Sret et scurit informatique pour dbutant

par Dale Levasseur

20 octobre 2009 Cl informatique Universit de Sherbrooke

Table des matires

Rvisions du document ........................................................................................................3 Introduction..........................................................................................................................4 Qui est vis par ce document?....................................................................................4 La porte de ce document .........................................................................................4 Quelques dfinitions ............................................................................................................5 Diffrence entre un virus et un ver.............................................................................5 Le cheval de Troie......................................................................................................6 Les logiciels espions ..................................................................................................6 Les moyens de protection ....................................................................................................7 Comment choisir ses moyens de protection? .............................................................7 Logiciels disponibles..................................................................................................8 Mots de passe.......................................................................................................................9 Les qualits privilgies pour la slection de mots de passe .....................................9 Les caractristiques dun bon mot de passe ...............................................................9 Les erreurs viter ...................................................................................................10 Les questions secrtes ..............................................................................................10 Mises jour........................................................................................................................12 En quoi consiste une mise jour? ............................................................................12 Pourquoi faire ses mises jour?...............................................................................12 Copies de sret .................................................................................................................13 Les caractristiques voulues d' une copie..................................................................13 O placer ses copies? ...............................................................................................13 Communications par la toile ..............................................................................................14 Les chanes de lettres ...............................................................................................14 L' hameonnage.........................................................................................................14 Les logiciels de clavardage ......................................................................................15 Comment s' y retrouver? ...........................................................................................15 Rfrences .........................................................................................................................16 Feuille de rappel.................................................................................................................17

Introduction
Ce document prsent les sujets abords dans la prsentation du 21 octobre 2009 concernant la scurit informatique au carrefour de l' information l' Universit de Sherbrooke. Si vous dsirez plus d' information sur les lments prsents dans ce document, nous vous invitons contacter l' auteur ou les sites de rfrence prsents la fin de ce document.

Qui est vis par ce document?

Sadressant principalement aux dbutants, ce document se veut comme un aidemmoire aux personnes dsireuses de lutiliser. Il ne se veut nullement tre une liste exhaustive des diffrents aspects abords en son sein, le domaine touch tant beaucoup trop large et prompt au changement pour pouvoir se vanter de ltre.

La porte de ce document
Les lments abords en ce document consistent en ceux identifis par l' auteur comme tant les plus importants retenir pour une personne dsirant en apprendre plus sur la scurit informatique. Par la prsentation des diffrentes menaces intrinsques au domaine de l' information et des moyens pouvant tre utiliss pour s' en protger, le lecteur sera en mesure d' utiliser les connaissances recueillies pour mieux se protger lui-mme et ses donnes.

Quelques dfinitions
Pour viter une potentielle confusion due mconnaissance des diffrents termes prsents dans ce document, nous laborerons tout de suite sur ceux-ci en fournissant une dfinition que nous utiliserons tout le long de votre lecture. Toutes les dfinitions prsentes ont t choisies parmi celles disponibles dans le grand dictionnaire terminologique.

Terme
Virus

Dfinition du Grand dictionnaire terminologique

Logiciel malveillant, gnralement de petite taille, qui se transmet par les rseaux ou les supports d'information amovibles, s'implante au sein des programmes en les parasitant, se duplique l'insu des utilisateurs et produit ses effets dommageables quand le programme infect est excut ou quand survient un vnement donn.

Ver

Programme malveillant, autonome et parasite, capable de se reproduire par luimme. djouer les mcanismes de scurit du systme informatique et d'accder des donnes pour en permettre la consultation non autorise, la modification ou la destruction. Logiciel destin collecter et transmettre des tiers, l'insu de l'utilisateur, des donnes le concernant ou des informations relatives au systme qu'il utilise.

Cheval de Troie Programme malveillant qui prend l'apparence d'un programme valide afin de

Logiciel espion

Diffrence entre un virus et un ver

La dfinition de virus n' est peut-tre pas claire sur la diffrence entre un virus et un ver, mais il tout de mme important de saisir la diffrence et l' impact que cela peut avoir sur la faon de protger votre ordinateur. La principale diffrence rside dans le fait que le ver peut se propager de luimme sur un rseau sans qu' il ne soit soumis aucun stimulus particulier. Ses programmes malicieux se reproduisent par eux-mmes l' intrieur mme des ordinateurs infects ainsi que sur les ordinateurs auquel il a accs partir des machines infectes. Le virus quant lui ncessitera d' tre activ pour faire effet, le programme transportant le virus devant tre effectu ou certain Le moyen le plus efficace de se protger contre un ver ou d' un virus est de toujours faire ses mises jour rgulirement et de se prmunir d' un pare-feu et d' un antivirus efficace. Ceux-ci utilisant des failles souvent connues dans divers logiciels, il est ais pour eux de s' introduire sur une machine qui n' est pas prte se faire attaquer.

Le cheval de Troie
Comme le virus ou le logiciel espion, le cheval de Troie s' installera l' insu de l' utilisateur. Contrairement ces derniers, les effets pourront attendre longtemps avant de se faire sentir, le but d' un cheval de Troie n' tant pas ncessairement de causer des problmes ou de rcolter des renseignements directement, mais bien de prparer la venue ou l' utilisation de vos donnes par un lment extrieur. Il pourra gnralement atteindre ce but en dsactivant les protections de l' ordinateur.

Les logiciels espions

Trs souvent inclus dans des logiciels tlchargeables gratuitement sur internet, ces logiciels permettent de recueillir l' insu de l' utilisateur une grande quantit d' information sur le systme ou l' utilisation du systme par les usagers. L' information, une fois rcolte par le logiciel, est gnralement envoye une tierce partie par l' entremise de la connexion internet du systme, parasitant celle-ci. En plus d' envoyer une multitude d' informations personnelles de purs inconnus, l' utilisation de la connexion internet cette fin peu ventuellement mener des ralentissements importants. Souvent identifi comme des problmes avec l' ordinateur en lui-mme, le ralentissement d des logiciels espions peut tre diagnostiqu et rgl par l' utilisation de programmes appropris. Malgr tout, il est intressant de noter que certains logiciels installant des logiciels espions cessent de fonctionner si ses logiciels sont retirs, obligeant leurs utilisateurs conserver les logiciels espions s' ils veulent continuer d' oprer normalement. Le logiciel de partage de donnes Kazaa, trs populaire avant sa fermeture pour des raisons lgales il y a quelques annes, est un trs bon exemple de ceci car il cessait d' oprer la seconde o le logiciel espion cydoor qui tait install en mme temps que lui n' tait plus prsent sur la machine.

Les moyens de protection

De nombreuses solutions simples existent pour amliorer la protection et la scurit dun ordinateur personnel contre les menaces extrieures sans pour autant ncessiter un niveau de connaissance lev de la part des utilisateurs. Les moyens de protection les plus connus et utiliss sont les pare-feu, les antivirus et les antilogiciels-espions. Le grand dictionnaire terminologique fournit diverses dfinitions pour ses lments.
Terme
Antivirus

Dfinition du Grand dictionnaire terminologique

Logiciel de scurit qui procde, automatiquement ou sur demande, l'analyse des fichiers et de la mmoire d'un ordinateur, soit pour empcher toute introduction parasite, soit pour dtecter et radiquer tout virus dans un systme informatique. Dispositif informatique qui permet le passage slectif des flux d'informations entre le systme informatique de l'entit et un rseau externe, dans le but de neutraliser les tentatives d'accs non autoris au systme en provenance de l'extrieur de l'entit et de matriser les accs vers l'extrieur. Logiciel servant dtecter et liminer les logiciels espions.

Pare-feu

Antilogiciel espion

Comment choisir ses moyens de protection?

Quand il est question de scurit, un grand nombre de couches de scurit augmente de manire significative la protection d' un systme. Un lment nuisible voulant s' en prendre un ordinateur protg par plusieurs couches de scurit devra traverser chacune des couches individuellement. Pour une optimisation de la dfense d' un systme, il peut tre intressant pour un individu d' installer chacun des trois types de protection prsents plus haut. Bien que certaines fonctionnalits de ses logiciels peuvent se recouper en certains points, le simple fait que vous utilisiez diffrents moyens de dfense permettra de vous assurer de la validit des rsultats.

Logiciels disponibles
L' universit de Sherbrooke fournit gratuitement ses tudiants une version du logiciel d' antivirus McAfee VirusScan. Les modalits d' utilisation ainsi que les tapes pour effectuer le tlchargement du logiciel peuvent tre retrouves sur le site du Service des technologies de l' information l' adresse suivante : http://www.usherbrooke.ca/sti/securite/antivirus/ Dans le cas o le logiciel fourni par l' universit ne rpond pas vos attentes o, si vous tes dans l' impossibilit de le tlcharger ou de l' installer, il existe quelques logiciels disponibles gratuitement qui remplissent aussi efficacement leurs rles de protecteurs. Une liste non exhaustive de logiciels gratuits et efficaces est disponible en annexe.

Mots de passe
Les mots de passe sont omniprsents dans le monde informatique, protgeant nos photos, nos travaux, nos conversations, notre intimit et toute une gamme de donnes diverses plus ou moins confidentielles. De par leur nature et leur utilit, il est extrmement important de comprendre limpact que cette simple suite de symbole peut avoir sur votre vie et savoir comment dfinir des mots de passe scuritaires.

Les qualits privilgies pour la slection de mots de passe

Deux concepts doivent tre prsents dans vos esprits en permanence lors de la slection dun mot de passe : Unique : Votre mot de passe doit tre unique et ne pas tre utilis outrance. Un mot de passe diffrent devrait tre de mise pour chaque lment protger. Mais, dans une certaine mesure, rutiliser certains mots de passe pour des aspects ncessitant une moins grande scurit est aussi une bonne alternative. Utiliser un seul et unique mot de passe pour protger toutes vos donnes est intressant, mais permet une personne malveillante daccder la totalit de celles-ci si jamais il russit mettre la main sur celui-ci. Confidentiel : Laccs votre mot de passe devrait tre restreint une quantit limite de personnes et au mieux, ne devrait tre connu que des seules personnes devant obligatoirement le connatre. Bien quil soit tentant de divulguer son mot de passe, il est important de sassurer de lhonntet des gens qui on en fait mention avant

Les caractristiques dun bon mot de passe

Un mot de passe efficace devrait rpondre au minimum aux quatre critres suivants : tre suffisamment long (Minimum de 8 caractres) Doit tre compos de caractres varis (Chiffres, lettres, Majuscules, caractres spciaux (!, @, etc.)) tre suffisamment personnel et dun bon niveau de complexit pour ne pas tre facilement devin aisment, mais Il doit pouvoir tre facilement mmoris (pour ne pas avoir besoin de lcrire)

Plus un mot de passe est long, plus il aura tendance tre scuritaire. La raison pour ceci est que chaque nouveau caractre ajout un mot de passe augmente de 8

beaucoup le temps ncessaire et le nombre dessais requis pour trouver votre mot de passe. Incorporer une grande varit de caractres aide beaucoup cela, car il oblige une personne voulant dcouvrir votre mot de passe augmenter son champ de recherche. Un mot de passe long et compliqu permet dobtenir la garantie dune certaine scurit, mais il nest pas garant defficacit. Si un mot de passe est tellement complexe quil en devient impossible pour lutilisateur de sen rappeler sans devoir le noter, il est peut-tre envisageable de devoir le modifier.

Les erreurs viter

De trs nombreuses erreurs communes peuvent tre effectues lors de la slection dun mot de passe. Le principal problme avec les techniques de slection de mots de passe prsents plus bas est quil relativement ais pour une personne mal intentionne de retrouver votre mot de passe ou de lobtenir grce des logiciels prvus cet effet. Il est important dviter les pratiques suivantes lorsque vous choisissez un mot de passe : Une suite de chiffres ou rptitions de lettres (12345, aaaaa, bbbbb, 54321) Votre nom d' utilisateur Votre nom rel ou dun membre de votre famille Un nom danimal, de lieu connu Une date d' anniversaire (la vtre ou celle de vos proches) numro de tlphone, adresse ou numro d' assurance sociale un mot du dictionnaire, peu importe la langue

Les questions secrtes

Il est possible dans de trs nombreux systmes de se connecter ou dobtenir une copie du mot de passe utilis actuellement par lentremise des questions secrtes . On entend par l que lutilisateur dfinit une question qui lui sera pos sil oublie son mot de passe et qui lui permettra de rcuprer son mot de passe si la rponse fournie est la mme que la rponse prdfinie par lutilisateur. Bien quefficaces, peu de gens comprennent vritablement les rpercussions possibles de choisir sa rponse la lgre. La slection de la rponse aux questions secrtes devrait tre aussi importante que la slection mme de votre mot de passe, car la scurit de votre compte repose autant sur celle-ci que sur votre mot de passe usuel. Que ce soit par sa connaissance de votre environnement ou par les renseignements quil peut obtenir par lentremise dun site internet quelconque comme les sites de rencontre ou de partage dinformation, une personne ne devrait jamais considrer la tche de trouver votre mot de passe comme une tche aise.

Mises jour
En quoi consiste une mise jour?
Une mise jour de logiciel est une modification effectue dans le but d' ajouter de nouvelles fonctionnalits, de corriger des lments errons ou de rparer des erreurs prsentes dans des versions passes du logiciel.

Pourquoi faire ses mises jour?

Effectuer les mises jour des logiciels sur un systme est essentiel pour protger ce systme des menaces extrieur. Toujours l' afft d' opportunits ou de failles, les personnes mal intentionnes la base des diffrents virus et vers circulant sur la toile analysent les logiciels ou les systmes d' exploitation populaires pour trouver un lment pouvant tre exploit. Un fait intressant pouvant motiver faire ses mises jour est que de nombreux logiciels sont lancs sur le march alors qu' ils possdent encore des erreurs ou des failles. Souvent minimes, ses failles peuvent parfois tre exploites pour causer des problmes. Cette pratique est particulirement prsente lorsque le lancement d' un logiciel a t prcipit ou bien lorsque le logiciel ou systme lanc est trop gros pour tre vrifi entirement. Il est gnralement corrig en court de route grce aux rapports d' erreur des utilisateurs.

10

Copies de sret
Un systme informatique est affect par une grande quantit d' lments nuisibles pouvant venir (virus, ver, corruption de donnes, mauvaise manipulation, etc.) et d' une foule de facteurs extrieurs (temprature, usure des pices, bris, etc.). Des pertes de donnes sont presque invitables, mais il est possible de minimiser l' impact des diffrents imprvus en prenant les mesures ncessaires. Effectuer des copies de sret des diffrents lments d' importance d' un systme est gage de paix d' esprit, car si un problme survient, il pourra gnralement tre rgl plus ou moins rapidement par la rcupration de donnes.

Les caractristiques voulues d' une copie

La caractristique la plus importante d' une copie de sret est son existence. Elle se doit d' tre prsente au moment o on a besoin d' elle, sinon elle frle l' inutilit. Elle doit tre faite de manire prventive pour tre certain qu' elle sera prsente. La rgularit des copies de sret doit aussi tre une habitude ancre dans les habitudes des utilisateurs. Il est important de connatre quelle frquence il est ncessaire d' effectuer des copies pour faire en sorte que si un problme survient, il puisse tre rapidement corrig. Le dlai idal pour effectuer des copies rgulires dpend entirement du type de donne conserver, mais devrait tre de plus en plus court mesure que limportance des donnes saccentue.

O placer ses copies?

Anodine en apparence, cette question est tout de mme cruciale pour s' assurer que tous les efforts appliqus dans le but de conserver des donnes importantes n' auront pas t vains. Le premier lment prendre en compte est qu' une copie ne devrait pas uniquement tre prsente sur le mme systme que les donnes car si un problme venait affecter le systme original, les donnes de sauvegarde deviendraient inutilisables elle aussi. En second lieu, elles doivent aussi tre accessibles. S' envoyer soit mme des donnes par courriel pour pouvoir les rcuprer en temps voulu ou bien les conserver sur une base physique (disque externe, cl USB, etc.) permet un accs rapide aux donnes. Dernirement, il faut se rappeler que la dure de vie d' un disque ou d' une cl pouvant varier, ceux-ci n' tant pas ternels, conserver plusieurs copies ou bien renouveler les copies existantes doit tre envisageable.

11

Communications par la toile

Les communications par l' entremise de la toile sont presque indispensables dans un milieu universitaire. Celles-ci viennent sous diffrentes formes, chacune apportant

Les chanes de lettres

Parmi les lments pouvant causer le plus de frustration en ce qui a trait aux courriels, les chanes de lettre doivent probablement se placer au second rang. Que ce soit pour faire circuler des blagues, pour annoncer que vous risquez de gagner une fortune si vous renvoyez ce courriel tous vos amis ou pour vous avertir d' un suppos virus qui prendrait supposment la forme d' une image de clown, le rsultat est le mme. Envoy souvent avec la plus pure des intentions, il est important de comprendre que la plupart des textes envoys par des chanes de lettre sont inutiles ou faux. Pour attirer l' attention des gens, les auteurs de lettres vont souvent utiliser des lments pouvant toucher motionnellement le lecteur. Une ptition envoye par courriel, en plus de n' avoir aucune valeur, sera ingrable de par le fait qu' il sera atrocement difficile, voir impossible la personne recueillant les rsultats de compiler efficacement le rsultat ou de garder un contrle sur la ptition. Les merveilleux labradors donnes dont l' amie de votre amie fait circuler les photos par courriels n' ont potentiellement jamais exist.

L' hameonnage
Cette technique fut baptise ainsi en l' honneur des pcheurs laissant leur ligne tranquillement flotter sur la surface de l' eau en attendant qu' un poisson morde l' hameon. L' hameonnage est une technique visant faire croire qu' une personne visite un site quand en vrit elle ne fait que naviguer sur un site identique l' original. Cette technique gnralement pour but d' obtenir vos informations personnelles avec plus ou moins d' originalit. Plaant leur site en ligne, ils attendent patiemment qu' un internaute dcouvre leur site et se fasse prendre au pige. La mthode la plus utilise consiste effectuer un envoi massif de courriels au nom d' une banque annonant l' utilisateur qu' un problme quelconque c' est produit avec son compte et qu' il peut se connecter un lien quelconque (menant vers le faux site) pour pouvoir accder des informations plus dtailles. Le site invite par la suite l' utilisateur entrer toutes ses informations (parfois des informations tranges telles que l' employeur actuel et le numro d' assurance sociale) pour se connecter. Certaines techniques plus avances consistent rediriger l' utilisateur d' un faux site vers une copie identique d' un site de paiement par internet tel que paypal pour ensuite recueillir les donnes de l' utilisateur.

12

Diverses options prsentes dans des navigateurs populaires tels qu' Internet explorer et Firefox permettent la vrification des sites visits pour s' assurer qu' un utilisateur ne navigue pas sur un faux site.

Les logiciels de clavardage

Les logiciels de clavardage se sont tellement incrusts dans le domaine de l' informatique qu' il est difficile pour certaines personnes de s' en passer. Certains virus utilisent des logiciels de clavardage pour se propager en profitant du peu de mfiance des gens. Un ordinateur infect par un virus pourrait prendre le contrle du compte de messagerie d' un individu et envoyer un fichier ou un lien amenant les contacts de cette personne tlcharger eux aussi le virus ou excuter du code nuisible. Il est important de se mfier des liens tranges qu' une personne peut vous envoyer si ce n' est pas son habitude ou bien de si une personne ce met vous crire un message dans une langue qui n' est pas la sienne.

Comment s' y retrouver?

Pour dmystifier ce qui est faux de ce qui est vrai, il n' existe qu' une seule solution scuritaire : se renseigner. De nombreux sites spcialiss comme secuser et hoaxkiller permettent d' identifier les faux messages, les chanes de lettres mensongres ainsi que les

13

Rfrences
[Site Internet] Secuser http://www.secuser.com Grand dictionnaire terminologique http://www.olf.gouv.qc.ca/ressources/gdt.html Hoaxkiller http://www.hoaxkiller.fr/ Centre daide Blogger de google http://www.google.com/support/blogger/

14

Feuille de rappel Antivirus

McAfee VirusScan Antivirus et antilogiciel espion gratuit fournis par l' universit

http://www.usherbrooke.ca/sti/securite/antivirus/ http://www.free-av.com/fr/index.html http://www.avast.com/index_fre.html

Avira Antivir - Antivirus gratuit disponible sur internet Avast! Antivirus dont la version familiale est disponible gratuitement

Anti-Hameonnage
Liste de logiciels anti-hameonnage http://www.secuser.com/telechargement/index.htm#antiphishing

Pare-feu
Zone Alarm Pare-feu lmentaire disponible gratuitement sur le site internet http://www.zonealarm.com/security/fr/anti-virus-spyware-free-download.htm

Anti-Logiciel Espion
Spybot Logiciel francophone gratuit

http://www.safer-networking.org/fr/index.html http://www.lavasoft.com/products/ad_aware.php
Ad-Aware Logiciel anglophone gratuit

Sites d' aide

Secuser Sites franais d' information sur les virus, ver, hameonnage et autres. http://www.secuser.com Hoaxkiller Site franais d' information sur les pourriels et chanes de lettres http://www.hoaxkiller.fr/

15