Une faille de sécurité baptisée heartbleed a touché un site sur deux.
©Flickr / Herkie
Self-défense
Faille béante de la sécurité sur Internet : quelques règles de bon sens pour protéger ses données personnelles
MIS A JOUR - Une faille de sécurité baptisée heartbleed et rendant accessible les codes et les mots de passe figurant dans les ordinateurs a touché un site sur deux. Un signe inquiétant de l'accessibilité de nos données personnelles qui échappent de plus en plus à notre contrôle.
Comment savoir si les sites que vous utilisez sont vulnérables ?
Pour le moment, on ne sait pas quels sites ont été touchés. En revanche, on sait lesquels sont vulnérables. Car seule une version du logiciel assurant la sécurités des sites est défaillante. Ainsi, le réseau professionnel LinkedIn n'est pas vulnérable alors que Facebook et gmail le sont. Pour savoir si les sites que vous utilisez sont vulnérable, il vous suffit d'entrez leurs URL dans un vérificateur comme Heartbleed checker.
- Quelques conseils pour protéger au mieux ses données personnelles
- Ne jamais utiliser le même couple identifiant/mot de passe pour plusieurs sites. Car si on vous dérobe une combinaison, c'est l'ensemble de vos données qui seront accessibles et potentiellement celles de votre employeur.
- Un mot de passe n'a pas besoin d'être une combinaison compliquée de chiffres et de lettres, contrairement aux idées reçues.
- Un bon mot de passe est une phrase, assez longue. Par exemple, une rime de Rimbaud de 200 caractères. En conclusion, pour trouver de bon mots de passe, mieux vaut apprendre la poésie.
- Il est également possible d'avoir recours à un système de connexion en deux étapes comme le propose gmail. En plus de votre passe, vous devez pour vous connecter utiliser un code qui vous est envoyé sur votre mobile.
- Chiffrer ses données personnelles, n'est pas l'idée la plus judicieuse. Car il sera facile pour des spécialistes du chiffrement de décrypter des données ayant été chiffrer par un novice.
Les conseils ci-dessus ont été élaborés avec la participation de Fabrice Epelboin.
Atlantico : Une faille dans le logiciel d'encodage OpenSSL - utilisé par de très nombreux sites web pour protéger mots de passe et données personnelles - a été détectée et représenterait une porte ouverte à des attaques malveillantes. Que peut faire un internaute lambda pour protéger des données qu'il confierait à un site dont la sécurité serait défaillante ?
Jean-Paul Pinte : Avec le Cloud Computing, le vol de données est en phase de devenir l’une des nouvelles formes de criminalité numérique au même titre que l’usurpation d’identité. En effet, les solutions de stockage de données (Adrive, Amazon cloud drive, Skydrive, Google Drive, Dropbox, iCloud, Box, …) ne manquent pas pour qui souhaite « protéger » ses données sur la toile, faute de place sur son ordinateur ou tout simplement dans un souci de mieux protéger encore des données déjà sauvegardées sur un disque externe à la maison.
Il faut savoir qu’une fois vos données confiées au site distant, les possibilités pour les sécuriser à 100 % restent faibles et qu’il ne faut pas sous-estimer les risques d'une dissémination anarchique des données à travers le monde.
Néanmoins, voici ici quelques conseils pour éviter quelques désagréments :
- Sachez où sont stockées et traitées vos données (En France ou à l’étranger) car les législations diffèrent. Le droit européen considère qu'un hébergeur ne peut pas dévoiler à un tiers les données que ses clients lui confient.
- Vérifiez la qualité du prestataire et notamment la série de normes internationales ISO 27000 certifiant que le fournisseur a mis en place des mesures de sécurité
- S’assurer que le traitement n’est pas sous-traité à plusieurs niveaux
- Optez pour une structure d’hébergement en France ou en Europe limitant les risques potentiels de perte d’informations confidentielles.
- Pensez à changer régulièrement vos mots de passe et à contrôler les contenus déposés
Quels sont les autres risques principaux qui peuvent entraîner aujourd'hui le vol de données personnelles sur le web ? Quelles sont les nouvelles techniques ? Comment un utilisateur d'Internet peut-il s'en prémunir ?
La mode est de ce côté à la remise en scène de ces données sur la toile pour nuire à la personne en question et donc à sa réputation. Il faut aussi penser au chantage que pourraient certaines personnes mal intentionnées en tombant sur des informations confidentielles. Cela pourrait même mener dans certains cas à du «cyber-rackettage».Une fois les identifiants usurpés tout devient alors facile pour ces cyberdélinquants en terme de réutilisation des données à des fins frauduleuses comme la revente de données et bien d’autres modes opératoires dépassant notre imagination.
Je conseille donc à tous de devenir des veilleurs en herbe dès qu’ils stockeront de l’information nuagique. Cela commence par une bonne connaissance des outils de base permettant de vérifier que vous-même ou des documents vous appartenant ne sont pas sortis du Cloud.
La fonction filetype :pdf ou Jpeg ou Doc par exemple dans une requête Google située juste après votre critère de recherche peut constituer un bon début pour détecter la fuite de données par exemple.
Les sites web ont-ils réellement les moyens d'assurer la sécurité des données qui leur sont confiées, alors que ces dernières sont de plus en plus nombreuses ? Une sécurité quasi parfaite est-elle vraiment possible ?
Même si les sites de type Cloud se donnent de plus en plus la peine de protéger les données qu’elles détiennent, il est aujourd’hui impensable d’imaginer une seconde une sécurité totale des données confiées à ces sites de Cloud et encore moins de croire qu’avec le Big Data tout ceci pourrait s’arranger.
Le passage en Cloud doit préserver par exemple la capacité de l’utilisateur à auditer, consulter et restituer toutes les opérations réalisées (ou du moins les données initiales et celles résultant du traitement) dans des conditions indépendantes du prestataire de Cloud Computing ou de ses infrastructures, applications, outils, procédures (neutralisation des contraintes exogènes). Le client peut aussi exiger que les données restent localisées sur des serveurs exclusivement situés dans l’UE
La CNIL donne à ce titre un certain nombre de recommandations intéressantes aux entreprises dont les particuliers peuvent s’inspirer. On y évoque notamment ce qu’un bon prestataire en Cloud Computing serait tenu de faire sachant que les cyberdélinquants cherchent toujours à avoir le pas d’avance.
Sur le terrain, les derniers exemples portés à notre connaissance par l’actualité nous invitent à croire que les sites en question sont encore trop poreux face à de possibles cyberattaques de données.
La généralisation du stockage d'information sur des supports dématérialisés, type "cloud" ne marque-t-elle pas une avancée irréversible vers une situation où la sécurité des données échappe au seul "bon sens" des internautes ?
Lorsque l’on stocke par exemple des données à titre personnel c’est souvent dans des situations d’urgence et peu de personnes connaissent aujourd’hui de manière précise le lieu, les conditions et le fonctionnement du site qui héberge leurs données. Ils font même parfois appel à plusieurs lieux de stockage où ils transfèrent des données mixtes comme des images, des documents texte, sans en avoir pensé au préalable l’organisation ni la répartition sur ces mêmes serveurs. Ceci démontre dans un premier temps que le besoin repose surtout sur la nécessité urgente de stocker quelque part leurs informations.
C’est aussi bien souvent au moment de retrouver l’information pertinente parmi un ensemble devenu plus abondant qu’ils mesureront sûrement l’éparpillement de leurs données sur ces serveurs dont certains ne se souviennent plus du mode d’accès.
La dématérialisation des données sur des sites de stockage de plus en plus importants risque ainsi de noyer notre utilisateur lambda qui pourrait en oublier les contenus comme les contenants…
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !