Se protéger face aux pirates

B. SE PROTEGER FACE AUX PIRATES

1. Bien choisir son mot de passe

La sécurité commence par de bons mots de passe, de plus en plus de nombreux services demandent un mot de passe. Quelques règles permettent de sécuriser un mot de passe par un bon choix.

Un mot de passe :

1. Solide il sera
2. Personnel il sera
3. Souvent il changera

Un mot de passe solide :

Comme nous l'avons vu précédemment, des techniques existent pour tenter de casser les mots de passe. La plus utilisée consiste à faire des essais systématiques à partir de dictionnaires. Par cette technique, on arrive à casser en moyenne plus de 20% des mots de passe d'un fichier en moins d'une heure. La loi de composition d'un bon mot de passe doit rendre cette technique inefficace, d'où la règle suivante :

Règle 1 : Un mot de passe ne doit pas pouvoir être trouvé dans un dictionnaire

Les deux autres techniques utilisées, consistent à essayer toutes les combinaisons possibles, soit sur un jeu réduit de caractères, soit en cherchant une chaîne de caractères de petite longueur. Pour faire échouer ces tentatives, il faut élargir au maximum le champ des combinaisons possibles, ce qui conduit à énoncer les deux règles suivantes.

Règle 2 : Votre mot de passe doit contenir un mélange de caractères alphanumériques et de caractères spéciaux (- + ! § %, ...),

Règle 3 : Votre mot de passe doit faire au moins 8 caractères

Règle 4 : évitez les mots de passe du genre azerty, xxxx, 0000, 1111, qsfd, wxcv, aaaa, 1234,… car ce sont les premiers mots que l'on retrouve dans les fichiers dictionnaires.

Il ne faut pas prêter son mot de passe

Un mot de passe est un secret entre vous et votre machine qui ne doit être partagé par personne d'autre. Si vous le confiez à quelqu'un, même à un proche ou à un ami, ce n'est plus un secret et le mot de passe ne joue plus son rôle d'authentifiant. Vous mettez en échec la sécurité du système dans son fondement ; dès lors, toutes les mesures que vous pourriez prendre par ailleurs, ne servent plus à rien.

Il ne faut pas non plus écrire

Votre mot de passe sur un support, à proximité de la machine ou de manière qu'un rapprochement puisse être fait avec le système qu'il est censé protéger. Les " post-it " sous le clavier ou le tapis de la souris, ne sont pas une bonne idée !

Il faut changer régulièrement le mot de passe.

Les mots de passe circulent en clair sur les réseaux. Des techniques simples (sniffers, espions, chevaux de Troie ...), peuvent être mises en oeuvre pour capter le couple (identifiant, mot de passe) à l'insu des utilisateurs et administrateurs. Ces dispositifs peuvent rester en place pendant des mois avant d'être découverts. Pendant ce temps, tapis à l'écoute du réseau, ils captent tous les mots de passe qui circulent.

C'est pourquoi, même robuste, un mot de passe doit être modifié régulièrement - au moins tous les trois mois. Mais cette exigence pose un problème de mémorisation, qui devient insurmontable lorsqu'on a plusieurs mots de passe à se rappeler et qu'on applique scrupuleusement les règles ci-dessus. C'est pourquoi un mot de passe ne peut être un pur aléa. Il faut avoir une règle de constitution mnémotechnique. En voilà deux, à vous d'en trouver d'autres si le cœur vous en dit.

1°) Méthode poétique :

Elle consiste à apprendre un vers par cœur et à constituer le mot de passe en prenant un caractère de chaque mot.

Exemple : " Tant va la cruche à l'eau qu'à la fin elle se casse ".
Pour chaque mot du vers qui possède plus de trois caractères, je prends le premier caractère. Les autres mots sont ignorés. J'alterne 1 minuscule, une virgule, 2 majuscules, un point-virgule, 2 minuscules, 1 majuscule, pour que la chaîne fasse 8 caractères.
Résultat : t,CE;feC.
Certes, la méthode peut paraître compliquée au premier abord, mais, avec un peu d'habitude on s'y fait très bien. Une version simplifiée, consistant à ne prendre que les premiers caractères de chaque mot du vers, est souvent utilisée. Mais le résultat est considéré comme faible, dès lors que l'attaquant connaît votre méthode de mémorisation.

2°) Méthode par substitution :

J'apprends par cœur une chaîne {C}de caractères spéciaux.
Par exemple : {* + $ / ? £}. Je prends un mot ou un nom que je peux retenir facilement. Par exemple : Robert. Je remplace les voyelles par les caractères successifs de la chaîne {C}. Je mets une majuscule à chaque bout du mot et je le complète, si nécessaire, à 8 caractères avec le reste de la chaîne {C}.

Résultat : R*b+rT$/.

Quand je change mon mot de passe, je ne change que la " graine " (ici Robert) et je garde toujours la même chaîne {C}que je mémorise définitivement. Personnellement, cette méthode me plaît plus que la précédente. Avec un peu d'entraînement, l'opération de composition du mot de passe se fait facilement mentalement. Les mots obtenus sont aussi très robustes.

Si l'une de ces deux méthodes vous convient, servez-vous, il n'y a pas de droits d'auteur. Sinon, à vous d'en trouver une autre.

2. Les informations à ne jamais divulguer

En tout premier, c'est bien sûr votre mot de passe. Ne le donnez à personnes et si vous vous inscrivez à des services sur des petits sites, je vous conseille d'utiliser un autre mot de passe que celui de votre connexion ou de votre boîte aux lettres.
Ne divulguez jamais votre adresse IP à quiconque. La seule fois où vous pourriez la divulguer c'est si vous voulez jouer à un jeu en réseau.
Ne donnez votre adresse e-mail qu'à des personnes sûres, ne l'inscrivez pas sur tous les sites qui vous la demandent. En effet, la plupart du temps, ces sites qui vous promettent de vous envoyer une blague chaque jour, des photos, des dictons en profitent pour vous assaillir d'autres e-mails publicitaires.
Evidement ne donnez jamais votre n° de téléphone, votre adresse ou toute autre information personnelle sur les chats. Cela vous évitera de vous faire agresser par téléphone ou par courrier !

3. Utiliser des programmes antivirus et anti-pirates

3.1. Antivirus

Beaucoup de personnes pensent qu'avec un programme anti-virus connu ils sont hors d'atteinte des pirates. Mais ils se trompent fortement car certain virus ont spécialement été conçu pour contourner les anti-virus. L'important n'est pas d'avoir un programme anti-virus connu mais un programme qui permet d'actualiser via Internet sa liste de virus à détecter. Il sort chaque jour de nouveaux virus donc même le meilleur anti-virus ne pourra pas détecter un virus qu'il ne connaît pas.

3.2. Anti-hackers

Les dispositifs anti-hacker agissent à la source du problème, ils n'attendent pas que le virus soit arrivé sur le disque dur pour l'anéantir mais interdisent toutes entrées non désirées venant du réseau.
La seule " barrière " que vous puissiez poser entre vous et les pirates est un firewall.
Un firewall (ou pare-feu) est essentiellement un dispositif de protection qui constitue un filtre entre un ordinateur ou un réseau local et un autre réseau non sûr, Internet en particulier. Les firewalls visent différents objectifs de sécurité, contrôler et protéger contre :
· Les attaques par cheval de Troie.
· La divulgation non autorisée d'informations sensibles.

Le firewall concentre en un point unique des mesures de sécurité pour protéger un ordinateur ou un réseau local contre des attaquants extérieurs.
Un firewall consiste en un filtre entre deux réseaux, deux ordinateurs ou un réseau et un ordinateur où les exigences de sécurité ne sont pas les mêmes. Le firewall est en fait une machine sur laquelle vous vous connecterez à l'aide d'un logiciel pour accéder aux informations du réseau.
Le firewall est la principale solution pour se protéger des attaques et des intrusions en particulier des Troyens, en effet dès qu'un firewall détecte une activité anormale, il le signale. Mais, tout le problème réside dans la configuration d'un tel logiciel. Comme pour un dispositif d'alarme classique, chaque utilisateur est unique. Dès lors, le meilleur moyen de bien configurer son firewall est de bien connaître les logiciels utilisés, du navigateur au logiciel de messagerie en passant par l'ICQ ou l'IRC ce qui n'est pas à la portée de tout le monde et surtout généralement pas très rassurant, une bonne partie de la sécurité reposant sur le facteur humain. Pour vous aider dans la configuration de votre firewall, je vous conseille : Conseal PC (www.mygale.org/11/reda117/progs/Firewall.zip).
Attention, cependant, un firewall ne protège pas contre la malveillance des utilisateurs internes or 80% des actes de piratage se font via des collaborations internes à l'entreprise qui ne sont pas détectées par le firewall bien évidemment. Il faut également préciser qu'un firewall ne contrôle pas le contenu des données et donc l'invasion de virus.

4. Peut-on acheter sur le net en toute sécurité

Afin de bien répondre à cette question, je vais tout d'abord développer les différents moyens d'obtenir le n° de carte de crédit d'une personne puis les différents moyens pour réduire le risque de fraudes.

4.1. Comment obtenir le n° de carte de crédit de quelqu'un ?

Les sniffers

Les " sniffers " sont des programmes permettant d'"écouter" toutes les communications en transit sur un réseau. La seule contrainte pour pouvoir utiliser un sniffer est d'avoir un accès au driver de la carte réseau de la machine sur laquelle on se trouve. Cet accès est en général interdit par les administrateurs de systèmes Unix ou Windows NT mais un simple PC autonome (sous Windows95 par exemple) disposant d'une carte réseau est suffisant pour se connecter "sauvagement" sur un câble de réseau (en utilisant éventuellement une "prise-vampire").
Les sniffer peuvent également fonctionner en parallèle avec un cheval de troie. Netbus1.7, le cheval de Troie, en à même directement intégré un.

L'active x

Le Chaos Computer Club, une bande de Hackers de Hambourg ont montré le réel pouvoir d'ActiveX en février 1997.
En direct sur une chaîne télévisée, ils ont montré qu'avec un contrôle ActiveX, on pouvait transférer de l'argent d'un compte vers un autre sans avoir le numéro personnel d'identification du client (PIN) de protection.
Dès qu'il est téléchargé depuis un site Internet, le contrôle ActiveX recherche Quicken, le logiciel de finance couramment utilisé. Le contrôle ActiveX piège quicken en lui faisant transférer des fonds d'un compte bancaire à un autre lors de la prochaine connexion de l'utilisateur sur le service de la banque.
Cet incident a souligné quelque chose que Microsoft, le créateur d'ActiveX et le plus grand expert en sécurité informatique savait déjà depuis un certain temps: ses programmes ne sont pas surs. Tandis que les " applets Java " ne peuvent exécuter certaines tâches comme effacer un fichier sur le disque dur de l'utilisateur, le contrôle ActiveX est capable de faire virtuellement n'importe quoi sur l'ordinateur de l'utilisateur, par exemple installer un virus.
Microsoft a créé un système de sécurité, appelé authenticode, qui permet à l'éditeur de logiciel d'attacher au contrôle une signature digitale. Alors si un contrôle ActiveX s'attaque à l'ordinateur de l'utilisateur, l'éditeur peut faire l'objet de poursuites. Donc l'authenticode ne permet pas de protéger l'utilisateur mais permet de localiser le pirate. Mais il est très possible qu'un utilisateur lassé par les fenêtres d'avertissement d'authenticode accepte un contrôle ActiveX non signé. Dès qu'il est accepté par un utilisateur, le programme est libre de faire son travail. Le contrôle ActiveX du Chaos Computer Club, par exemple, n'est pas signé.
Microsoft travaille actuellement sur les capacités, bonnes et mauvaises, d'activeX. En février 1997, Microsoft a lancé une campagne d'information sur la sécurité. A propos de cet incident, Cornelius Willis le chef du groupe de production à Microsoft a déclaré "qu'il ne faut pas accepter de bonbons venant d'inconnu" et "qu'il faut espérer que l'on n'accepte plus d'exécutables non signés".
Mais les experts de la sécurité déclarent que la combinaison entre Internet et des applications sérieuses va conduire à un nombre croissant de risques.+

Créer une société bidon
Cette technique paraît fort invraisemblable, étant beaucoup trop flagrante et très vite repérée.

4.2. Comment limiter les risques de fraudes ?

Le risque 0 n'existe pas et ceci même dans la vie courante mais on peut diminuer considérablement ce risque en faisant attention sur plusieurs points :

Tout d'abord, Il faut se prémunir face aux pirates qui pourraient s'introduire sur votre ordinateur à l'aide d'un firewall et de programmes anti-virus et anti-pirates (cfr Chap. B)
Il ne reste plus que deux façons pour un pirate d'obtenir votre numéro, en le volant directement sur le réseau ou en se faisan passer pour une société. Et pour contrer ceci, il suffit de vérifier si le transfert se fait sous une voie de communication sécurisée par une clef commune partagée par vous et le serveur pour crypter et décrypter les messages échangés. Le protocole le plus répandu et le plus sécurisé est le SSL (Secure Socket Layer), développé par la société Netscape en collaboration avec Mastercard. Il présente l'avantage d'être intégré dans la plus part des navigateurs (dont Netscape Navigator et Internet Explorer). En plus du codage/décodage de ces données, SSL fournit un autre service utile : l'authentification. Au moyen d'un certificat électronique, SSL identifie les parties en présence lors d'une communication sécurisée.

<-PRECEDENT - MENU - SUIVANT->