Protéger vos données
? signifie simplement que nous ne l’avons pas testé.
La prévention, la meilleure protection
Nous avons eu un aperçu des différentes cyber-attaques. Pour ne pas être le dindon de cette cyber-farce, mais qui coûte très (très) cher, 3 actions sont aujourd’hui obligatoires de notre part, et en plus, cerise sur le cyber-gâteau, ces actions vont même nous simplifier la vie (ce qui est rare !).
- Disposer d’une bonne structure d’emails : séparer ce qui est très sensible (banques, …) du reste (shopping, …)
- Utiliser un gestionnaire de mots de passes : ne jamais utiliser le même mot de passe
- Sauvegarder ses données : précaution contre les crash et les ransomware
Mots de passe
Les (tristement) plus utilisés en 2018
123456789a encore de beaux jours devant lui
Source : We Live Security
| Rank | Password | Change from 2017 |
|---|---|---|
| 1 | 123456 | Unchanged |
| 2 | password | Unchanged |
| 3 | 123456789 | Up 3 |
| 4 | 12345678 | Down 1 |
| 5 | 12345 | Unchanged |
| 6 | 111111 | New |
| 7 | 1234567 | Up 1 |
| 8 | sunshine | New |
| 9 | qwerty | Down 5 |
| 10 | iloveyou | Unchanged |
Rassurez-vous : en France, on n’a pas de pétrole, mais on ne fait pas mieux.
Gestionnaire d’un mot de passe
Pourquoi retenir de nombreux de mots de passe quand on peut n’en retenir qu’un seul ?
Tout le monde connait la règle : “1 mot de passe = 1 service”. Mais comment faire en pratique si on n’est pas Sheldon Cooper ? La réponse est simple : utiliser un gestionnaire de mots de passe. Un tel logiciel contient, en quelque sorte :
- Une base de données chiffrée de vos logins/mots de passe (mais aussi carte identité, …)
- Un générateur de mots de passe aléatoires et costauds
Cette base de donnée est chiffrée par un mot de passe et c’est le seul que vous devez retenir, il devient alors possible d’en prendre un long et “incassable” ! Utiliser un générateur de mots de passe vous fait gagner du temps et de la sécurité, ce n’est donc pas du tout une contrainte que de s’en servir, au contraire !
Vous trouverez des propositions de gestionnaires de mots de passe dans notre guide
Choisir un bon mot de passe
Votre mot de passe doit être traité de la même manière qu’une brosse à dents : vous ne le partagez pas et vous le changez régulièrement!c
Un bon mot de passe doit :
- Contenir au moins 12 caractères
- Contenir des majuscules, Minucules, chiffres, symboles
- Ne rien contenir de vous (ne peut pas être deviné vous connaissant)
Voici quelques exemples d’Algorithmes :
- Première lettre de chaque mot d’une phrase
Le LJLL est situé à Paris dans le 5ème arondissement ! (
LLJLLesàPdl5èa!) - Formule mathématique :
sin^2(x)+cos^2(x)=1
Des sources pour vous aider :
Et une interview de Edward Snowden par John Oliver, de l’émission Last Week Tonight qui, en plus d’être amusante, et intéressante :
Emails
Les emails sont un petit peu notre porte d’entrée dans le monde numérique. Si notre boite mail se fait piratée, nous pouvons beaucoup perdre : accès à nos services banquaires, achats en ligne, cloud (photos, …), … Dès lors, disposer d’une bonne structure d’emails est primordiale.
Structure
| # | Utilisation | Caractéristiques |
|---|---|---|
| 1 | Sensible : Banques, Sécu | Jamais divulguée, pas devinable (pas de nom/prénom) |
| 2 | Professionnel | prénom.nom@bigcompanie.com |
| 3 | Famille | prénom.nom@truc.com |
| 4 | Shopping, Forum, … | Pas de nom/prénom |
| 5 | Poubelle | bogossdu75@truc.fr |
Cela implique 5 mots de passe différents à retenir… Mais vous pouvez utiliser le gestionnaire de mots de passe ou alors regrouper les emails non sensible (2-3-4) sur la même boite email (alias ou équivalent). N’oubliez pas de garder l’adresse “sensible” secrète : moins elle est diffusée, moins elle sera attaquée.
En bref, vous aurez 2 à 3 mots de passe à retenir : professionnelle, personnelle (Shopping + Poubelle y sont regroupés) et celle des données sensibles. Vous pouvez les stocker dans votre gestionnaire de mots de passe bien entendu.
Augmenter la Sécurité
- Choisir un bon mot de passe
- 2 Facteurs Authentification (SMS, QRCode, …)
- Vérifier votre question secrète
Fournisseurs
Google, Microsoft et les autres géants proposent des adresses emails gratuits avec un stockage quasi illimité. Nous vous déconseillons de les utiliser pour des raisons de protection de vos vies privées mais comprenons que vous le fassiez pour le caractère facile d’utilisation : contact, agenda, … D’autant que niveau cyber-sécurité, ils sont très bons. Il est en revanche et en général interdit de les utiliser pour un usage professionnel (espionage industriel, …) !
Suivez notre guide pour trouver une sélection de fournisseurs d’adresses emails sûrs et éthiques
Chiffrement
Disque Dur
Si votre ordinateur se fait voler, il ne faut pas que le voleur puisse avoir accès à vos données sensibles que vous auriez pu stocker sur le disque dur : identité (carte, passeport), feuilles de salaires, contrats banquaires, … La solution contre cela est le chiffrement (et non le cryptage).
La solution la plus radicale est de chiffrer tout votre disque dur, c’est très facile sous Mac OS, moins sous Debian, relativement facile sous Ubuntu.
Une solution “patche” est de ne chiffrer qu’un dossier, qui contiendra tous ces documents sensibles. Pour cela, nous vous conseillons VeraCrypt. Soyons honnête, c’est contraignant : l’accès au dossier ne se fait qu’une fois rentré le mot de passe maître… Mais il ne faut pas transiger avec la sécurité.
Emails
Les emails, au moins professionnels, devraient être chiffrés. Ce n’est pas le cas dans nos unités mais vous pouvez le faire quand même, en utilisant une clé PGP. Le principal inconvénient est que cela nécessite un peu de travail en amont.
Sauvegarde & Synchronisation
La meilleure protection contre les crash et les ransomware reste la prévention : sauvegardez vos données. Nous parlons ici de données irrécupérables et qui peuvent avoir une valeur (sentimentale) extrêmement forte comme des photos.
Bien entendu, pour vous protégez, vous devez aussi mettre à jour vos logiciels. Tout le temps !
Sauvegarde ≠ Synchronisation
La sauvegarde diffère de la synchronisation (sur un cloud). La synchronisation est en “temps réelle” tandis que la sauvegarde est en temps discret, c’est à dire effectuée de temps en temps puis stockée de manière sûr et déconnectée. La synchronisation est extrêmement pratique en cas, par exemple, de renouvellement d’ordinateur ou d’utilisation de plusieurs machines différentes (2 bureaux, …) : les données de l’ancien disque dur sont immédiatement synchronisés sur l’autre. La synchronisation “pure” ne suffit pas, elle doit être couplée avec une méthode de sauvegarde :
- Toute modification d’un côté sera répercutée sur l’autre, si votre ordinateur se fait voler et que toutes vos données sont effacées… elles pourraient l’être de l’autre côté également
- Si votre ordinateur est vérolé, il est fort probable que le virus soit aussi transmis sur votre serveur cloud (données rendues inutilisables)
- Certaines données ne seront probablement jamais synchronisables car trop lourdes (photos, vidéos, …)
Un serveur cloud proposant la synchronisation proposera probablement une sauvegarde, comme MyCore du CNRS qui propose des sauvegardes à J-1, J-6 et J-15. Cela dit, si vos données sont contaminées, au delà de J+15, c’est… foutu.
Synchronisation
La synchronisation reste la première méthode de sauvegarde et de récupération en cas par exemple de crash de disque dur. Pour des raisons de protection de votre vie privée, nous déconseillons évidemment les services comme Dropbox, Google Drive ou Amazon (les services Américains sont soumis au Patriot Act). En tant que chercheuse, enseignante-chercheuse ou enseignante dans le supérieur (idem au masculin), vous avez interdiction d’utiliser ces services pour synchroniser vos données proffessionnelles !
Cependant, pour vos données personnelles, nous sommes conscients, encore une fois, que les services de ces géants sont à la fois extrêmement pratiques, fiables et peu onéreux. Payer pour un tel service, pas tout le monde peu le faire, c’est à vous de décider.
Nous proposons une liste de services de cloud “éthiques” de synchronisation pour les données personnelles et professionnelles. Nous vous conseillons de séparer vie professionnelle et vie personnelle en utilisant deux cloud différents.
Notez également que synchroniser toutes vos photos risque de vous coûter cher, financièrement parlant !
Sauvegarde
Cette section s’adresse surtout pour vos volumes de données trop conséquents pour être synchroniser / sauvegarder sur un serveur cloud : photos, vidéos, …
Nous ne connaissons pas le meilleur moyen de sauvegarder ses données. Nous ne connaissons pas de solution miracle, nous en proposons ici une faiblement contraignante. C’est une solution qui permet de récupérer vos données à J-100 voir à Année-1. Ce n’est pas forcément ce qu’il y a de mieux, mais mieux vaut perdre un an de photos que toute sa vie de photos, non ?
«««< HEAD L’idée principale est de sauvegarder les données à un instant T, et de déconnecter complètement le support :
=======
7c9296a35a3f7d1beb95ab09be08dea0b9b6df9f
- Multipler les supports : acheter N (disons 3) disques dur, de grande capacité, et de marques différentes. Choisir une marque/modèle différent permet d’espérer éviter des crash en série
- Sauvegarder régulièrement : tous les X mois, débrancher votre ordinateur d’internet, copiez les données sur un disque dur, écrivez un post-it dessus avec la date
- Déplacer les sauvegardes : Déposez ensuite ce disque dur dans un endroit différent de chez vous (cambriolage, incendie,…), relativement sûr : coffre en banque, chez vos parents/vos enfants (on s’y retrouve souvent à Noel par exemple), …
Vous aurez compris qu’une fois que les N disques durs sont dans le “lieu sûr”, vous n’en avez plus chez vous pour effectuer la prochaine sauvegarde. Il faut juste faire tourner les HDD : ramenez chez vous le HDD le “plus ancien”.
Deux conseils sur l’achat des disques durs :
- Achetez les nus : la connectique d’un disque dur externe peut tomber en panne et rendre le disque dur complètement inutilisable
- Il existe des boitiers peu chers (env. 30€) permettant de brancher un disque dur “nu” sur un ordinateur via un port USB par exemple (voir par exemple ici). Si ce boitier tombe en panne, tant pis on en achète un autre, mais le disque dur reste parfaitement opérationnel
Objets connectés
IoT: Internet of Things or Internet of Threads?
Les objets connectés (télévisions, montres, bracelets, cravates (sisi !), lave-linges, pèse-personnes, …) sont connus pour être bien souvent à la fois des passeoires de sécurité et des aspirateurs à données personnelles. Un exemple frappant est le [virus Mirai](https://fr.wikipedia.org/wiki/Mirai_(logiciel_malveillant%29), qui permet d’effectuer des attaques DDoS et qui infecte un objet nouvellement connecté en quelques minutes seulement (sans rien faire !)…
L’écrasante majorité des objets connectés relèvent de gadgets parfaitement inutiles et dangereux. Seriez vous d’accord, en temps normal, d’envoyer votre poids, tous les jours, à un parfait étranger ? Pensez-vous qu’il soit utile de pouvoir faire démarrer son lave-linge depuis son travail ? Une cravate à LED dont on peut changer l’affichage par smartphone, va vous faire rendre plus heureux (remarque : probablement oui la première fois :-)) ?
Si oui, alors pas de problème, c’est votre choix. Mais faite attention : si vous pouvez accéder à un objet de n’importe où, alors n’importe qui peut le faire !
Pour finir, prenons l’exemple des caméras connectées, dont l’utilité est réelle. Mais si elle est mal réglée, alors n’importe qui peut voir chez vous. Pour mettre en évidence ces problèmes, un anonyme a créée le site Insecam, qui répertorie toutes les caméras connectées dont les paramètres sont ceux d’usines ou alors trop mal réglées. C’est assez affolant.