd'hui très répandu, appliquer quelques règles simples peuvent vous en prémunir.
La première chose à faire est de maintenir votre système à jour, ainsi que les logiciels que vous utilisez. En effet, les correctifs comprennent généralement des patchs éliminant certaines failles de sécurité.
Cependant, la plupart ne contamine l'ordinateur que par l'imprudence de l'utilisateur : le plus grand risque pour votre système se trouve entre votre clavier et votre siège ! Ainsi, ne croyez pas tout ce qu'on vous affirme (site, mail, etc.), que ce soit un problème de sécurité ou un jackpot quelconque. De manière générale, avant de cliquer sur le "OK" d'une boite de dialogue, lisez ce qu'elle vous indique (vous ne signez pas un contrat avant de l'avoir lu, n'est-ce pas ?). Quoiqu'il arrive, si vous êtes amené à télécharger un logiciel, ne le faites que depuis le site officiel de l'éditeur dudit logiciel après vous être renseigné à son sujet.
Utilisateurs de Microsoft Windows, lisez ce qui suit.
[modifier] Règle de sécurité primordiale
Ne surfez pas sur le web en mode Administrateur ! Ce mode offre des droits étendus à toutes vos applications, y compris celles se connectant à internet tel navigateur, messagerie, logiciel de partage, etc. Cela équivaut à ouvrir grand la "porte" de votre ordinateur à tous les virus possibles et imaginables. Ils pourront en effet s'installer où bon leur semblent, y compris dans les fichiers systèmes de Windows (ceux qui font fonctionner votre PC), et donc en prendre le contrôle total ainsi que vos données personnelles.
Pour y remédier, vous avez 2 solutions. Pour les utilisateurs novices, utilisez au quotidien un compte limité. Passez en administrateur seulement pour les activités requérants les droits étendus (tel que les installations ou mise à jour de logiciels). Si vous êtes un utilisateur avancé, vous pouvez vous penchez sur l'application Strip my Rights (Tutoriel en français de Libellules.ch ). Ce minuscule logiciel vous permettra, sous compte administrateur, de limiter les droits des applications sensibles comme si elles fonctionnaient sous compte limité.
[modifier] Recommandations de base
- Munissez-vous d'un scanner antivirus (un seul, les cumuler posera des problèmes de compatibilité au lieu d'augmenter votre protection). La plupart sont proposés gratuitement pour un usage personnel, sans perdre en efficacité (voir cette liste).
- Protégez votre connexion par un pare-feu. Certains de qualité sont disponibles sans frais sur internet et leur configuration devient accessible aux non-initiés (voir cette liste).
- Enfin, un "antispyware" peut être utile afin de nettoyer occasionnellement votre ordinateur des éléments qui lui sont nocifs, ainsi que pour votre vie privée. Attention, si vous pouvez en trouver de très corrects en ligne, certains sont eux-même des logiciels espions.
Pour les utilisateurs de GNU/Linux (comme les distributions Ubuntu, Mandriva, Gentoo, etc.), sauf cas particulier, ces problèmes ne vous concernent pas. En effet, ce système a une architecture sécurisé par défaut (pare-feu intégré, droits d'administration protégés, mise à jour à fréquence élevée, etc.). Cela rend la grande majorité des malwares inopérants, sans compter que la plupart sont créés spécifiquement pour Windows.
