11

Ne négligez pas la sécurité. Surtout ces temps ci

Si il y a un sujet que l’on néglige souvent c’est la sécurité. Vous allez me dire, mais ça vient faire quoi sur un blog ou l’on parle principalement de photo. Simplement parce-que j’ai un ami dont le blog photo c’est fait hacker il n’y a pas si longtemps (http://alexbook.fr/). Il a d’ailleurs écrit des articles sur le sujet. Donc je me suis dit que j’allais vous donner un ou deux conseils simples à ce sujet.

 

Pourquoi faut-il faire attention à la sécurité plus que d’habitude. Avec les événements récents (Attentats, les déclarations des anonymes, …) nous sommes en période de conflit. Et ce conflit se joue sur tous les niveaux. Il y a donc pas mal d’attaques informatiques en cours. Sur mon blog par exemple j’ai tranquillement une vingtaine de tentatives frauduleuses par jour. Soit pour se loguer avec le compte de l’administrateur, soit pour essayer de voler des informations en utilisant des failles connues. Donc voici quelques recommandations simples

La complexité du mot passe

EquiationLe plus souvent un pirate vous pique votre compte , car votre mot de passe est trop facile à trouver. Mais comment fait le pirate. Il cherche des informations sur vous ? Le nom de vos enfants ? Votre date de naissance ? Non! Le pirate le plus souvent utilise des logiciels qui essayent plein de mots de passe. C’est ce que l’on appelle les Attaque par force brute. Un logiciel essaye toutes les combinaisons possibles (A puis B puis C etc..) ou utilise un dictionnaire (chien, chat, amour, doudou, etc..). Le logiciel pouvant utiliser une combinaison des deux. Bref pour le pirate c’est juste une question de temps. Donc pour ne pas faciliter la vie aux pirates il faut avoir un mot de passe assez complexe. Mais plus il est complexe plus c’est compliqué pour vous de vous en souvenir. Mon conseil

  1. Prenez deux mots qui n’ont rien à voir entre eux mais qui ont pour vous un sens. Par exemple Medor , votre chien, et Canon, la marque de votre appareil photo. Ca marche aussi avec Nikon 😉

  2. Prenez une année ou un chiffre qui a un sens pour vous. Votre année de naissance ou pour les filles vos mensurations 906090 😉

  3. Prenez des caractères spéciaux  mais pour vous en souvenir facilement prenez-en dans la même zone de votre clavier. ^$ ou ou )= par exemple

Ensuite vous mélangez le tout en faisant varier pour les lettres les majuscules et les minuscules. Donc cela peut donner par exemple

MeDoRcAnOn^$906090 ou 906090^$CaNoNmEdOr. Si vous testez la force de ce genre de mot passe dans un outil du web (celui de microsoft par exemple) vous verrez qu’il est solide. Alors, vue comme cela, vous vous dite qu’il n’est pas possible de le mémoriser. C’est trop compliqué. En fait vous n’allez pas le mémoriser en tant que tel mais vous allez mémoriser la facon de le refaire. Il faut vous souvenir de 5 Choses

  1. Le premier Mot

  2. Le deuxième mot

  3. Les chiffres

  4. La séquence des caractères spéciaux (là, vous vous souviendrez de la zone du clavier. Les deux caractères avant la touche « retour » par exemple)

  5. La manière dont vous avez mélangé le tout.

Vous verrez ce n’est pas si compliqué

Le nombre de mots de passe

fouSi vous écoutez les fous furieux il vous faut un mot de passe différent par application ou par site web.  Et pour un chauffeur de taxi jaune comme moi ça commence à en faire trop.  Donc j’ai divisé mes comptes en deux catégories

  1. Les comptes « Institutionnels ». C’est l’accès à mon ordinateur, C’est l’accès à mon hébergeur à mon compte de messagerie ou mes comptes d’administrations par exemple. A priori c’est des choses bien protégées (mais si on sait que le vol de mot de passe est toujours possible).

  2. Les comptes « Tiers ». C’est les différents forums photos ou je vais par exemple. Je ne connais pas le niveau de protection de ces sites et donc je n’utilise pas le même mot de passe  que sur les comptes institutionnels.

Donc j’ai deux mots de passe. Dans l’exemple que j’ai donné avant je pourrais par exemple utiliser « MeDoRcAnOn^$906090 » pour les comptes institutionnels et « 906090^$CaNoNmEdOr » pour les comptes »tiers »

Le changement de mot de passe

Comme je vous l’ai expliqué trouver un mot de passe est une question de temps. Intel met à votre disposition d’ailleurs un outil assez marrant pour tester le temps nécessaire à un pirate pour trouver votre mot de passe. Si vous suivez mes recommandations vous verrez qu’il faut 480 millions d’années. Mais comme les ordinateurs deviennent de plus en plus puissants il faut se méfier. Cela peut arriver plus vite que prévu 😉

Mais le problème n’est pas vraiment là. Imaginons qu’un pirate rentre dans un site « Tiers » et vole la liste des mots de passe. Imaginons également qu’il commence à lancer un décryptage de cette liste. Que votre mot de passe à vous soit complexe ou pas n’est pas la question dans ce cas-là. Ce qui est important c’est le temps que va mettre le pirate a décrypter la liste volée. Voilà pourquoi il faut penser à changer ses mots de passe régulièrement. Je dirais une à deux fois par ans. Au moins pour les comptes institutionnels.

Les logiciels pour se protéger

Comme vous être en train de lire cet article c’est que vous avez un accès à internet. Donc potentiellement des pirates peuvent utiliser votre ordinateur à votre insu. D’ailleurs la plupart des attaques que je subie sur ce blog viennent d’ordinateurs qui appartienne à des réseaux d’ordinateur infectés dont les pirates ont pris le contrôle sans que l’utilisateur ne s’en rende compte. C’est ce que l’on appelle des machines zombie à l’intérieur d’un Botnet. Donc il est très important d’avoir un antivirus, un logiciel contre les Malware, un firewall. Il y en a de très bons gratuits et très simples. Personnellement j’utilise Defender de Microsoft. Gratuit et bien intégré à Windows.  Mais ce n’est pas tout. Si vous avez un site web et que vous utilisez des solutions comme WordPress ou Joomla ou autre votre site peut aussi se faire attaquer. Il faut donc aussi installer des logiciels pour assurer la sécurité de votre site. Personnellement j’utilise iThemes Security sur WordPress.

Les mises à jour

Tous les jours on découvre de nouvelles failles dans les systèmes informatiques. Donc il est important de mettre à jour son antivirus, son anti-malware, son système d’exploitation. Si vous utilisez des choses comme Joomla, WordPress, piwigo ou autre CMS pour votre site web  il est également important de garder tout cela à jour.  La majorité des mises à jour corrigent des failles de sécurité

Conclusion

Il faut éviter de tomber dans la paranoïa du geek de base mais ce n’est pas pour autant qu’il faut faciliter la vie aux hackers et autres pirates. Donc en appliquant deux ou trois principes simples vous serez bien protégés contre les attaques massives. Par contre si un pirate vous cible. S’il veut descendre votre site web par exemple il a d’autres solutions. Il peut vous faire plonger dans le classement Google par exemple ou rendre votre site inaccessible par des attaques de déni de service.  Mais bon, si ça vous arrive, il faudra aller voir des professionnels et pas un chauffeur de Taxi Jaune

grin

 

 

11 Comments

  1. Par curiosité, comment fais-tu pour savoir que ton blog subit des attaques ?
    Aujourd’hui, j’ai reçu les 2 premières inscriptions d’utilisateurs. Je les trouve un peu douteuses car les pseudos sont du type « bb » ou « cc » avec des adresses hotmail.com. ou outlook.com et surtout aucun de ces 2 utilisateurs n’a posté de commentaire. Or, sur un blog, on s’attend à ce qu’on s’inscrive pour poster un commentaire. As-tu déjà rencontré ce cas de figure ? Comment l’expliques-tu ?

    • Tu oblige tes lecteurs a s’inscrire pour poster ? Pour voir les attaques il suffit de regarder dans les logs de ton système de sécurité

      • Non, ils ne sont pas obligés. Mais il peuvent le faire. Où trouve-t-on les logs de sécurité ?

        • La ou ton système de sécurité les as mis. Il faut que tu regarde la doc de ton extensions de sécurité. Toutes les extensions ne fonctionne pas de la même manière.

          • OK j’ai trouvé la rubrique log du plugin itheme security que je j’utilise aussi suite à tes recommandations. En revanche, j’ai du mal à l’interpréter. Notamment les colonnes Function et Priority. Quand tu dis que tu subis plein d’attaques, à quoi le vois-tu dans le log ?

          • Tu peux avoir des adresses qui essayent de rentre dans le compte admin. D’autres qui essaye d’exécuter un php connu pour une faille de sécurité. Comme l’extention les « Ban » tu ne vois pas forcement tout

  2. Tu peux également utiliser un petit logiciel qui s’intègre a ton navigateur, genre Dashlane, c’est gratuit. Tu retiens un mot de passe maitre bien robuste et ensuite il te génère des mots de passe aléatoires et robustes (nombreux caractères, majuscule, minuscule, lettre, nombre) et surtout. Ensuite quand tu te logg à le MDP est renseigné automatiquement.

    • J’avais testé ce genre de truc jusqu’au jour ou l’appli a planté et n’a pas voulu redémarrer. J’ai du redemander tous les mots de passe aux différents sites ;). Au niveau pro on est passé au sigle sign on. Un code style CB avec une carte SIM

  3. Bonjour
    Bon moyen que j’utilise avec en plus un mot de passe unique pour chaque site.
    Facile, j’ajoute à ton système la troisième lettre du nom du site, pour reprendre ton exemple
    pour Google cela donnerait OMeDoRcAnOn^$906090
    pour Facebbok, CMeDoRcAnOn^$906090

    Il n’y a plus qu’à…
    Alain

Laisser un commentaire