Comment se protéger à moindre coût des cyber-attaques ?

Les sauvegardes manuelles c’est évidement mieux que rien, mais seul un système un peu automatisé permet d’avoir une bonne fiabilité à mon avis.

Malheureusement je ne peux pas vous conseiller grand chose, j’utilise des systèmes faits maison il y a plus de 10 ans et utilisés uniquement par moi-même et ma petite personne, mais le principe est que tous les systèmes importants sont sauvegardés en automatique au de 3 manières différentes (en l’occurrence ma comptabilité, mes documents importants et les serveurs hébergeant les systèmes de mes clients).

- Les données sont redondantes (chaque machine héberge au moins 2 disques avec un système RAID, permettant que si un disque ne fonctionne pas le système soit rétabli) cela protège uniquement des dysfonctionnements technique du disque mais c’est un début.
- Une sauvegarde quotidienne (ou plus si nécessaire pour les données de mes clients) est réalisée à partir de la machine concernée vers un cloud (ou équivalent) et stockée pendant quelques jours, ce système permet de s’adapter aux piratages de base (typiquement le client qui installe un truc foireux sur son serveur et se fait pirater) après vérification que la sauvegarde ne soit pas contaminée et identification de la source, on rétabli le système avant piratage en bloquant la porte d’entrée. Ce genre de situation m’est arrivée une demi douzaine de fois en plus de 10 ans de gestion de serveur pour des tiers. Le risque est qu’un pirate chevronné ne se manifeste pas pendant plusieurs semaines, pénètre sur le serveur, analyse l’ensemble de ce qui se passe, récupère les accès au système de sauvegarde et fasse en sorte d’attendre que toutes les sauvegardes soient contaminées pour activer ses dégâts. Cette précaution permet aussi de gérer les évènement catastrophique type destruction partielle voire incendie de datacenter (j’ai connu deux évènement de ce type, sans jamais perdre plus d’une heure de données, mais c’était un coup de bol, selon le cas ça aurait pu être 24h)
- Pour limiter ce risque, un second système de sauvegarde transparent pour le système concerné est réalisé (selon le cas par l’ouverture d’un accès ou un archivage à partir de la sauvegarde) avec une stratégie d’archivage différent sur un stockage "à froid" (généralement sur bande magnétique, c’est le moins cher)
On peut ainsi se permettre de revenir de nombreuses semaines en arrière voire de repartir du système de base et de reconstituer au mieux l’état du système avant piratage.

Aujourd’hui, de nombreux prestataires de sécurité proposent ce genre de services, sûrement de manière plus fluide que mes prototypes d’il y a 10 ans …

Sinon il faut savoir que la principale cause de piratage est une mauvaise hygiène numérique, donc limiter les comportements à risque :
- avoir une stratégie de gestion de mots de passe appropriée sans aucun doublon.
Différentes stratégies existent : un gestionnaire de mot de passe mais qui ajoute une vulnérabilité non négligeable. Autre possibilité, une stratégies d’encodage personnalisées : on utilise un mot de passe de base et on ajoute pour chaque usage une combinaison basée par exemple sur le nom du site. Exemple si mon mot de passe de base est Zat0wvUaai, je va ajouter en 3ème place un caractère spécial suivi de la seconde et la quatrième lettre du site, donc pour ici par exemple Zat#ne0wvUaai (pour iNvEstisseur…). Ainsi un robot qui a piraté l’accès à la boite mail n’aura pas le mot de passe du forum, mais un humain peut comprendre votre truc assez facilement
- utiliser au maximum la double authentification
- ne pas noter les mots de passe dans un fichier ou des post its.
- changer les mots de passe de temps et temps, et à chaque fois qu’il y a un doute (alerte de connexion depuis un endroit, perte d’un ordinateur…)
- Se protéger du phishing : ne pas cliquer sur les liens sans vérifier le domaine d’expédition d’un email (le vrai, pas l’adresse d’expédition) ET le domaine du lien final
- ne pas télécharger les pièces jointes non sollicitées ou semblant illégitimes
- utiliser des logiciels d’entreprise ayant pignon sur rue, ou privilégier le SAAS (logiciels en ligne)
- avoir un système le plus simple possible (pas des dizaines de logiciel que vous n’utilisez pas et des tas de plugins sur votre navigateur)
- utiliser un antivirus, sachant que l’antivirus gratuit de microsoft peut faire le boulot si on suit tout le reste

Et savoir aussi que l’ingénierie sociale est la principale source de piratage :
- former ses salariés, alerter sa famille
- limiter la présence de données personnels en ligne (pour limiter l’usurpation d’identité)
- toujours vérifier auprès de plusieurs sources avant toute décision sensible, par exemple, si quelqu’un prétendant bosser pour votre banquier vous demande une info personnelle, dites lui que vous allez appeler votre conseiller pour vérifier.

Je croyais que tout cela était relativement connu des chefs d’entreprise, mais je me rend compte que pas du tout, donc de mon côté je prépare une formation sur le sujet avec un organisme avec qui je travaille, ce sera une formation basique comportant les points ci dessus et quelques autres. Je pense néanmoins que ce sera utile pour de nombreuses TPE.

Dernière modification par Sisyphe01 (05/05/2024 19h19)

Intéressant tout cela, et vaste a étudier avec le document PDF.

Beaucoup utilise des anti-virus gratuits comme Windows Defender ou Avast, pour un particulier cela semblerait être suffisant, mais j’ai entendu que des entreprises payent pour des anti-virus plus performants.

- Et cela me rappelle les années 2000, ou l’on téléchargeait beaucoup sur du peer-to-peer comme eDonkey ou eMule.
  + l’échange entre copains étudiants et jeunes salariés très limités en argent, de beaucoup de docs, jeux, logiciels.

Alors la c’était la fête, et c’était très formateur au final.

Il faut avoir vécu les alertes assez fréquentes a l’écran des antivirus.
Puis des fois, le PC qui plus le temps passe, plus il fonctionne de plus en plus mal et de plus en plus lennnnntement, puis l’antivirus quand on clique dessus qui ne s’enclenche même plus…

Direction avec la tour chez un bon pote informaticien, verdict : L’antivirus s’est fait bouffer par le virus ( Norton de mémoire ).
Donc, il ne reste plus a notre niveau qu’a tout formater et tout réinstaller.

Ou des fois tout se passait bien, puis lorsque l’on fait une analyse avec l’antivirus plus approfondie et complète dans le mode redémarrage du PC ( a l’époque cela prenait du temps ) on découvre une collection d’une 20 aine de parasites et choses parasites qui se cachaient.

Mais bon a l’époque des années 2000 personnellement je ne consultais pas de comptes bancaires et ne payais rien en ligne, que par chèque.

- L’histoire vraie aussi d’un responsable d’une entreprise somme toute très a cheval niveau sécurité informatique.

Celui-ci en déplacement, en attente de son avion dans un aéroport discute et sympathise avec une autre personne, puis la personne lui dit que son téléphone est déchargé, et lui demande poliment si elle peut le recharger un peu sur son laptop.

La suite vous la devinez…
Ceux qui devinent pas tout de suite faut faire une formation de recyclage ;-)

Dernière modification par Serrure (06/05/2024 14h38)

Et sinon, certains ont inventé linux, et les "types unix" (bsd, etc..)
Il y a moult systèmes alternatifs à Windows.
Là encore, nombreuses précautions sont  à préférer pour éviter de se faire véroler : la sauvegarde est la plus connue, mais le principal vecteur se situe entre la chaine et le clavier (surnommé "Pebkac" dans la profession).

Pour ma part, j’estime qu’il y a trois grands "dangers" pour un particulier à cette heure, en informatique :
- Évidemment le piratage des moyens de paiement, via hamerçonnage par communication numérique (remplace un peu l’escroquerie au faux policier des années 90)
- Le piratage ordinaire en bonne et due forme, en exécutant un programme malveillant, reçu par courriel, téléchargé ou autre, qui "moucharde" l’ordinateur
- La fuite des bases de données, qui frappe de plein fouet les acteurs d’internet aujourd’hui.. Normalement, une personne censée, appliquera la méthode "prudente", à savoir ne jamais sauvegarder ses coordonnées bancaires sur un site internet, et les mettre à la main systématiquement.

Reste le dernier aspect, les données personnelles non financières, parfois autant sensibles : données médicales (notamment une personnalité pouvant se faire "doubler" dans la communication de son cancer), familiale ou intimes (jennifer lawrence, aout 2014), mais parfois aussi d’autres documents précieux : écrits, documents industriels etc..

Le problème, aujourd’hui, reste de ne pas laisser faire n’importe quoi avec sa connexion internet, notamment quand les plus jeunes y accèdent dans le dos de leurs parents..

Bonjour,

Je crée cette discussion pour vous inviter à participer à une activité importante : un nettoyage de printemps numérique !

Depuis combien d’années utilisez-vous Internet ? Sur combien de sites Web et autres applications mobiles vous êtes-vous inscrit ? Nom, prénom, photo de profil, e-mail, date de naissance, adresse, numéro de téléphone, numéro de carte bleue, contact d’urgence et bien d’autres informations personnelles sont partagées avec ces sites, ce qui n’est pas nécessaire, et probablement pas souhaitable non plus.

Je vous propose donc de commencer par jouer aux devinettes et faire une estimation, sans vérifier, du nombre de sites sur lesquels vous êtes inscrit. Ensuite, faite une liste et comparez votre idée à la réalité. Pour cela, vous pouvez bien sur vous servire de votre boite mail. Des recherches de mots clés comme "compte", "account", "password", "registration", "confirmation", "confirm" devrait vous permettre à retrouver pas mal de mails d’inscription. Vous pouvez aussi, pour les informaticiens de la bande, utiliser des outils d’OSINT pour vous aider, par exemple :
- GitHub - megadose/holehe: holehe allows you to check if the mail is used on different sites like twitter, instagram and will retrieve information on sites with the forgotten password function.
- Epieos, the ultimate OSINT tool
- Have I Been Pwned: Check if your email has been compromised in a data breach

Je vous suggère de lister également les sites bancaires, e-mail provider, e-commerce, réseaux sociaux et autres sites de rencontre, etc. L’idée est d’établir un état des lieux.

A minima, vous vous rendez maintenant compte de la quantité de services avec lesquels vous partagez généreusement des données vous concernant. Pour ceux qui y sont sensible, vous pouvez ensuite faire du nettoyage. Vous connecter aux différents sites, demander la suppression des données puis supprimer vos comptes, ou encore contacter le SAV/support technique pour faire la demande si la fonctionnalité n’est pas disponible directement sur le site Web ou l’application mobile.

Pour conclure, je vous recommande de maintenir cette liste à jour. On s’inscrit sur un forum ? On le note dans le fichier de suivi. On clique sur "se connecter avec mon compte google" sur une app ? idem. Votre futur moi vous en remerciera certainement.

InvestisseurHeureux a écrit :

Qui va aller vérifier ? Contrôler ? Personne.

Vous avez raison, mais il y a quand même 3 bonnes raisons de le faire :
1. Il est possible qu’ils suppriment réellement vos données :)
2. Nous sommes dans l’UE et la RGPD est un outil assez dissuasif pour que les acteurs, petits ou grands, n’aient pas trop envie de se prendre une amende.
3. A minima, une personne qui fait de l’OSINT ne pourra plus savoir que vous avez (eu) un compte sur telle ou telle plateforme.

Si sur des dizaines de suppressions de comptes, quelques un ne jouent pas le jeu, je pense que le jeu en vaut quand même la chandelle. Comme la police qui n’arrête pas le crime, mais qui le réduit quand même beaucoup (sans vouloir nous lancer sur un autre débat).

InvestisseurHeureux, le 28/05/2024 a écrit :

Je ne serais pas surpris que dans bien des cas, nos données soient juste désactivées, pour qu’elles puissent malgré tout être utilisées pour du data mining.

Oui, c’est pour ça que plutôt que de supprimer mes données, je les fausse, je mets n’importe quoi de crédible pour pourrir au maximum les données, les statistiques, tout ce qu’ils feront de mes données sans mon consentement. Ensuite seulement, je demande la suppression : s’ils n’exécutent pas leurs obligations légales… tant pis pour eux.

sjdc, le 28/05/2024 a écrit :

2. Nous sommes dans l’UE et la RGPD est un outil assez dissuasif pour que les acteurs, petits ou grands, n’aient pas trop envie de se prendre une amende.

Moi j’ai plutôt la nette impression que c’est un je-m’en-foutisme généralisé. À chaque fois que j’ai contacté un DPO, je n’ai aucune réponse. Tous les échos que j’ai de gens qui ont fait des procédures se font balader :
1/ on va voir la CNIL, elle nous dit de s’adresser au DPO du site, qu’elle ne peut être saisie en premier ressors
2/ on écrit au DPO du site
3/ poireauter un mois (délai demandé par la CNIL)
4/ saisir la CNIL : indiquer qu’on a contacté le DPO, qu’on a pas de réponse
5/ attendre trois mois (délai à respecter)
6/ saisir la CADA : indiquer que la CNIL est censée répondre dans un délai raisonnable (au passage, remarquer que le site de la CADA n’est pas conforme RGPD, et le signaler à la CNIL)
7/ attendre des mois / années
8/ recevoir un courrier de la CADA : "blablabla… nous avons rappelé à la CNIL ses obligations blablabla"
9/ attendre encore des plombes
10/ recevoir un courrier de la CNIL : "blablabla… désolé pour le retard… blablabla… nous avons constaté les manquements de l’entreprise machin et les avons rappelé ses obligations quant au respect du RGPD"
11/ n’avoir aucune idée de si il s’est vraiment passé quoi que ce soit chez l’entreprise en question à part avoir reçu un courrier de la CNIL ("vu et s’en tape")

C’est pour moi un des plus gros fiasco juridique. Ça fait des années que ça existe et on en est à peu près au même point qu’avant le RGPD, à part les quelques amendes infligées aux très gros (qu’ils auront remboursé en quelques minutes de CA, ayant très bien pondéré le bénéfice/risque de la violation).

Les boîtes respectueuses sont celles qui l’étaient déjà parce que faites par des informaticiens conscients.

P.S : mon analyse est que le présent forum n’est pas conforme RGPD, car utilisation de Cloudflare (= transfert de nos adresses IP, donnée personnelle, à une boîte américaine).

Les boîtes respectueuses sont celles qui l’étaient déjà parce que faites par des informaticiens conscients.

ça nous a quand même apporté un bon cahier des charges à respecter quand on a envie de le faire…

bon cahier des charges très couteux pour la collectivité, mais c’est déjà ça

fred42, éclairez-moi : qu’est-ce que je n’ai pas compris sur cette page ?

la "CNIL" allemande a écrit :

The use of Cloudflare violates Art. 44

The DPA believes that the transmission of data, in particular. - Date and time of access, - name of the requested file, - web page from which the file was requested, - access status {e.g. e.g. file transferred, file not found), - the web browser used and the operating system, - the lp address of the requesting device, - online identifiers (e.g. device identifiers, session lDs}. Unlawful and a violation of Art. 44 GDPR.

Je considère que Cloudflare n’est pas nécessaire mais superflu (sans parler du fait qu’il est pénible avec ces constantes mise en attente sur une mire et ces CAPTCHA). RGPD ou pas mon IP est transmise et Cloudflare sait que je consulte le forum et revend sûrement l’information.

Je ne sais pas si le forum permet encore d’inclure des vidéos youtube directement dans les messages mais si c’est le cas, c’est non-conforme également (merci encore à IH qui, suite à ma demande, a fait en sorte que les vidéos ne soient pas incluses directement si l’entête DoNotTrack est envoyé par la navigateur).

Vous avez raison Bobdocland : la chute du Privacy Shield fut une grande victoire mais avec ce nouvel accord EU/US, le pillage des données européennes est redevenu légal. En Irak quand les USA pompaient le pétrole, ça se voyait dans le paysage. Aujourd’hui, avec la "data", "the new oil" on se fait piller pareillement mais ça se voit pas dans le décor.

Dernière modification par Gog (Hier 22h59)

Puisqu’on cause VPNs, les aficionados seront peut-être intéressés par la lecture suivante (article de Brian Krebs) : Is Your Computer Part of ‘The Largest Botnet Ever?’

En très résumé, certains produits « VPN gratuits » font de votre ordinateur un membre des botnets utilisés par les cybercriminels pour faire ce qu’ils aiment faire. Concrètement, c’est de votre ordinateur que vont partir certaines attaques, et vous faites serveur VPN à votre insu.