comment survivre au far-west du web. 16 octobre 2008 club d'informatique de brossard 2...

Comment survivre au Comment survivre au Far-West du WEBFar-West du WEB

16 octobre 2008Club d'Informatique de Brossard2

IntroductionIntroduction

Problèmes de sécurité relatifs au WEB

Quels risques représentent-ils?Quelles précautions prendre?


Le Far-West?Le Far-West?

Le WEB est plein de bandits qui veulent:

Voler votre argentTenir votre ordinateur en otageSquatter leur repaire chez vousPasser sur votre dos leurs méfaitsVous forcer à entrer dans leur

bande


Que sont leurs armes?Que sont leurs armes?

Des virusDes mouchards (spyware)Des courriels piégésDes pages WEB piégés


Les virus et mouchardsLes virus et mouchards Virus: programmes qui s’installent

dans votre ordi à votre insu Mouchards: add-on (modules

complémentaires) qui s’accrochent à votre fureteur à votre insu

Présents dans:– Programmes explicitement télé-chargés– Add-on ou Codec aux fureteurs– Des économiseurs d’écran (Screen Savers)– Partage des fichiers « pair à pair »

(Napster, LimeWire) – Documents attachés aux courriers piégés


Téléchargements et Téléchargements et add-onsadd-ons Semblent honnête et de bonne foi Ont leur propre programme

d’installation ou ne sont pas authentifiés (éditeur)->

Très répandu dans les add-on et codec

Peuvent se faire passer pour mise à jour d’unadd-on légitime (par exemple nouvelle version de Adobe Reader) en vous incitant à cliquer un lien de la page.


Téléchargements et Téléchargements et add-ons: risquesadd-ons: risques Virus:

– Endommagent les fichiers de l’ordi, le ralentissent ou sont des nuisances (pop-up intempestifs, etc.)

– Servent de robots lors d’attaques coordonnées vers une site cible (i.e Hotmail), ou d’intermédiaire pour cacher les traces de leurs crimes ou pour vous impliquer dans leur méfaits

Mouchards (spyware):– Peuvent connaître vos addresses de courriel, qui

peuvent envoyer des pourriels en votre nom.– Rapportent à WEBMarketters les sites que vous

fréquentez– Peuvent intercepter informations sensibles

comme mots de passe


Téléchargements et Téléchargements et add-onsadd-ons: : précautionsprécautions

Télé-charger seulement à partir de sites dignes de confiance (ex. FileHippo)

Vérifier si le programme est authentifié (éditeur connu)

S’assurer que l’anti-virus de l’ordi est à date

Si nouvelle version d’unadd-on connu (Adobe Reader)aller directement sur le site de ce dernier sans passer par le lien suggéré.

Si un add-on semble trop bon pour être vrai, c’est probablement qu’il l’est.

Si un add-on est spécialement requis pour ce site, alors le site est suspect.


Échanges de fichiers pair à pairÉchanges de fichiers pair à pair: : précautionsprécautions

S’assurer que notre anti-virus est actif et à date

Ne jamais supposer que l’interlocuteur est fiable– Pirates sont des pairs qui

transmettent des virus caché dans des fichiers échangés (jeu, musique)

Ne jamais double-cliquer sur un fichier échangé dans en examiner d’abord l’extension


Courriels piégésCourriels piégés

Le piège d’un courriel peut se trouver:

Dans son contenuDans une de ses pièces attachéeDans son originaire


Courriels au contenu piégé: « Courriels au contenu piégé: « on vous on vous vole!vole! » » Courriel provenant d’une banque ou d’une

agence gouvernementale qui semble authentique (logos, allure, etc.): hameçonnage

Vous informe d’une situation catastrophique à laquelle vous devez immédiatement remédier

Ne contiennent jamais d’information personnelle comme votre nom, seulement votre adresse de courriel

Exigent de l’information personnelles ou bancaires à entrer sur une page WEB ou à donner à un numéro de téléphone

Ne sont pas habituellement sur ces sites sécurités (HTPPS:)


Courriels au contenu piégé: Courriels au contenu piégé: exemple de « exemple de « on vous on vous volevole » »


Courriels au contenu piégé: « Courriels au contenu piégé: « on on partage!partage! »»

Originant d’une banque ou d’un particulier à l’étranger, il demande d’utiliser votre compte personnel pour y transférer de l’argent provenant d’un héritage ou compte dormant que seul un étranger peut sortir du pays

En réalité, l’argent appartient à quelqu’un dont le compte est vidé au moyen du numéro obtenu grâce à un ordi infecté par un virus: vous devenez complice et probablement auteur unique du vol.


Courriels au contenu piégé: Courriels au contenu piégé: exemple de « exemple de « on partageon partage » »


Courriels au contenu piégé: « Courriels au contenu piégé: « courriel courriel égaréégaré » »

Semble être une lettre qui vous est destinée par erreur

Proviennent presque toujours de l’étranger

Émise par un fils/fille/neveu de sénateur/chef d’état/président/ministre … demandant un petit montant pour récupérer une fortune qui sera partagée avec vous

Peut contenir document attaché ou fourni un numéro de téléphone à appeler


Courriels au contenu piégé: Courriels au contenu piégé: « « heureux gagnantheureux gagnant » : un » : un exempleexemple


Courriels au contenu piégé: Courriels au contenu piégé: risquesrisquesL’information qui vous fournissez

par le WEB servira à – vider votre compte de banque– voler votre identité– vous rendre responsable d’un crime

Numéro de téléphone « spécial »: grand frais rajoutés à votre facture téléphonique


Courriels au contenu piégéCourriels au contenu piégé : : précautionsprécautions

Aucune banque ou agence gouvernementale ne demande des informations de quelconque nature par Internet, ou même par téléphone.

En cas de doute, appeler la banque ou l’agence gouvernementale en utilisant le numéro de téléphone public donné dans le bottin ou sur leur site WEB authentifié.

Règle générale: ne donner absolument aucune information par téléphone, par ordi ou à la porte si l’interlocuteur n’est pas authentifié.


Courriels avec attache piégéeCourriels avec attache piégée Courriel habituellement de provenance

inconnue ou non authentifiée et qui contient un fichier attaché contenant un virus qui s’installe lorsque l’on l’ouvre.


Courriels avec attache piégée: fichiers à Courriels avec attache piégée: fichiers à risquerisque Fichiers à risque sont ceux ayant de la

programmation:– Les fichiers exécutables dont la dernière extension

du nom est .exe. .dll, .msi , .scr , .com , .bat : – Les documents MS-Office (.doc, .dot, .xls) à cause

de leur macros (la sécurité de WORD et EXCEL peut désactiver automatiquement les macros).

Les autres sont inoffensifs: .ppt, .jpg, .mpg, .gif, .png, .swf.

Attention: certains fichiers exécutables se déguisent en fichiers inoffensifs: unexemple.jpg.exe

Un bon anti-virus va intercepter les programmes dangereux à tout coup.


Courriels avec origine piégéeCourriels avec origine piégée Ce que l’on nomme habituellement Pourriels Automates tentent l’envoi de courriels en essayant

toutes les combinaisons de lettres/chiffres dans l’adresse de destination pour un serveur de courriel donné (Hotmail, Gmail, etc).

Lorsque l’automate ne reçoit pas « destinataire inconnu » de la part du serveur de courriel, il sait qu’il a une cible possible.

S’il reçoit une réponse d’une cible possible, celle-ci devient une cible certaine: plus payante.

Certains serveurs de courriel peuvent retourner un accusé d’ouverture à l’originaire (ouverture explicite par destinataire)

Listes de cibles possibles recueilles et vendues à des WEBmarketers, qui s’acharnent alors à vous envoyer d’autres pourriels ciblés.

Votre adresse courriel peut aussi être vendue par un site qui vous demande de vous « enregistrer ».


Courriels avec origine piégée: Courriels avec origine piégée:

précautionsprécautions Ne jamais répondre à un pourriel, ni même l’ouvrir Si un pourriel n’a pas été reconnu par votre serveur de

courriel, l’en enviser en cliquant « indésirable », « pourriels », « spam » afin qu’il puisse l’arrêter à la source.

Si vous devez absolument vous enregistrer sur un site:– Vérifier si le site en question possède des normes de

confidentialité (mais sans garantie de respect)– Utiliser un compte de courriel spécialement assigné

pour les sites douteux– Fournir le minimum absolu d’information: s’il en

exige trop, c’est suspect.– Flusher le compte courriel spécial de temps en

temps et en créer un nouveau. Il en est de même pour les « Delivery Status Notification

(Failure) »


Pages WEB piégées:Pages WEB piégées: Contiennent de la programmation en

JavaScript ou Jscript ou VBScript Nuisance malicieuse:

– Empêchent page WEB de fermer ou changer, ou de retourner à la précédente

– Créent des dizaines d’autres pages dynamiquement– Peuvent faire des attaques vers d’autres sites

(AJAX)– Ralentissent intentionnellement l’ordi

Voleurs d’information:– Peuvent lire l’historique et les cookies du fureteur

provenant d’autres sites et les retourner à l’originaire de la page WEB


Pages WEB piégées: précautionsPages WEB piégées: précautions Un script ne peut s’exécuter que si sa page WEB

est active: vérifier si fureteur consomme beaucoup de CPU (voir procédure en bas, avec onglet « Processus », et cliquer entête de colonne « Processeur »)

Mettre le fureteur en sécurité maximale pour inhiber cookies et scripts, ce qui dégradera l’aisance d’utilisation du fureteur.

Activer un « popup stopper » dans le fureteur Si un script malveillant est détecté et que la page

WEB ne peut être changée, avorter le programme du fureteur:– presser ensemble les clés ctrl/alt/suppr, – sélectionner onglet « Applications »– sélectionner le fureteur dans la liste des applications, – et cliquer « Terminer le processus »


Précautions additionnelles sur le WEB Précautions additionnelles sur le WEB (1)(1) Les WEBdav (Web Drive)

– En théorie, accès personnel, mais on ne sait jamais…

– Toute information sensible (comptes, mots de passe, etc.) peut être insérée dans un fichier ZIP avec mot de passe à l’ouverture

Partage d’information:– Quelque soit l’information (photos, comptes)– Quel que soit le médium (MySpaces, Torrent,

etc.)– Lorsque vous mettez quelque chose sur le WEB,

Vous en perdez le contrôle: l’information peut copiée et être utilisée à d’autres fins

Vous ne pourrez jamais récupérer toutes les copies de l’information présentes sur le WEB


Précautions additionnelles sur le WEB Précautions additionnelles sur le WEB (2)(2) Ne pas faire d’achat en ligne sur un site

WEB dont les transactions ne sont pas sécurisées, i.e. si le navigateur n’affiche pas une petit cadenas fermé (HTTPS)

Vider la mémoire cache de votre ordinateur après avoir fait des transactions sécurisées

Ref: La Presse, 12 octobre 2008


Précautions hors WEB (1)Précautions hors WEB (1) Les passerelles (routeurs) WIFI

– Si l’accès à la passerelle est non sécurisé (accès public) ou non configuré après son l’achat, vos voisins peuvent utiliser votre passerelle, et faire de gros télé-chargements à vos frais (Vidéotron charge l’excédent de 20GO/mois) et ralentir votre accès au WEB

– Si la passerelle est effectivement partagée, les connexions sont imperméables les unes des autres.

– Si la passerelle est non encryptée, un bandit avec appareil spécial mais facilement accessible peut voir dans son auto stationnée sur la rue devant chez vous le trafic échangé entre votre ordi et la passerelle et ainsi voler des informations sensibles non encryptées.

– Les fournisseurs de service Internet (Bell, Videotron) configurent adéquatement les passerelles qu’ils fournissent et installent eux-mêmes.


Précautions hors WEB (2)Précautions hors WEB (2) Dans Windows, protéger les fichiers sensibles contre les

voleurs et les gens trop curieux ou malveillants:– Définir pour chacun des usagers de l’ordi un mot de passe qu’il

devra entrer pour démarrer une nouvelle session– Pas d’usager de type Administrateur sans mot de passe!– Définir comme type d’usager Limité et non Administrateur les

usagers à qui l’on veut empêcher de faire des installations de logiciels et d’avoir accès à tous les fichiers dans l’ordi

– Pour empêcher le vol d’informations sensibles lors du vol de l’ordi, encrypter avec mot de passe tous les fichiers sensibles:

les regrouper dans un même répertoire « zipper » le répertoire (par exemple WinZip) en utilisant un mot de

passe ou bien utiliser un encrypteur (par exemple EncryptOnClick

http://www.2brightsparks.com/freeware/) qui forcera la demande d’un mot de passe pour avoir accès aux fichiers du répertoire

– Périodiquement, faire des copies de sauvegarde (backup) de ces fichiers et les écrire sur CD/DVD (à mettre en lieu sûr) ou sur disque WEB (WebDav)


ConclusionsConclusions

Installer des logiciels anti-virus et anti-mouchards sur votre ordi

Sur le WEB, – Pratiquer la navigation défensive– Être très avare quant à l’information fournie– Éviter les télé-chargements de sites inconnus,

et tenir compte des mises en garde de votre anti-virus

– Appliquer une bonne dose de scepticisme lors de la lecture de courriels de provenance inconnue

– Ne pas oublier qu’il y a plein de gens qui veulent vos biens