Vous êtes sur la page 1sur 54

1

Se protger des dangers d'Internet


xavier.montagutelli@unilim.fr
Service Commun Informatique
Responsable de la Scurit des Systmes d'Informations
Universit de Limoges
Version du 25/01/2012

Plan
Avant-propos
Qu'est-ce que Internet ?
Internet et droit
Les logiciels malveillants
Le courrier lectronique
Le web
Autres usages (P2P, jeux, rseaux sociaux, 4)

Avant-propos
Horaires : 9H-12H30, 13H30-16H30
Fiche dvaluation remplir la fin
Avertissement
Pas de recette miracle dans cette formation
Orient systme Windows
Pas une formation sur Windows, ni sur un logiciel
particulier
Objectif : donner des cls de comprhension, sur Internet,
sur les menaces, pour comprendre et s'adapter
Posez des questions au fur et mesure
4

Avant-propos Vous
Tour de salle
Vos attentes : quels dangers ? Pour la maison ou le
travail ?

De quoi va t'on parler ?

Internet :
Le rseau extrieur , public
Beaucoup de ressources, et des dangers

Quels dangers ?
Arnaques, escroqueries : argent, manipulation
Chats sur Internet : crer des rencontres pour de
vraies ...
Dtournement d'identit : argent, pntrer sur d'autres
systmes, rputation
Prise de contrle de votre machine par un pirate : crer
une machine esclave
Vol des donnes professionnelles ?
Autres ?
6

De quoi va t'on parler ? Les vulnrabilits


Une menace exploite une vulnrabilit
Chez vous
Humaines : crdulit, curiosit, appt du gain, luxure, 4
Logicielles : failles de votre systme (Windows, Mac OS,
4) ou des logiciels utiliss
Chez vos partenaires . Exemple : si un site marchand o
vous avez laiss votre numro de CB se fait pirater ?)
Sur linfrastructure dInternet
Nous allons surtout prvenir ou rduire les risques en
travaillant sur les vulnrabilits
Autres solutions : limination (pas dInternet), acceptation
(tant pis), transfert

Plan
Avant-propos
Qu'est-ce que Internet ?
Internet et droit
Les logiciels malveillants
Le courrier lectronique
Le web
Autres usages (P2P, jeux, rseaux sociaux, 4)

Internet Rseau
Un rseau informatique est un ensemble d'ordinateurs relis
entre eux et qui peuvent changer des informations

Rseau
9

Internet Rseau, adresse IP


L'adresse IP (internet protocol) identifie une machine sur le
rseau
Elle est unique
Elle permet la communication d'une machine une autre.
Exemple : 164.81.1.61

164.81.1.61

164.81.1.45

164.81.1.4

10

Internet Rseau (2)


Un routeur (passerelle, gateway) est un lment du rseau
qui permet de passer d'un rseau un autre
Rseau 1
164.81.1.61

164.81.1.45

164.81.1.4

164.81.1.254
Routeur

Routeur

Rseau 2
Rseau 3

11

Internet Adresse et nom DNS


Un nom plutt quune adresse : www.unilim.fr
L'quivalence entre les deux est faite par le DNS
(Domain Name Service) et les serveurs de noms

164.81.1.61
www.unilim.fr

164.81.1.45
smtp.unilim.fr

164.81.1.4
limdns.unilim.fr

12

Internet DNS

a.b.c.d : DNS de .com

DNS racine

e.f.g.h : DNS de monjournal.com


(4) Qui gre monjournal.com ?

(2) Qui gre .com ?


(3) a.b.c.d
Votre DNS

(5) e.f.g.h
(6) Qui est www.monjournal.com ?
(7) w.x.y.z
w.x.y.z = www.monjournal.com

(1) Qui est


www.monjournal.com ?

(8) w.x.y.z

Je veux voir une


page web

Voici la page web

Vous voulez aller sur www.monjournal.com 4

Internet Origines (1)


Internet est un rseau mondial, public. C'est le rseau
de rseaux , qui regroupe des millions de rseaux (par
exemple celui de l'universit de Limoges)
Bas sur des travaux de l'arme amricaine (Defense
Advanced Research Projects Agency), lanc en 1958 suite
au lancement du satellite Russe Spoutnik (autre projet
connu : le GPS !)

Universit de
Limoges

Rseau de
Google

Internet

Rseau de
Orange
14

Internet Origines (2)


Premier rseau TCP/IP dans une universit amricaine,
en 1983
Une application ancestrale : le courrier lectronique.
Dbute en 1965.
Dbut 1990 : le web apparat, cr au CERN (Organisation
europenne pour la recherche nuclaire). Le web est bas
sur HTTP (comment changer des donnes) et HTML
(langage qui dcrit un document du web)
Toutes les normes et langages sont publics. Ils ont t
discuts et amends par toute une communaut. Ils ne sont
pas la proprit intellectuelle d'une entreprise prive !
15

Internet Rseau Renater


Rseau National de tlcommunications pour la
Technologie l'Enseignement et la Recherche
Forme juridique : un GIP
800 sites relis en France
Une quipe ddie la scurit : le CERT-Renater
Une charte d'utilisation :
Pour l'ducation et la recherche
Rappel : les usagers doivent respecter la loi
Utilisation personnelle autorise si la consommation de
ressources est modre
16

Internet Rseau Renater


Rseau France
Liaisons
internationales

17

Internet Rseau europen GEANT

Plan
Avant-propos
Qu'est-ce que Internet ?
Internet et droit
Les logiciels malveillants
Le courrier lectronique
Le web
Le P2P

19

Internet et lgislation
Rponse juridique simple : ce n'est pas une zone de nondroit, le droit habituel, tabli, s'applique
Il y a des lgislations spcifiques
Une jurisprudence qui se construit
L'aspect trans-frontalier rend en pratique compliqu les
actions judiciaires ...
Exemple : la justice franaise se reconnat comptente ds
lors qu'un site est orient vers le public franais (arrt cour
de cassation 9 sept. 2008)

20

Internet et lgislation Proprit intellectuelle


Code de la proprit intellectuelle (CPI) : concerne les
logiciels (assimil une oeuvre littraire ou artistique), pas
seulement les musiques, films, etc.
Renforc par la loi DADVSI (droits d'auteurs et droits
voisins dans la socit de l'information) du 1er aot 2006.
Nouvelles infractions : contournement de mesures
techniques de protection, mise disposition de logiciel
permettant d'accder des uvres protges, ...
Au pnal, peine encourue : 300 000 damende, 3 ans de
prison ; au civil, rparation du prjudice
Mai 2007 : le Conseil d'Etat annule une dcision de la CNIL,
la chasse aux pirates par des logiciels automatiques est
rendue possible ...

21

Internet et lgislation Proprit intellectuelle (2)


Loi HADOPI ou Cration et Internet (Loi n200 9-669
du 12 juin 2009 favorisant la diffusion et la protection de la
cration sur internet) : pour protger les droits dauteur
Cration de lHADOPI, autorit administrative indpendante
Surveillance de lInternet par les ayant-droits
HADOPI reoit les saisines des ayant-droits et
commence une riposte gradue : courriel, puis
recommand, puis coupure accs Internet aprs
transmission au parquet
Labellisation de sites de tlchargements lgaux
Dbuts effectifs octobre 2010
22

Internet et lgislation Injure et diffamation


Injure et diffamation publiques, contre un particulier (mme
s'il n'est pas nomm, mais s'il est identifiable) : 12000
d'amende (loi de 1881)
Injure et diffamation publiques, contre une personne ou un
groupe de personnes, raison de leur race, ethnie, religion,
sexe, handicap : 1 an d'emprisonnement, 45000 (loi de
1881)
Injure et diffamation non publiques (exemple : dans un
change priv) sont aussi punissables (moins lourdement)
Plainte : par la personne diffame ou injurie. Ou le
ministre publique s'il y a discrimination
23

Internet et lgislation Vie prive


Le respect de la vie prive est garanti par de multiples textes
Loi Informatique, Fichiers et Liberts , 1978, modifie en
2004
Le traitement automatis de donnes caractre personnel doit tre
dclar la CNIL (Commission Nationale de lInformatique et des
Liberts, autorit administrative indpendante)
Le responsable des traitement a des obligations : informations,
consentement, confidentialit

Espionner une personne (enregistrer ses paroles, ses


images son insu, dans un cadre priv) : 1 an, 45000
Interception, dtournement de tlcommunication (de
mauvaise foi) est aussi rprhensible
24

Internet et lgislation Vie prive (2)


Le courrier lectronique constitue une correspondance
prive (Cour de Cassation, 2 oct. 2001)
Mais ... dernires jurisprudences : au travail, le courrier ou
les donnes sont rputes professionnelles, sauf si elles
indiquent leur caractre priv (class dans un dossier
Personnel ou Priv par exemple)
Arrt CATHNET-SCIENCE , Cour de cassation Chambre sociale 17 mai 2005
Arrt DATACEP , Chambre sociale de la Cour de cassation mai 2007

25

Internet et lgislation Langue franaise


L'emploi du franais et obligatoire pour les personnes
publiques
Loi Toubon de 1994
Circulaire de 1999 sur les sites Internet pour les
tablissement publics de l'Etat
Une liste des termes franais pour l'informatique : dlgation
gnrale la langue franaise
(http://www.culture.fr/culture/dglf)
Exemples : courriel

26

Internet et lgislation Les mineurs


Des protections spcifiques
Pornographie enfantine : offre ou diffusion, 3 ans
d'emprisonnement et 45000 d'amendes ; dtention, 2 ans
et 3000
Loi sur la confiance en l'conomie numrique (LCEN, 2004)
Les fournisseurs d'accs Internet doivent informer leurs
abonns et proposer des mesures techniques pour protger
l'accs certains services. Ils doivent concourir la protection.
Obligation de dnoncer les activits illicites constates !
Les hbergeurs ont l'obligation de ragir promptement si on
leur signale un contenu illicite

Lopssi 2 : lautorit administrative peut dsigner aux FAI des


adresses ou sites bloquer. Dbut du filtrage dInternet,
sans jugement.
27

Internet et lgislation Accs aux systmes


Loi Godfrain 1988
Punit le fait de pntrer dans un systme informatique sans
autorisation (frauduleusement), de modifier des donnes, ...
Devrait s'appliquer tous les programmes de type virus ,
aux pirates, etc.

28

Internet et lgislation Au travail


L'employeur a le droit de contrler et de surveiller l'activit
de ses salaris pendant le temps du travail (Cour de
Cassation, 1991)
Dans le respect des lois et rglements (ex: ne doit pas
concerner la vie prive)
Si c'est justifi
Si nominatif : le dclarer la CNIL
Doit en informer ses employs
Ces rgles sont souvent prsentes dans une charte
informatique, assimile un rglement intrieur
29

Plan
Avant-propos
Qu'est-ce que Internet ?
Internet et droit
Les logiciels malveillants
Le courrier lectronique
Le web
Autres usages (P2P, jeux, rseaux sociaux, 4)

30

Logiciel malveillant Description


Autres appellations : pourriciel, malware
Diverses catgories : virus, ver, spyware, adware, keylogger
Plus subtils / intresss que les virus des annes 90
Dangers multiples :
Gne : affiche des pubs, ralentit ou plante la machine car mal
conu
Espionnage : mot de passe, code d'accs aux sites bancaires,
documents envoys au pirate
Contrle la machine : votre PC devient un zombie, contrl par le
pirate votre insu, et enrl dans un botnet (robot network)

Qui ? Des socits commerciales, des pirates isols, des


mafias
31

Logiciel malveillant Comment sinstalle-til ?


Vous ouvrez la porte :
Parce quil se dguise (cheval de Troie)
Par curiosit et puis il sincruste (vous cliquez sur un lien
dans un courriel 4)
Il force la porte en utilisant une faille logicielle (du systme,
dun autre logiciel)

Logiciel malveillant Cheval de Troie


Comme Ulysse avec le cheval de Troie, un logiciel
malveillant est parfois cach dans un autre logiciel qui parait
sans danger et attrayant ...
Exemples types : conomiseur d'cran (avec des chats,
avec des blondes pulpeuses), jeux dargent, faux antivirus
Le Troyen peut tre envoy par mail, directement ou sous
forme de lien. Il peut tre vant dans des forums sur le web.
Il est parfois inclus dans des CD distribus par des
magazines informatiques !

33

Logiciel malveillant Botnet


Premier botnet dangereux en 2002
Une tendance lourde, touchant beaucoup les ordinateurs du
grand public

How a botnet works , par Tom-B (Wikipedia)

Logiciel malveillant Exemples de botnets


Deux pirates hollandais arrts suite une enqute du FBI.
100 000 PC contrlshttp://www.informaticien.be/news_item-5547Deux_pirates_hollandais_avec_un_botnet_de_100_000_machines_arretes.html

Un californien contrlait 600 000 PC, 100 000 $ de gains, 3


ans de prison
http://www.zdnet.fr/actualites/internet/0,39020774,39363062,00.htm

L'Espagne dmantle le plus vaste rseau de PC fantmes


Plus de 13 millions de machines dans le monde taient
contrles l'insu de leurs propritaires par trois Espagnols.
Des grandes entreprises taient aussi infiltres.
http://www.lefigaro.fr/sciences-technologies/2010/03/03/01030-20100303ARTFIG00759-l-espagne-demantelele-plus-vaste-reseau-de-pc-fantomes-.php

35

Logiciel malveillant Fondamentaux pour les viter


Comment faites-vous pour viter d'avoir un accident de
voiture ?
Entretien du vhicule, contrle technique
Conduite prudente : en respectant les rgles, en s'adaptant
En utilisant des quipements de scurit : ceinture, airbag
Idem en informatique
Une entretien faire
Des bonnes pratiques faciles suivre ... et qui peuvent
viter beaucoup d'ennuis

36

Fondamentaux Les mises jour


Les mises jours (updates) sont des correctifs logiciels
Pour amliorer, ou plus important, pour corriger des bogues
(bugs), c--d des erreurs dans le logiciel
C'est la visite d'entretien de la voiture !
Pourquoi faire les mises jours ?
Les pirates, les virus profitent de ces failles pour infecter
votre machine
Lexploitation peut se faire en navigant sur un site web, en
ouvrant un courriel, un document (Word, PowerPoint, PDF,
un fichier de musique, 4)
Rgle : ne pas tre Has been !
37

Fondamentaux Mises jour Microsoft


L'diteur Microsoft propose depuis Windows 2000 des mises jour
automatique (Microsoft Update)
Permet de mettre jour Windows, Office, Outlook
Menu Dmarrer
Panneau de configuration, puis Mises
jour automatiques
Rgle : mises jour en mode automatique
Dure du support :
10 ans pour les correctifs scurit sur les produits entreprise
XP Edition familiale SP3 sera aussi support 10 ans (2014)
A l'universit : le SCI propose un outil aux administrateurs de parc
informatique pour faciliter ces dploiements

38

Fondamentaux Windows et Service Pack


Microsoft propose des amliorations et corrections dans un
gros paquet , nomm Service Pack (SP en abrg)
Vrifier sa version : menu Dmarrer
de travail

clic droit sur Poste

Pour Windows XP, le SP 3 (sorti printemps 2008) est


obligatoire
Apporte le firewall et amliore beaucoup d'lments en scurit
Les versions antrieures ne reoivent plus les correctifs de scurit !
Pour XP : le SP 2 nest plus support depuis juillet 2010

Pour Vista : SP2 obligatoire (mai 2009), les versions avec


SP1 ne seront plus supportes partir de juillet 2011
Pour Seven : SP1 (fvrier 2011)
39

Fondamentaux Windows et Service Pack (2)


Pour installer un SP sous Windows, lancer Internet Explorer
et aller sur http://update.microsoft.com : le site devrait vous
le proposer s'il n'est pas install
Centre Microsoft : http://windows.microsoft.com/frFR/windows/downloads/service-packs
Le SP3 de XP si vous voulez le transporter chez vous :
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4

40

Fondamentaux Mises jour des autres logiciels


Il faut aussi faire les mises jour des autres logiciels : les
pirates sont trs imaginatifs !
Produits Mozilla (Thunderbird, Firefox) :
?

Rechercher des mises jour ...

MAJ automatises : Outils


onglet Mises jour

Options, partie Avanc,

Adobe Reader : ?
...

Rechercher les mises jour

Quicktime : Aide

Mise jour ...

Adobe Flash Player : aller sur le site


http://www.adobe.com/products/flash/about/
41

Fondamentaux Mises jour MS Office


Pour savoir la version utilise :
http://office.microsoft.com/fr-fr/word-help/quelle-est-la-version-doffice-que-jutilise-HA101873769.aspx

Comme pour Windows : installer les Services Packs et les


mises jours de scurit
Office XP : SP3 Ne reoit plus de mises jours depuis juillet 2011
Office 2007 : SP3 Support jusqu avril 2014
Office 2010 : SP1

Faire les mises jour : avec Microsoft Update

42

Fondamentaux Le firewall
Les ordinateurs communiquent entre eux en changeant
des messages
A travers des portes, identifies par un numro
Chaque programme ouvre une porte diffrente
Le pare-feu (garde-barrire, firewall) bloque les portes, ou
contrle leur accs
Il ne dbloquera que ce qu'il faut (en thorie)
Il est conseill d'utiliser cette ligne Maginot

43

Un serveur web

Fondations Le firewall (schma)

Envoie moi un document


Serveur
Web
Navigateur

Voil la page web demande

Logiciel P2P

Attaque

Windows
Attaque

Programme malveillant

Prend ses ordres

Programme mchant

PC
Firewall

Pirate

44

Fondamentaux Antivirus
Un antivirus est un programme contre les virus :-)
Mode temps rel (ou analyse laccs) : il analyse les
fichiers chaque fois qu'on lit ou crit sur le disque
Mode scan : vous lui dites de vrifier le contenu de votre
disque dur
D'autres fonctions (suite intgre) : protection contre les
spywares, firewall, contre les spams, etc.
Ncessite des signatures jour (faire une vrification
quotidienne)
Ce n'est pas la solution tout : toujours en retard, parfois
aveugle
45

Fondamentaux Quel antivirus l'universit ?


Des marchs signs par le Ministre existent
Contrat en cours avec l'diteur Symantec (Norton Antivirus)
+ Kaspersky + McAfee
Installation : par votre informaticien de composante
A dclarer au SCI

46

Fondamentaux Quel antivirus chez vous ?


Des antivirus gratuits (pour usage personnel) :
Avira : Antivir Personal
Avast! Free Antivirus
AVG Anti-Virus Free Edition
Comodo
Microsoft Security Essentials

Pas d'antispyware, pas de protection du mail, pas de parefeu


Beaucoup d'antivirus payants (souvent sous forme
d'abonnement), avec une offre plus large que le seul AV
(type Internet Security). Cher ?
Une offre existe souvent chez les FAI (Offre Antivirus
Firewall chez Orange, Pack Scurit chez Neuf, McAfee
Internet Security chez Free, tous 5/mois)
47

Fondamentaux Antivirus Live


Des AV live , par le web
On va sur le site dun diteur dantivirus
On accepte un composant logiciel
On peut ensuite scanner un fichier ou le disque complet
Pratique pour faire une double vrification avec son anti-virus local
Exemples :
http://www.bitdefender.fr/scanner/online/free.html
http://www.f-secure.com/fr_FR/security/security-lab/tools-and-services/online-scanner/

http://housecall.trendmicro.com/fr/
http://security.symantec.com/sscv6/WelcomePage.asp
http://onecare.live.com/site/fr-FR/default.htm (Microsoft)

Fondamentaux Antispyware
Espiogiciel : recueille des informations personnelles et les
envoie au concepteur ou un tiers, sans autorisation
explicite et claire de lutilisateur
Certains sont intgrs des logiciels normaux : lire les
conditions dusage ?
Logiciel de protection spcifique : Adaware, Spybot
Search and Destroy, Windows Defender de Microsoft (inclus
dans Vista et Seven)
Alourdi encore la machine sil est mis en temps rel
Parfois utile en cas de doute ?
Comme les antivirus, protections souvent inefficaces
Exercez votre esprit critique avant tout
49

Logiciel malveillant Signes dinfection


Une alerte de lantivirus Parfois aprs linfection !
Se mfier des faux antivirus !
Vous ouvrez un document (provenant dun courriel,
dInternet) et lapplication plante
Evitez de transmettre le document vos voisins de
bureau pour voir si eux arrivent le lire 4
Votre machine devient instable
Lantivirus ne marche plus ou narrive plus faire ses mises
jour

Logiciel malveillant Nettoyage Solutions classiques


Problme : on n'est jamais sur de ce qu'on fait quand un PC
dmarre sur un disque avec un virus ou n'importe quel logiciel
malveillant
Solutions classiques :
Dmarrer Windows en mode sans chec (safe mode en
anglais) et lancer votre anti-virus
Appuyer sur F8 au dmarrage
Utiliser plusieurs antivirus, par exemple avec ceux par le web
Utiliser des outils de nettoyage (outil ddi, antivirus,
antispyware)
Trend Micro Damage Cleanup Engine
http://fr.trendmicro.com/fr/products/enterprise/damage-cleanup-services/

Kaspersky Removal Tools http://www.kaspersky.com/virusscanner

Microsoft Safety Scanner http://www.microsoft.com/security/scanner/fr-fr/default.aspx

51

Logiciel malveillant Nettoyage Solutions pousses


R-installer votre systme
Pas facile
Dbrancher le disque dur, le mettre comme disque secondaire sur
une autre machine pour lanalyser. Lanalyse sera ainsi faite
depuis un systme sain
Il faut avoir deux machines, pouvoir dbrancher le disque
Dmarrer la machine sur un CD de boot qui contient un antivirus
BitDefender Rescue CD http://www.bitdefender.com/support/How-to-create-aBitdefender-Rescue-CD-627.html

Kaspersky Rescue Disk http://support.kaspersky.com/faq/?qid=208282173


F-Secure Rescue CD http://www.f-secure.com/en_EMEA/security/tools/rescue-cd/
Avira AntiVir Rescue System http://www.avira.com/en/support-download-aviraantivir-rescue-system

Fondamentaux Utiliser un compte limit / spar


Sous Windows XP/Vista/Seven, plusieurs types de compte
avec des privilges diffrents
Un compte normal ne pourra pas installer de logiciel : seul
un administrateur pourra le faire
Empche un utilisateur de l'ordinateur de faire une btise,
volontairement ou non (s'il tlcharge un virus, celui-ci ne
pourra pas s'installer)
Chaque compte a ses fichiers, son environnement
Utilisation type au boulot / la maison
L'informaticien de votre site est le seul Administrateur
Vos enfants utilisent un compte normal, les parents sont
Administrateurs
53

Fondamentaux Utiliser un compte limit / spar (2)


Avec les versions Vista et Seven, Windows diminue les
droits des comptes Administrateur
Il vous demande une autorisation pour rcuprer les droits
complets
Ne pas cliquer automatiquement oui quand il demande
une lvation des privilges !

Fondamentaux Utiliser un logiciel alternatif


Les pirates qui utilisent les vulnrabilits logicielles ciblent
les plate-formes les plus communes
Consquence : moins dattaque sur les logiciels
alternatifs
PDF : pour remplacer Adobe Reader (calamit en terme de
scurit)
SumatraPDF : trs lger, rapide
http://blog.kowalczyk.info/software/sumatrapdf/free-pdf-reader.html

PDFXChange Viewer : trs puissant http://www.trackersoftware.com/product/pdf-xchange-viewer

Bureautique : OpenOffice
Navigateur web : Firefox, Chrome
Systme : Mac OS, Linux au lieu de Windows ?

Fondamentaux - Les cls USB


Sous Windows, les cls USB servent de vecteur des
virus (une cl portant le virus, connecte un PC,
linfectera)
Windows peut dclencher automatiquement lexcution dun
programme, sans aucune action ni confirmation de votre
part : trs dangereux !
Pour se protger : utiliser les mesures de protection
http://www.unilim.fr/sci/article94.html
Depuis fvrier 2011, Microsoft propose une mise jour de
niveau Important qui dsactive lautorun des cls USB
http://support.microsoft.com/kb/971029

Fondamentaux Logiciels de confiance


Installation dun logiciel : vous lui accordez les pleins
pouvoirs
Ne pas installer un logiciel provenant dune source non
sre
Prfrer le tlchargement depuis le site de lditeur
Se mfier des petits utilitaires vants sur des forums

Plan
Avant-propos
Qu'est-ce que Internet ?
Internet et droit
Les logiciels malveillants
Le courrier lectronique
Le web
Autres usages (P2P, jeux, rseaux sociaux, 4)

58

Le courrier lectronique
Courriel, electronic mail, e-mail
Adresse ml :
xavier.montagutelli@gmail.com
svp-ent@unilim.fr
Environ 200 milliards de courriels changs chaque jour
dans le monde
A l'universit : 120000 courriels changs chaque jour, pics
250000 (~ 10 Go de donnes)

59

Courriel Origine dun message


Comment savoir qui vous crit ?
L'adresse d'expditeur :
Nest pas contrle, il ne faut jamais s'y fier aveuglment
Identique lencart situ habituellement en haut
gauche dans un courrier papier indiquant lexpditeur
Le contexte, les lments voqus, sont en gnral les
seuls moyens de vrifier lidentit de lexpditeur

Contexte : plus fiable


Expditeur : pas fiable !

Courriel Protger ses changes


Deux mesures de protection des courriels :
Signature
Chiffrement
Signature : prouve l'identit de l'expditeur et la non
modification du contenu du message (intgrit)
Chiffrement : seul le destinataire peut dchiffrer
(confidentialit)
Moyens techniques : avec PGP ou avec S/MIME (des
certificats)
Le particulier va plutt utiliser PGP, un organisme va plutt
utiliser des certificats (exemple : le CNRS)
62

Courriel Spam
Publipostage lectronique
Massif (plusieurs milliers ou millions de destinataires)
Souvent rpt
Non sollicit !
Collecte pralable d'adresse ml : par des fichiers de
clientle, par collecte automatique sur le Web, etc.
Dans le monde, plus de 100 milliards de spams par jour !
80 % des courriels en Amrique du Nord
A l'universit, rception de 20000 spams / jour
63

Courriel Spam, bonnes pratiques


Rgles gnrales :
Ne pas rpondre aux spams
Ne pas cliquer sur les liens
Mieux : ne pas les ouvrir !
Sites respectueux de la loi : proposent un lien de
dsabonnement. Exercer son jugement (si on a confiance
dans le site metteur) !
A l'universit : tous les messages sont nots . Si spam,
ajoute {Spam?} au dbut du sujet
Autres solutions : utiliser les filtres antispam du client de
messagerie
64

Courriel Notes sur le paramtrage de Thunderbird


Menu Outils

Paramtres des comptes

Paramtres serveur Bouton Avancs : dcocher Afficher


uniquement les dossiers avec abonnement
Paramtres des indsirables
1)
2)
3)

cocher Activer les contrles adaptatifs


cocher Se fier aux enttes de : SpamAssassin
Cocher Dplacer les nouveaux courriels indsirables vers :
Autres et choisir la bote Spam sur IMAP

Menu Outils

Options

Partie Scurit, onglet Indsirables


1)
2)

Cocher Quand je marque des messages comme indsirables : les


dplacer dans le dossier Indsirables
Cocher Activer la journalisation des indsirables

Partie Scurit, onglet Courrier frauduleux : cocher Signaler si


frauduleux
Menu Affichage

Dossiers : choisir Tous

Courriel Eviter le spam


Inscription sur des sites Internet : ne pas cocher la case
Jaccepte de recevoir des offres de la socit XXX et de
ses partenaires
Utiliser des adresses ml jetables , par exemple en
crant des alias de votre messagerie principale :
Possible laposte.net (Mes prfrences -> Crer et
supprimer mes alias), hotmail, yahoo, 4
Adresses + chez gmail
(xavier.montagutelli+laredoute@gmail.com)

Courriel Vecteur de virus


Les virus se transportent parfois travers des courriels (et
les pices jointes)
A l'universit, un anti-virus analyse chaque message et le
bloque si un virus est dtect
Mais parfois, a passe quand mme !

67

Courriel Canular
Canular (hoax) plus ou moins anodins ...
La petite Lili a disparue. Aidez-nous ! Voil sa photo
Si vous avez tel fichier sur votre ordi, effacez-le, c'est un
virus. Transmettez l'information vos amis !
Appels la haine, au racisme ...
Dsinformation, manipulation de lopinion (faux courriels
islamistes)
Effet boule de neige
Pour vrifier : http://www.hoaxbuster.com

68

Courriel Attrape-nigaud
Spam nigrian : je suis la fille de feu M. Xxxx, que Dieu
soit avec vous, aidez-moi rcuprer mon argent
Pleins de variantes ( ancien soldat en Irak )
Promettent en gnral de l'argent facile ...
Si vous suivez la procdure : vous serez vol

69

Courriel Hameonnage
Aussi appel filoutage, phishing
Attrape-nigaud volu : par imitation dun site de
confiance , ou par crdulit, les pirates obtiennent des
informations confidentielles (numro de carte bleue,
identifiant et mot de passe)
Exemple : appel don aprs le Tsunami au Japon
Exemple (merci Olivier Krempt, FDSE, pour lexemple qui
suit)
un courriel semble provenir des Impts (ou dun site
qui a votre numro de carte bleue : e-bay, 4)
Vous cliquez sur un lien web 4
4 et vous visitez un site qui nest pas le vrai

70

72

Courriel Filoutage (3)


Une banque ne va jamais vous envoyer un courriel pour
vous dire de vous connecter son site !
Ne jamais se fier au visuel du site
Si vous voulez aller sur le site de votre banque : utilisez
ladresse enregistre dans vos favoris, ou tapez-la
Observez bien lURL (adresse web) : est-elle numrique ?
Le nom est-il le bon ? Attention aux noms qui ressemblent,
rallonge
http://90.20.32.67/http/www.bnp.fr/
http://www.bnp.fr@www.sitecorrompu.com/
http://www.bnpfr.to/

Courriel Filoutage (4)


Mesures intgres aux clients de messagerie : sous Thunderbird, menu
Outils Options, partie Scurit, onglet Courrier
frauduleux , cocher Signaler si susceptible dtre
frauduleux
Mesures intgres aux navigateurs : vous avertissent si le site visit est
rpertori comme frauduleux
sous Firefox : menu Outils Options, partie Scurit, cocher
Bloquer les sites dattaque et Bloquer les sites
de contrefaon
Existe aussi sous Chrome ou Internet Explorer 8
A l'universit : le contenu des mails est vrifi. Un lien www.banque.fr
qui redirige vers un autre site sera not :
Mailscanner souponne le lien suivant d'tre une
tentative de phishing
75

Plan
Avant-propos
Qu'est-ce que Internet ?
Internet et droit
Les logiciels malveillants
Le courrier lectronique
Le web
Autres usages (P2P, jeux, rseaux sociaux, 4)

76

Surfer sur le web


Naviguer sur la toile (le web) peut prsenter des risques
On peut aller dans un endroit o des individus ou des
organisations peuvent vous attaquer, vous tenter, vous
arnaquer, etc.
Comment se protger ?

77

Surfer Quelques protections


Exercer son esprit critique (encore et toujours)
Pr-requis : les fondamentaux
Utiliser un navigateur alternatif, moins attaqu qu'Internet
Explorer (40/50% des parts de march) : Mozilla Firefox
(20/30%), Safari (5/10%), Opera (2%), Google Chrome
(15/25%)

78

Surfer Le phishing
Filoutage (phishing) : trait dans la partie Courrier
lectronique
Attention, on peut se retrouver sur un site de phishing en
suivant des liens sur le web, pas forcment en partant dun
courriel

Surfer Les fentres surgissantes


Les navigateurs peuvent bloquer les fentres publicitaires
(popup)
Ca ne protge pas forcment, mais cest plus agrable

Surfer Mot de passe


Les navigateurs peuvent se souvenir des mots de passe
Ils sont enregistrs dans un magasin
Conseil : ce magasin doit tre chiffr avec un super mot
de passe. Dans Firefox : menu Outils
Options, partie
Scurit, case Utiliser un mot de passe
principal
Certains sites enregistrent votre connexion, avec un cookie :
Pratique (pas besoin de se rauthentifier)
utiliser avec prcaution (surtout sur un PC public !)

81

Fondamentaux Mot de passe


De plus en plus de mots de passe retenir
Si on drobe un mot de passe (avec un logiciel espion, parce quun site
sest fait vol ses donnes) : rduire le risque en utilisant des mots de
passe diffrents
Stratgie : utiliser le mme mot de passe pour des niveaux de scurit
identique. Exemple : un pour les sites bidons ou pas important
Construire un mot de passe : Tres-Fa-Ci-Le, Ce+diffisil, lavies1lofltr (la
vie est 1 long fleuve tranquille)
Vrifier sa complexit : https://www.microsoft.com/fr-fr/security/pcsecurity/password-checker.aspx

Ne pas prendre un mot du dictionnaire


A l'universit : un seul compte pour tous les services numriques
est confidentiel

il

82

Surfer Bloquer les flash et les pubs


Animations flash : partie d'un site web qui utilise Flash
Player
Des modules ajouter pour Firefox ou Chrome, bloquent les
flashs et les bannires publicitaires
Exemples pour Firefox (Outils
Modules
complmentaires) : Flashblock et Adblock Plus
On peut en gnral cliquer pour dclencher la lecture du
flash / de la pub si on veut
Double avantage
Allge certains sites
vite des attaques (sur les images, sur flash player)
83

Surfer Utiliser WOT (Firefox et IE)


WOT : WebOfTrust (rseau / web de confiance)
http://www.mywot.com
Composant ajouter Firefox, Chrome ou IE
Gratuit
Avertit quand on va sur un site dangereux
Avertit quand un rsultat d'un moteur de recherche est
dangereux
Bas sur des notes donnes par les internautes
manipulable ?
Contrle parental inclus
84

Surfer Internet Explorer et les ActiveX


Certains sites webs utilisent des contrles ActiveX
Exemple : antivirus en ligne
Ne fonctionnent qu'avec Internet Explorer
Composant logiciel envoy par le site, qui s'excute sur
votre machine
Potentiellement dangereux !
IE (configuration par dfaut) devrait demander l'autorisation,
dans un bandeau jaune en haut de la page
Ne l'accepter que si vous savez ce que vous faites

85

Surfer Les traces


Quand on navigue d'un site A un site B en cliquant sur un
lien, le site B reoit l'information vient du site A
Quand on va sur un site, celui-ci connat votre adresse IP (et
donc votre localisation gographique)
Le navigateur transmet des informations : version de
systme d'exploitation, langue
Le navigateur enregistre un historique des sites visits, des
donnes rentres dans les formulaires
La navigateur stocke une copie des pages visites (cache)
Les cookies permettent un site A de stocker des
informations, sur votre PC : nom d'utilisateur, autorisations
d'accs, nombre de connexions au site, etc.
Un site B ne peut pas accder aux cookies de A
Sur un ordinateur public : effacer les cookies !

86

Surfer Les traces (2)


Les quipements du rseau (routeurs) sont des nuds
dinterconnexion du trafic : ils peuvent garder une trace des
adresses IP, voir intercepter le contenu des changes
Les FAI ont l'obligation de garder pendant un an les traces
des connexions Internet (dcret 2006-358 du 24 mars 2006),
pour les besoins de la justice
Des solutions d'anonymisation (par exemple Tor , proxy
danonymisation) : prsente ses propres dangers (un point
de passage qui peut vous espionner !)

87

Surfer Effacer ses traces locales


Sous Firefox : menu Outils
lhistorique rcent

Supprimer

Pour effacer systmatiquement : menu Outils Options,


partie Vie prive, choisir comme rgle de conservation
Utiliser les paramtres personnaliss pour
lhistorique et cocher Vider lhistorique
lors de la fermeture de Firefox

Surfer Mode priv et traces locales


Des navigateurs ont une fonction de navigation en mode
priv
Pas dhistorique de navigation
Pas dhistorique des tlchargements
Pas de cookie enregistr
Pas dhistorique des formulaires
Plus de trace locale, mais vous laissez toujours une trace
sur Internet
Sous Firefox, menu Outils
navigation prive

Commencer la

Surfer Proxy danonymisation


Un mandataire (proxy) agit votre place
Pour le web : il demande la page web votre place, le site
distant ne voit que le mandataire
Il existe des proxy ouverts et gratuits/payants
Pouvez-vous avoir confiance ?

Je veux la page daccueil de


www.monjournal.com

Je veux la page daccueil

Voici la page web

Voici la page web

Proxy

www.monjournal.com

VPN Anonyme
Un VPN (Virtual Private Network) tablit un liaison (tunnel) entre
votre PC et un autre rseau
Le tunnel est peut-tre chiffr (protection de la confidentialit)
Vous obtenez une nouvelle adresse IP sur ce rseau
Pour aller ensuite sur Internet, tout transite par le tunnel, et
semble ensuite provenir de cette nouvelle adresse IP
Des socits, localises parfois dans des pays exotiques, vendent
des accs VPN, utiliss pour se protger des gendarmes
dInternet
Comme si vous mettiez une lettre dans une lettre :
Vous voulez expdier une lettre
Vous la mettez dans une enveloppe avec ladresse du destinataire final
Vous mettez la premire enveloppe dans une deuxime, avec ladresse
dun complice
Le complice ouvre la premire enveloppe et re-expdie lenveloppe
interne

VPN anonyme (2)


Vous tes cach ; enfin, peut-tre :
Quelles traces garde le complice ?
Est-ce quil ouvre lenveloppe intrieure ?

VPN : schma
Socit XYZ
Vend un accs VPN
Internet
Tunnel VPN
Adresse IP
vendue : 5.6.7.8

Adresse IP 1.2.3.4

Serveur web ou
site tlchargement musique

La connexion vers le serveur sur Internet passe par


le tunnel, et le serveur voit arriver ladresse IP 5.6.7.8

Surfer Protection des mineurs


Principe technique : bloquer des sites, soit parce qu'ils sont connus pour
leur contenu pornographique, haineux, etc. soit en fonction de mots cls
Liste blanche : on nautorise que certains sites, tout le reste est
bloqu
Liste noire : on bloque certains sites, tout le reste est autoris
Tous les FAI franais fournissent un contrle parental gratuit
http://www.e-enfance.org/enfant-internet.php?page=3
Autres logiciels :
K9 Gratuit http://www1.k9webprotection.com/
Payants : Optenet, Parental Filter 2, ...
Dautres outils permettent de limiter laccs certaines heures,
dempcher la transmission dinformation personnelles 4
94

Surfer Protection des mineurs (2)


Difficile de bloquer 100% des contenus
Multiplicit des canaux : sites webs, P2P, messagerie
instantane, newsgroups
L'ducation plus que l'interdiction ?
https://www.internet-mineurs.gouv.fr/
http://www.mineurs.fr
http://www.commentcamarche.net/download/controle-parental-94

95

Surfer Payer sur Internet


Rputation du site visit, confiance : un lment important
Complexit du droit international : en cas de litige, il sera
beaucoup plus facile de faire intervenir la loi si l'entreprise
est franaise
HTTPS : ncessaire, avec ses limites
Bas sur des certificats
Vrifie lidentit du site ; mais on peut facilement crer un certificat, ou
en acheter un (ne prouve pas lhonntet du site !)
Cre un canal scuris du poste au serveur (on ne peut pas
couter la conversation)
Ce nest pas parce que la connexion est scurise quon ne risque
rien. Le plus grand risque est de se sentir compltement en scurit
alors quon ne lest pas
96

Surfer Payer sur Internet (2)


Payer avec une carte bleue temporaire et virtuelle :
Exemple : e-cartebleue de Visa (disponible la Banque Populaire,
Caisse dpargne, 4)
Problme si on a besoin de la mme carte plusieurs fois ou
physiquement (ex. la SNCF, pour retirer le dossier)
Refus par certains sites

Payer avec une carte pr-paye dun montant limit :


NeoSurf (disponible chez les buralistes)
Avec un porte-monnaie virtuel (MyNeoSurf) : peu de site les
accepte en gnral
Par virement bancaire : gratuit ou payant selon votre banque
Remise contre-remboursement
97

Surfer Payer sur Internet (3)


Paiement par tiers de confiance : ne pas donner son numro de CB au
marchand
Paypal (le plus connu, appartient eBay), Paybox
Offre parfois une garantie en cas de non livraison du produit
Limite : pas standard , mais fiable. Plutt adapt pour des petits
sites, pour faire des dons ?
Internet+ :
Si votre FAI est compatible : Alice, Free, Orange, SFR
Si le site marchand laccepte
Votre achat est dbit sur votre facture Internet
Buyster par Orange, Bouygues, SFR :
Si le site marchand laccepte
Associe votre CB a votre tlphone portable
98

Surfer Payer sur Internet (4)


Que dit le droit ?
2 clics : un pour la commande, un pour confirmer
Le site doit accuser rception de la commande
Dlai de rtractation : 7 jours francs
Obligation de rsultat, et commande excute sous 30
jours
En cas de litige :
Mieux vaut que le site marchand soit en France
Faire valoir ses droits rapidement, par lettre
recommande
http://www.payerenligne.com

99

Plan
Avant-propos
Qu'est-ce que Internet ?
Internet et droit
Les logiciels malveillants
Le courrier lectronique
Le web
Autres usages (P2P, jeux, rseaux sociaux, 4)

100

Les rseaux sociaux


Les sites de rseaux sociaux (Facebook : 500 millions
de compte revendiqus) permettent de communiquer, de
crer des liens
Qui est en face ? Quelles informations relles donner ?
Comment avoir confiance dans la sret du site : est-ce qu'il
peut se faire voler vos donnes prives ?
Comment avoir confiance dans les pratiques du site :
vend-il des informations sur vous ? Avez-vous lu les
conditions d'utilisation ? Comment peut-on supprimer les
donnes personnelles rcoltes ?

101

Messagerie instantane
MSN / Windows Live Messenger, Google talk, AIM, ICQ,
Yahoo! Messenger
A la base : communication sous forme textuelle,
instantane (chat)
Maintenant : avec webcam, change de fichiers
Utilis pour des attaques de phishing, des vols didentifiant,
crer des rencontres, ou par des virus ddis
Des outils spciaux pour effacer ces virus
Exemple : http://www.viruskeeper.com/fr/clean_virus_msn.htm

Outils de vrification MSN : MSN Checker Sniffer (moyen)

Les mondes virtuels


Archtypes : Second Life, WoW
De l'argent virtuel, des possessions (objets, territoires)
virtuelles
Mais qui se convertissent en argent rel
Des virus / logiciels, ou des armes de jeunes recruts
pour cumer ces territoires ...

103

Surfer Le pair--pair
Peer-to-peer, P2P
Principe : communication directe d'internaute internaute,
sans passer par un serveur
Invent pour changer, partager des fichiers
Exemples : Kazaa, emule, edonkey

Systme P2P sans serveur central

Systme avec serveur central


104

Surfer Le pair--pair (2)


Les changes de fichiers sont soumis la lgislation
Le contenu n'est jamais garanti : un logiciel pirat propos
au tlchargement peut cacher un Troyen !
A l'universit : la charte d'usage des rseaux rserve en
priorit l'usage l'ducation et la recherche

105

Sites utiles
Droit et Internet :
http://www.alain-bensoussan.com/
http://www.legalis.net/
http://www.cnil.fr/
http://www.irccyn.ec-nantes.fr/~magnin/publications/sreti/SRETI_Droit.pdf
http://www.droitsurinternet.ca/ (Qubecois)
http://support.microsoft.com/gp/lifecycle : Politique de Support Microsoft
http://www.microsoft.com/security ou http://www.microsoft.com/france/securite/ : le
portail de la scurit chez Microsoft
http://www.foruminternet.org/ : des conseils et du droit
http://www.protegetonordi.com : pour les enfants, par les pouvoirs publics et Microsoft
http://www.securite-informatique.gouv.fr/ : portail de la scurit informatique du
gouvernement
106

Quelques rfrences
Rue89, Ces rumeurs islamophobes grossires qui polluent
le Net http://www.rue89.com/le-demonterumeur/2010/03/05/ces-rumeurs-islamophobes-grossieresqui-polluent-le-net-141472
Statistiques dusage des navigateurs :
http://gs.statcounter.com/

107