Protéger vos données

Une note ? signifie simplement que nous ne l’avons pas testé.

La prévention, la meilleure protection

Nous avons eu un aperçu des différentes cyber-attaques. Pour ne pas être le dindon de cette cyber-farce, mais qui coûte très (très) cher, 3 actions sont aujourd’hui obligatoires de notre part, et en plus, cerise sur le cyber-gâteau, ces actions vont même nous simplifier la vie (ce qui est rare !).

  1. Disposer d’une bonne structure d’emails : séparer ce qui est très sensible (banques, …) du reste (shopping, …)
  2. Utiliser un gestionnaire de mots de passes : ne jamais utiliser le même mot de passe
  3. Sauvegarder ses données : précaution contre les crash et les ransomware

Mots de passe

Les (tristement) plus utilisés en 2018

123456789 a encore de beaux jours devant lui

Source : We Live Security

Rank Password Change from 2017
1 123456 Unchanged
2 password Unchanged
3 123456789 Up 3
4 12345678 Down 1
5 12345 Unchanged
6 111111 New
7 1234567 Up 1
8 sunshine New
9 qwerty Down 5
10 iloveyou Unchanged

Rassurez-vous : en France, on n’a pas de pétrole, mais on ne fait pas mieux.

Gestionnaire d’un mot de passe

Pourquoi retenir de nombreux de mots de passe quand on peut n’en retenir qu’un seul ?

Tout le monde connait la règle : “1 mot de passe = 1 service”. Mais comment faire en pratique si on n’est pas Sheldon Cooper ? La réponse est simple : utiliser un gestionnaire de mots de passe. Un tel logiciel contient, en quelque sorte :

  • Une base de données chiffrée de vos logins/mots de passe (mais aussi carte identité, …)
  • Un générateur de mots de passe aléatoires et costauds

Cette base de donnée est chiffrée par un mot de passe et c’est le seul que vous devez retenir, il devient alors possible d’en prendre un long et “incassable” ! Utiliser un générateur de mots de passe vous fait gagner du temps et de la sécurité, ce n’est donc pas du tout une contrainte que de s’en servir, au contraire !

Vous trouverez des propositions de gestionnaires de mots de passe dans notre guide

Afin d’enregistrer tous vos mots de passe sur votre générateur et pour ne pas vous décourager devant la charge colossale de la tâche, nous vous conseillons de le faire au fur et à mesure : à chaque connexion à un site web non encore enregistré, vous changer le mot de passe (à l’aide du générateur) et enregistrer le tout dans votre gestionnaire.
N’utilisez pas les gestionnaires de mots de passe natif de vos navigateurs internet, en général, les mots de passe sont stockés en clair (non chiffrés) sur votre disque dur…

Choisir un bon mot de passe

Votre mot de passe doit être traité de la même manière qu’une brosse à dents : vous ne le partagez pas et vous le changez régulièrement!c

Un bon mot de passe doit :

  • Contenir au moins 12 caractères
  • Contenir des majuscules, Minucules, chiffres, symboles
  • Ne rien contenir de vous (ne peut pas être deviné vous connaissant)

Voici quelques exemples d’Algorithmes :

  • Première lettre de chaque mot d’une phrase

    Le LJLL est situé à Paris dans le 5ème arondissement ! (LLJLLesàPdl5èa!)

  • Formule mathématique : sin^2(x)+cos^2(x)=1

Des sources pour vous aider :

Et une interview de Edward Snowden par John Oliver, de l’émission Last Week Tonight qui, en plus d’être amusante, et intéressante :

Emails

Les emails sont un petit peu notre porte d’entrée dans le monde numérique. Si notre boite mail se fait piratée, nous pouvons beaucoup perdre : accès à nos services banquaires, achats en ligne, cloud (photos, …), … Dès lors, disposer d’une bonne structure d’emails est primordiale.

Structure

# Utilisation Caractéristiques
1 Sensible : Banques, Sécu Jamais divulguée, pas devinable (pas de nom/prénom)
2 Professionnel prénom.nom@bigcompanie.com
3 Famille prénom.nom@truc.com
4 Shopping, Forum, … Pas de nom/prénom
5 Poubelle bogossdu75@truc.fr

Cela implique 5 mots de passe différents à retenir… Mais vous pouvez utiliser le gestionnaire de mots de passe ou alors regrouper les emails non sensible (2-3-4) sur la même boite email (alias ou équivalent). N’oubliez pas de garder l’adresse “sensible” secrète : moins elle est diffusée, moins elle sera attaquée.

En bref, vous aurez 2 à 3 mots de passe à retenir : professionnelle, personnelle (Shopping + Poubelle y sont regroupés) et celle des données sensibles. Vous pouvez les stocker dans votre gestionnaire de mots de passe bien entendu.

Augmenter la Sécurité

  • Choisir un bon mot de passe
  • 2 Facteurs Authentification (SMS, QRCode, …)
  • Vérifier votre question secrète

Fournisseurs

Évitez (ou quittez) Yahoo! qui s’est fait piraté 3 milliards de comptes !

Google, Microsoft et les autres géants proposent des adresses emails gratuits avec un stockage quasi illimité. Nous vous déconseillons de les utiliser pour des raisons de protection de vos vies privées mais comprenons que vous le fassiez pour le caractère facile d’utilisation : contact, agenda, … D’autant que niveau cyber-sécurité, ils sont très bons. Il est en revanche et en général interdit de les utiliser pour un usage professionnel (espionage industriel, …) !

Suivez notre guide pour trouver une sélection de fournisseurs d’adresses emails sûrs et éthiques

Chiffrement

Disque Dur

Le mot de passe de votre compte permettant d’ouvrir une session dans votre système d’exploitation n’est pas du chiffrement et ne vous protège en rien !

Si votre ordinateur se fait voler, il ne faut pas que le voleur puisse avoir accès à vos données sensibles que vous auriez pu stocker sur le disque dur : identité (carte, passeport), feuilles de salaires, contrats banquaires, … La solution contre cela est le chiffrement ( et non le cryptage).

La solution la plus radicale est de chiffrer tout votre disque dur, c’est très facile sous Mac OS, moins sous Debian, relativement facile sous Ubuntu.

Une solution “patche” est de ne chiffrer qu’un dossier, qui contiendra tous ces documents sensibles. Pour cela, nous vous conseillons VeraCrypt. Soyons honnête, c’est contraignant : l’accès au dossier ne se fait qu’une fois rentré le mot de passe maître… Mais il ne faut pas transiger avec la sécurité.

Emails

Les emails, au moins professionnels, devraient être chiffrés. Ce n’est pas le cas dans nos unités mais vous pouvez le faire quand même, en utilisant une clé PGP. Le principal inconvénient est que cela nécessite un peu de travail en amont.

Sauvegarde & Synchronisation

La meilleure protection contre les crash et les ransomware reste la prévention : sauvegardez vos données. Nous parlons ici de données irrécupérables et qui peuvent avoir une valeur (sentimentale) extrêmement forte comme des photos.

Bien entendu, pour vous protégez, vous devez aussi mettre à jour vos logiciels. Tout le temps !

Sauvegarde ≠ Synchronisation

La sauvegarde diffère de la synchronisation (sur un cloud). La synchronisation est en “temps réelle” tandis que la sauvegarde est en temps discret, c’est à dire effectuée de temps en temps puis stockée de manière sûr et déconnectée. La synchronisation est extrêmement pratique en cas, par exemple, de renouvellement d’ordinateur ou d’utilisation de plusieurs machines différentes (2 bureaux, …) : les données de l’ancien disque dur sont immédiatement synchronisés sur l’autre. La synchronisation “pure” ne suffit pas, elle doit être couplée avec une méthode de sauvegarde :

  • Toute modification d’un côté sera répercutée sur l’autre, si votre ordinateur se fait voler et que toutes vos données sont effacées… elles pourraient l’être de l’autre côté également
  • Si votre ordinateur est vérolé, il est fort probable que le virus soit aussi transmis sur votre serveur cloud (données rendues inutilisables)
  • Certaines données ne seront probablement jamais synchronisables car trop lourdes (photos, vidéos, …)

Un serveur cloud proposant la synchronisation proposera probablement une sauvegarde, comme MyCore du CNRS qui propose des sauvegardes à J-1, J-6 et J-15. Cela dit, si vos données sont contaminées, au delà de J+15, c’est… foutu.

Synchronisation

La synchronisation reste la première méthode de sauvegarde et de récupération en cas par exemple de crash de disque dur. Pour des raisons de protection de votre vie privée, nous déconseillons évidemment les services comme Dropbox, Google Drive ou Amazon (les services Américains sont soumis au Patriot Act). En tant que chercheuse, enseignante-chercheuse ou enseignante dans le supérieur (idem au masculin), vous avez interdiction d’utiliser ces services pour synchroniser vos données proffessionnelles !

Cependant, pour vos données personnelles, nous sommes conscients, encore une fois, que les services de ces géants sont à la fois extrêmement pratiques, fiables et peu onéreux. Payer pour un tel service, pas tout le monde peu le faire, c’est à vous de décider.

Nous proposons une liste de services de cloud “éthiques” de synchronisation pour les données personnelles et professionnelles. Nous vous conseillons de séparer vie professionnelle et vie personnelle en utilisant deux cloud différents.

Notez également que synchroniser toutes vos photos risque de vous coûter cher, financièrement parlant !

Sauvegarde

Cette section s’adresse surtout pour vos volumes de données trop conséquents pour être synchroniser / sauvegarder sur un serveur cloud : photos, vidéos, …

Nous ne connaissons pas le meilleur moyen de sauvegarder ses données. Nous ne connaissons pas de solution miracle, nous en proposons ici une faiblement contraignante. C’est une solution qui permet de récupérer vos données à J-100 voir à Année-1. Ce n’est pas forcément ce qu’il y a de mieux, mais mieux vaut perdre un an de photos que toute sa vie de photos, non ?

«««< HEAD L’idée principale est de sauvegarder les données à un instant T, et de déconnecter complètement le support :

=======

7c9296a35a3f7d1beb95ab09be08dea0b9b6df9f

  • Multipler les supports : acheter N (disons 3) disques dur, de grande capacité, et de marques différentes. Choisir une marque/modèle différent permet d’espérer éviter des crash en série
  • Sauvegarder régulièrement : tous les X mois, débrancher votre ordinateur d’internet, copiez les données sur un disque dur, écrivez un post-it dessus avec la date
  • Déplacer les sauvegardes : Déposez ensuite ce disque dur dans un endroit différent de chez vous (cambriolage, incendie,…), relativement sûr : coffre en banque, chez vos parents/vos enfants (on s’y retrouve souvent à Noel par exemple), …

Vous aurez compris qu’une fois que les N disques durs sont dans le “lieu sûr”, vous n’en avez plus chez vous pour effectuer la prochaine sauvegarde. Il faut juste faire tourner les HDD : ramenez chez vous le HDD le “plus ancien”.

Deux conseils sur l’achat des disques durs :

  • Achetez les nus : la connectique d’un disque dur externe peut tomber en panne et rendre le disque dur complètement inutilisable
  • Il existe des boitiers peu chers (env. 30€) permettant de brancher un disque dur “nu” sur un ordinateur via un port USB par exemple (voir par exemple ici). Si ce boitier tombe en panne, tant pis on en achète un autre, mais le disque dur reste parfaitement opérationnel

Objets connectés

IoT: Internet of Things or Internet of Threads?

Les objets connectés (télévisions, montres, bracelets, cravates ( sisi !), lave-linges, pèse-personnes, …) sont connus pour être bien souvent à la fois des passeoires de sécurité et des aspirateurs à données personnelles. Un exemple frappant est le [virus Mirai](https://fr.wikipedia.org/wiki/Mirai_(logiciel_malveillant%29), qui permet d’effectuer des attaques DDoS et qui infecte un objet nouvellement connecté en quelques minutes seulement (sans rien faire !)…

L’écrasante majorité des objets connectés relèvent de gadgets parfaitement inutiles et dangereux. Seriez vous d’accord, en temps normal, d’envoyer votre poids, tous les jours, à un parfait étranger ? Pensez-vous qu’il soit utile de pouvoir faire démarrer son lave-linge depuis son travail ? Une cravate à LED dont on peut changer l’affichage par smartphone, va vous faire rendre plus heureux (remarque : probablement oui la première fois :-)) ?

Si oui, alors pas de problème, c’est votre choix. Mais faite attention : si vous pouvez accéder à un objet de n’importe où, alors n’importe qui peut le faire !

Pour finir, prenons l’exemple des caméras connectées, dont l’utilité est réelle. Mais si elle est mal réglée, alors n’importe qui peut voir chez vous. Pour mettre en évidence ces problèmes, un anonyme a créée le site Insecam, qui répertorie toutes les caméras connectées dont les paramètres sont ceux d’usines ou alors trop mal réglées. C’est assez affolant.

Précédent
Suivant