Académique Documents
Professionnel Documents
Culture Documents
CYBERSÉCURITÉ
Alain Corpel
Enseignant en Cybersécurité à l’Université de Technologie de Troyes
Expert judiciaire près des tribunaux
Sommaire
INTRODUCTION
É É
CHAPITRE 6 : LA SÉCURITÉ MOBILE
»Données mobiles : un système de
surveillance dans votre poche ?
»Distribution et vérification des
applications mobiles
»Gestion des droits des applications
»Élévation des privilèges
»Chiffrement et Effacement
»Sauvegarde, extraction des données
»Comment se protéger ?
CHAPITRE 7 : IDENTITÉ ET PROFILAGE
NUMÉRIQUE
»Identité numérique
»Collecte de données en ligne
»Traqueurs, Cookies, Pixel espion
»Personnalisation et sur-personnalisation
CHAPITRE 8 : LES NOUVELLES
TECHNOLOGIES
»Du Big Data à Big Brother
»Informatique en nuage
»Objets connectés et Internet des objets
»La Blockchain : une panacée ?
»Du web référencé au dark web
»Les drones
CHAPITRE 9 : LA CYBERSÉCURITÉ EN
ENTREPRISE
»Cybersécurité et gestion du risque
»Charte informatique
»Sensibiliser
»Auditer un système d’information
»Métiers de la cybersécurité
»Acteurs publics
»Règlement général sur la protection des
données
»Appareils personnels
CONCLUSION
Introduction
Notre société s’est peu à peu digitalisée, permettant ainsi une
nouvelle étape dans son histoire : la révolution du numérique. L’essor
des technologies digitales, aussi connues sous le nom de
technologies de l’information et de la communication, est apparu
dans les années 1960 avec Internet et a su séduire en quelques
décennies un très large public. Nous dénombrons aujourd’hui plus de
30 milliards d’appareils connectés à Internet et les estimations nous
indiquent une augmentation de 50 milliards d’ici 2025. Chaque jour,
plus de 2,5 quintillions d’octets de données sont générés sur support
digital.
La négligence humaine est l’une des failles les plus critiques, par la
non-compréhension des règles de sécurité, un manque de formation
ou le non-respect des bonnes pratiques de sécurité dans l’entreprise.
Nombre d’exemples viennent illustrer les menaces qui s’appliquent
tant à l’échelle des citoyens que des entreprises, ou même des États.
En mai 2014, la célèbre entreprise de courtage en ligne eBay a
annoncé être victime d’une cyberattaque. Les attaquants se sont
introduits dans le réseau interne d’eBay en subtilisant les identifiants
et les mots de passe de quelques employés, générant une fuite des
données des utilisateurs. A priori, aucune donnée financière n’a été
volée mais l’entreprise a perdu la confiance de ses utilisateurs, ce qui
a fortement diminué l’activité sur la plateforme les jours et les
semaines qui ont suivi l’affaire. Sous l’effet de l’annonce, l'action eBay
(NASDAQ) aurait perdu jusqu'à 3,2 %.
Ce que nous
savons
Ce que nous avons
Ce que nous
sommes
Les trois facteurs de l’authentification
Pour renforcer la sécurité, un service digital peut demander plusieurs
preuves d’identité avant d’authentifier la personne, nous parlons alors
d’une authentification multifacteur ou authentification forte.
Dans ce cas, l’individu doit proposer au moins deux preuves de son
identité. Par exemple, vous devrez fournir un mot de passe (un savoir)
et en complément renseigner un code unique qui vous sera envoyé
sur votre téléphone portable (objet en votre possession). Les accès à
des données particulièrement sensibles, telles qu’un dossier médical
ou judiciaire, peuvent nécessiter l’usage d’une carte à puce
personnelle en plus d’un simple mot de passe. Une clé USB sécurisée
peut être utilisée pour ajouter un facteur d’authentification
supplémentaire à vos comptes en lignes.
Les utilisateurs plus prudents savent qu’il faut éviter d’utiliser des
mots du dictionnaire pour se sécuriser et que l’utilisation de symboles
spéciaux augmente leur sécurité. Souvent, de tels utilisateurs
choisissent un mot de passe simple qui est ensuite transformé tout
en permettant une correspondance visuelle. Par exemple, au lieu
d’utiliser « password », « hacker », l’utilisateur choisira « P@55w0rd »,
« H4CK3R ». De telles transformations logiques portent le nom de
langage Leet (langage de l'élite) et sont aussi connues par les
attaquants.
Si nous nous intéressons aux codes
1 __2__3 de verrouillage des smartphones,
4__5__6 peu d’utilisateurs optent pour un vrai
7__8__9 mot de passe et la majorité privilégie
* __0__# un code à 4 ou 6 chiffres. Les codes
Un clavier digital les plus utilisés sont le « 1234 », le
« 0000 » et le « 1111 ». On observe aussi des répétitions de mêmes
chiffres tels que « 5555 » ou « 3434 » et les suites de chiffres du clavier
digital : « 2580 » ou « 1472 ».
Votre passion n’est pas non plus un meilleur choix pour constituer un
mot de passe. Si votre collection de dauphins se trouve sur votre
bureau, l’attaquant essaiera « dauphin » pour accéder à votre
ordinateur. Votre équipe sportive préférée sera également dans le
haut de la liste des mots de passe à essayer.
Vous pouvez garder cette clé de substitution sur vous et l’utiliser pour
retrouver vos mots de passe issus de mots simples comme
« Ordinateur ». Puisque cette technique rend votre mot de passe plus
aléatoire, une attaque dictionnaire ne portera pas ses fruits et si
votre mot de passe est assez long, une attaque par force brute sera
très coûteuse.
»L’HAMEÇONNAGE
L’hameçonnage ou phishing en anglais est une technique qui
consiste à tromper l’utilisateur en prétendant être une entité digne de
confiance. Tout ceci se fait dans le but de récupérer l’accès à des
données sensibles sans éveiller la suspicion de l’utilisateur. Du côté de
la victime, le processus commence souvent par la réception d’un
courriel qui semble provenir d’une banque, d’un fournisseur d’énergie,
d’une administration publique, d’un fournisseur d’accès Internet ou de
toute autre entité de confiance. Un tel courriel contiendra
systématiquement un lien (que l’on dénomme hyperlien ou lien
hypertexte) qui mènera soit à une pièce jointe, soit à une page web
semblable à la page officielle du service. Il vous sera alors demandé
de renseigner vos données personnelles ou sensibles telles que vos
codes d’accès (identifiant et mot de passe), les données inscrites sur
votre carte de crédit ou toute autre information.
Une demande similaire peut prétendre que vous avez gagné lors d’un
jeu en ligne ou d’un tirage au sort. Dans ce cas, les coordonnées
bancaires sont cette fois-ci nécessaires pour récupérer vos gains
monétaires. Dans une autre variante, on vous demande de payer une
taxe ou de commander quelque chose afin de recevoir un cadeau :
smartphone, voiture ou tout autre objet de valeur. Ce sont encore
des arnaques visant à récupérer vos coordonnées bancaires en
exploitant une faille humaine des plus simples – la crédulité.
Il est important de garder une vigilance sur les URLs intégrées dans
les courriels. Ce texte cliquable connu sous le nom de lien hypertexte
est représenté dans un courriel souligné et souvent en couleur. En
cliquant dessus, vous serez redirigé vers une page web désignée par
l’URL qui lui est associée. En passant le curseur de la souris sur ce lien,
vous pourrez voir l’URL associée à côté du curseur ou en bas de
l'écran. Ceci vous permet de vérifier le lien avant de cliquer. Si le lien
comporte des erreurs, ne ressemble pas aux liens habituels venant de
l’entreprise ou contient la donnée « data : text/html », ne cliquez pas
dessus.
Utiliser un seul mot de passe est d'autant plus dangereux que les
utilisateurs ont l’habitude, quelquefois l’obligation même, de créer un
compte en ligne pour le moindre service. En créant un compte,
l’utilisateur peut fournir ses accès aux acteurs malveillants sans
même s’en rendre compte. Une technique malveillante appelée
l’empoisonnement des moteurs de recherche ou search poisoning
consiste à créer un site web qui propose un contenu attractif pour les
utilisateurs et le rendre visible sur les moteurs de recherche. Un tel site
saura artificiellement gagner de l’importance et pourra remonter
dans les premières positions lors d’une recherche Google. Ce type de
sites va, par exemple, proposer de télécharger des livres ou des
logiciels gratuitement, de consulter un film en streaming en échange
de la création d’un compte. Souvent, le service sera rendu ce qui
masquera les intentions malveillantes des créateurs : l’utilisateur
partira satisfait et sans soupçon.
Faites attention aux sites qui vous proposent des logiciels et plus
particulièrement des antivirus gratuits. Vous risquez non seulement
de leur fournir votre mot de passe en créant le compte, mais en plus
de télécharger un logiciel malveillant. Nombre de jeux vidéo payants
sont disponibles gratuitement sur certains serveurs ou kiosques
d’applications. Ceux-ci sont bien souvent infectés. Il est donc
conseillé de vérifier la qualité de l’éditeur du logiciel que vous
téléchargez pour vous assurer de son caractère légitime.
Un vieil appareil qui n’est plus utilisé peut créer un axe d’attaque.
Avant de rendre, prêter ou jeter un appareil, il est impératif de le
réinitialiser pour supprimer tous vos accès ainsi que vos données
sensibles. Sans cette précaution, un acteur malveillant peut s'en
emparer. Si vous utilisez vous-même un appareil prêté ou un
ordinateur public, ne sauvegardez pas vos accès et déconnectez-
vous de tous vos comptes avant de quitter la session.
Logiciels malveillants
et espions
Les logiciels malveillants peuvent prendre de multiples formes.
Certains virus peuvent être téléchargés par l’utilisateur sans qu’il s’en
rende compte, par exemple lors du téléchargement d’un logiciel, de
l’ouverture d’un fichier, ou simplement en naviguant sur Internet. Ils
sont capables de se répliquer de fichier en fichier et ainsi d’infecter
votre ordinateur. D’autres sont capables de se propager de machine
en machine, en exploitant différentes stratégies de propagation et
vulnérabilités des systèmes. Certains sont capables de chiffrer les
données se trouvant sur votre disque dur, les rendant ainsi illisibles.
Enfin, quelques-uns peuvent être pilotés à distance pour leur mise en
action conjointe sur des attaques massives visant des industries, des
grands groupes ou même des États. La virologie informatique, par
analogie à la médecine, fait référence à l’étude de l’ensemble des
logiciels malveillants existant dans la nature digitale. Nous en
dressons un aperçu illustré d’exemples dans ce chapitre.
»LES VIRUS
Un virus informatique est un logiciel malveillant chargé en mémoire
sur l'ordinateur d'un utilisateur à l'insu de celui-ci et qui exécute des
actions malveillantes. Un virus, par analogie à la biologie, peut
s'auto-répliquer, en s'insérant dans d'autres programmes ou fichiers
qui deviennent ainsi infectés. La transmission de l’infection de
machine en machine peut se faire lors du partage de fichiers. Le virus
exploite alors un programme hôte pour pouvoir s'exécuter. Il est
important de noter que le virus a pour unique but de nuire au
fonctionnement de la machine hôte, il a un usage purement
destructif. Parmi les moyens de diffusion, un grand nombre de virus
sont diffusés par les canaux de messagerie, des clés USB, des
logiciels téléchargés illégalement ou des sites Internet infectés.
Notons qu’il n’est pas rare de trouver des clés USB infectées en
cadeau dans les boîtes aux lettres ou simplement jetées sur le
parking d’une grande entreprise dans l’attente qu’un employé la
récupère et la connecte au système de l’entreprise. De cette manière,
le virus peut directement attaquer le système d’information de
l’entreprise même si celui-ci n’est pas connecté à Internet. La
diffusion de clés USB comme cadeaux lors de forums ou salons est à
prendre avec beaucoup de vigilance.
»LES VERS
Un ver, contrairement à un virus informatique, n'a pas besoin de
programme hôte pour se répliquer. Celui-ci exploite les différentes
ressources de l'ordinateur qui l'héberge pour assurer sa reproduction.
Les vers informatiques utilisent le réseau pour envoyer des copies
d’eux-mêmes à d’autres ordinateurs. Généralement, ils utilisent une
faille de sécurité pour se répliquer de système en système de manière
automatique, sans intervention de l’utilisateur. Ils peuvent se
propager très rapidement à travers un réseau et infecter les
machines sur leur chemin. Il peut être difficile de les détecter car ils
ne se copient pas forcément sur le disque dur de leurs victimes et
peuvent se contenter de rester en mémoire vive.
»LES RANÇONGICIELS
Les rançongiciels se propagent, la plupart du temps, via une pièce
jointe associée à un courriel. Quand le rançongiciel est activé, il
commence à chiffrer vos données de manière à les rendre
inintelligibles. Le pirate demande ensuite une rançon en contrepartie
de la procédure permettant de déchiffrer les données. Dans le cas où
la personne ne payerait pas dans les délais escomptés, le
rançongiciel est capable d’augmenter le tarif nécessaire à la
récupération des données voire même de supprimer les données
définitivement.
»LES PUBLICIELS
Un publiciel ou adware en anglais est un logiciel qui affiche de
manière intempestive de la publicité aux utilisateurs. Il n’est pas
forcément malveillant et peut proposer un service utile tout en
générant des revenus grâce à la publicité. Les utilisateurs
téléchargent souvent eux-mêmes des jeux contenant un publiciel et
acceptent la publicité en échange de la gratuité. Un grand nombre
d’applications mobiles intègrent des publiciels, c’est leur modèle de
revenu.
Un adware installé à l’insu de l’utilisateur sur son appareil peut être
gênant car l’affichage des publicités va perturber l’usage normal de
la machine. Un publiciel peut infecter un système ou un navigateur
pour ensuite ouvrir des fenêtres à tout instant. Quelquefois, un
logiciel espion peut être intégré dans le publiciel pour analyser le
comportement utilisateur.
»LES BOTNETS
Le terme de Botnet est issu de la contraction des deux mots anglais
Bot et Network qui signifie littéralement « réseau composé de
robots ». Ces robots peuvent être contrôlés à distance par des
pirates. Les machines infectées appartenant à un botnet sont
appelées « zombies ». C’est l’effet de masse qui est recherché par les
pirates afin de mener des attaques coordonnées de grande
envergure et nécessitant un maximum de ressources. Par exemple,
les attaques DDoS sont une extension des attaques par déni de
service (DoS) qui exploitent un ensemble de machines pour rendre le
service de la victime indisponible. Il peut par exemple s’agir de créer
simultanément un nombre gigantesque de requêtes à un même
service afin de surcharger les ressources de ce dernier et nuire à son
usage normal.
Tout n’est pas clair sur la manière dont le ver a été introduit dans le
système. Selon une des théories, l’infection de la centrale de Natanz
en Iran a été réalisée via une clé USB par le biais d’un espion. En
effet, le site n’est pas connecté à Internet, rendant impossibles les
accès distants. Le ver s’est ensuite propagé dans le réseau local.
Environ 30 000 systèmes industriels iraniens ont été identifiés comme
infectés par Stuxnet depuis le 25 septembre 2010. Il est estimé
qu’environ 1 000 centrifugeuses sur les 5 000 de Natanz ont été
endommagées.
»L’ENCODAGE
L’encodage consiste à transformer un message initial en un autre
suivant un procédé spécifique. L’encodage, même s’il transforme le
message d'origine, n’a pas pour objectif de le cacher, contrairement
au chiffrement. Il s’appuie sur un algorithme connu qui permet de
transmettre le message sous une autre forme.
Pour être lue et traitée sur un ordinateur, toute donnée est encodée
dans le système binaire par une suite de bits qui peuvent prendre
deux valeurs possibles : zéro et un. Ainsi, chaque chiffre, lettre et
symbole est représenté par une suite de 0 et de 1. Le langage binaire
et les transformations binaires sont indispensables pour tout
stockage et traitement d’informations par un appareil numérique. Il
est par contre difficilement lisible par un humain. Le code ASCII
(code américain normalisé pour l'échange d'informations) permet de
traduire les symboles de l’alphabet en valeur binaire. Par exemple le
« A » est représenté par « 1000001 », le « B » est représenté par
« 1000010 » et ainsi de suite. Ce standard a été internationalisé par
les normes ISO et Unicode afin de représenter d’autres caractères
provenant d’autres alphabets.
Un tel chiffrement est très simple car le nombre de clés est limité. Il
suffit d’essayer tous les décalages pour rapidement retrouver le
message qui a du sens. Sa version plus complexe est appelée le
chiffre de Vigenère, où le décalage de chaque lettre du texte
d’origine change en fonction d’un mot-clé. Les lettres de la clé de
chiffrement définissent le décalage par rapport à l'emplacement de
cette lettre dans l’alphabet. Il est intéressant de mentionner que si la
longueur de la clé de chiffrement est égale à la longueur du message
et que la clé de chiffrement est aléatoire, le message chiffré est
considéré comme théoriquement indéchiffrable. Ce type de chiffre
dénommé chiffre à masque jetable est complexe à mettre en place
car une clé longue doit être échangée par les parties avant chaque
message.
La gestion des mots de passe d’un service se base sur les fonctions
de hachage. Au lieu de stocker les mots de passe en clair dans les
bases de données, les services vont stocker uniquement leurs
empreintes. Quand un utilisateur se connecte avec son mot de passe
sur le service, ce n’est pas le mot de passe mais son empreinte qui
est communiquée au service en question afin de vérifier si celui-ci
correspond à celui sauvegardé dans la base. De ce fait, si la base de
données est compromise ou volée, l’attaquant obtiendra seulement
les empreintes des mots de passe et non les accès directs. Là encore,
c'est une question d'intégrité : le service a uniquement besoin de
s’assurer que les données (les mots de passe) sont les mêmes sans
forcément connaître leur valeur.
motdepasse 967520ae23e8ee14888bae72809031b98398ae4a636773e18fff917d77679334
motdep@sse! e7fae2a0d8922227742fe9f356c7e5e7d712ff95a0a7046f6ae73f2c01bdd69e
mot 01459f1a01f08e6e86474d76f4240d2089cfe4f1bd30be9eb8f88247d7b54015
»LA STÉGANOGRAPHIE
Imaginez-vous tenter de dissimuler un message dans un autre
message qui pourrait être visible de tous. Un exemple des plus
connus dans la littérature sont les échanges entre George Sand,
romancière, dramaturge, épistolière, et le poète et dramaturge Alfred
de Musset. Dans leurs échanges, la lecture d’une phrase sur deux ou
simplement du premier mot de chaque ligne permet de déceler un
À
message dissimulé dans leurs missives. À l’ère du digital, il existe une
multitude de solutions semblables d’art de la dissimulation qui est
nommée la stéganographie.
»LE RÉSEAU
Un réseau informatique est un ensemble d’ordinateurs et
d’appareils informatiques reliés entre eux. Des ordinateurs reliés en
réseau peuvent échanger des données, accéder à des ressources
identiques ainsi que bénéficier de services, comme, par exemple, se
connecter à une imprimante appartenant au réseau. La connexion à
un réseau peut être effectuée avec ou sans fil. Les ordinateurs
peuvent être interconnectés directement comme pour le réseau pair
à pair ou via un intermédiaire tel que le réseau client-serveur. Un
réseau peut être dit local (Local Area Network ou LAN), tel qu’un
réseau d’entreprise, ou bien étendu (Wide Area Network ou WAN),
comme le réseau Internet.
Chaque appareil connecté en réseau est identifié de manière
permanente ou provisoire par un identifiant appelé son adresse IP
(protocole Internet). L'adresse IP dans sa version 4 dénommée IPv4
est formée de quatre chiffres séparés par des points (exemple
192.168.0.1). Notons qu’il existe une version 6 qui est plus longue (IPv6).
Ces adresses permettent de délivrer de l’information à un appareil
spécifique dans le réseau. Tout comme les adresses postales, les
adresses IP doivent être uniques dans un réseau.
Pour vérifier que le site Internet que vous consultez est bien en
HTTPS, il vous suffit de regarder la barre d’adresse de votre
navigateur. Une connexion sécurisée est signalée par un cadenas
vert se trouvant à gauche du HTTPS. Une connexion non sécurisée à
un site soupçonné dangereux est souvent bloquée et indiquée en
rouge dans votre navigateur.
Les pirates peuvent utiliser des serveurs Proxy afin de ne pas être
localisés et pour poursuivre une attaque. Au lieu de se connecter à
un seul serveur mandataire, l'attaquant peut établir une liste de
serveurs de ce type pour pouvoir les changer fréquemment. Le site
ne voit que les connexions provenant des serveurs Proxy, il est alors
difficile de remonter à la source.
Les VPN SSL sont des VPN utilisant les navigateurs Internet et qui
s'appuient sur le HTTPS (SSL/TLS). Ils sont beaucoup plus faciles à
déployer et à utiliser. Ils sont la plupart du temps utilisés pour
connecter un équipement nomade (ordinateur portable, tablette,
smartphone) au système d’information de l’entreprise. Le logiciel libre
permettant de créer un VPN nommé OpenVPN se base sur SSL.
Attention, le niveau de sécurité des VPNs SSL est plus faible que les
VPNs IPsec car ils utilisent les navigateurs Internet sur lesquels des
vulnérabilités sont régulièrement découvertes.
»LE WI-FI
Le protocole de communication connu sous le nom Wi-Fi permet
d’être connecté à un réseau distant sans câble de connexion. La
portée des ondes radio dépend du matériel et du type d’antenne
utilisés ainsi que de leurs dispositions et de l'éventuelle présence
d’obstacles. L’ensemble des appareils tels que tablettes, ordinateurs
et imprimantes peuvent utiliser le Wi-Fi pour échanger des données.
Quels sont les risques liés à un réseau Wi-Fi et comment s’en
protéger ?
»LE RFID/NFC
Les technologies RFID (Radio Frequency Identification) et NFC (Near
Field Communication) sont de plus en plus présentes dans notre vie
quotidienne. Celles-ci permettent d’échanger des données sans
contact physique, par le biais d’ondes radio. Nous la trouvons dans
les badges de contrôle d’accès, la carte Navigo, les paiements sans
contact, le démarrage d’un véhicule.
»LE BLUETOOTH
Les technologies Bluetooth et Bluetooth à basse consommation
(BLE introduite en 2010) sont des technologies largement utilisées de
nos jours par un grand nombre d’objets : smartphones, manettes de
jeux, claviers, souris, enceintes, casques, automobiles. Comme pour le
Wi-Fi, la perte de confinement nous expose à un certain nombre de
problèmes de sécurité. Les données transitant entre deux
équipements peuvent être interceptées, analysées et/ou rejouées.
Même si la portée du Bluetooth est relativement faible (dans la
plupart des cas, de quelques mètres à 10 ou 20 mètres), il est
possible, comme pour le RFID/NFC, d’augmenter la portée via des
équipements spécifiques pour pouvoir faire des attaques à plus
longues portées.
Les identifiants de votre appareil, son nom, les captures d'écran et les
écrans actifs, les statistiques d’usage, et les paramètres font partie
des données présentes. Selon les applications installées, nous
trouvons des données liées à la santé et à la nutrition, des données
de réseaux sociaux, des documents divers sur le stockage interne et
externe, des informations sur les comptes que vous utilisez. La liste
des applications installées sur votre smartphone peut déjà révéler
nombre d’informations sur vous : le genre, l'âge, les intérêts, la
banque, etc.
Une application obtenant de tels accès peut, à votre insu, capter vos
paroles et prendre des photos quand bien même votre téléphone
resterait dans votre poche car la permission n’est pas limitée par un
usage particulier. Certaines applications affichent clairement leur
usage du microphone dans le but unique de connaître les
programmes que vous regardez à la télévision. Pour cela, elle active
le microphone du téléphone, puis transmet les données à des
professionnels du traitement de signal et du marketing. Ces derniers
sont capables de connaître les publicités et les programmes TV que
vous consultez.
Sur les appareils non modifiés, les applications n’ayant pas accès à
certains droits peuvent demander le service à une autre application
qui en a. Par exemple, une application qui n’a pas accès à Internet
peut demander au navigateur de télécharger un fichier comportant
une faille de sécurité à sa place. Ce type d’attaque est souvent
appelé l’agent confus. C’est une méthode fréquemment utilisée
pour débrider un iPhone. Sur Android, le partage de fonctionnalité
est courant entre les applications, ce qui rend cette attaque encore
plus probable, surtout si les applications ne vérifient pas les données
qui entrent et renvoient les données à la demande.
»CHIFFREMENT ET EFFACEMENT
Si votre appareil est perdu et se retrouve dans les mains d’un tiers, il
est possible que celui-ci accède aux données de votre smartphone.
Un smartphone non protégé par un code de verrouillage est
totalement accessible à l’extraction de données par une personne
ayant un accès physique à votre appareil. Il est donc impératif pour
la sécurité de votre téléphone de le verrouiller par un code, un mot
de passe, une empreinte digitale ou une reconnaissance faciale. Cela
évite qu’une personne de passage puisse accéder à votre
smartphone, et protège ainsi vos données en cas de perte ou de vol.
Notons que le chiffrement des données mis en place sur les appareils
est également basé sur le code de déverrouillage.
Toutes les données qui se trouvent sur un appareil iOS sont chiffrées
en utilisant l’algorithme AES-256 considéré comme le plus robuste
actuellement. Chaque fichier est chiffré avec une clé de chiffrement
auto-générée. Ces clés uniques font partie du mécanisme appelé le
« stockage effaçable » qui permet à l’utilisateur d’effacer toutes les
données de l’appareil rapidement soit en utilisant la fonction
d'effacement dans les paramètres, soit en demandant un
effacement à distance. L’effacement à distance peut être activé via
l’espace iCloud de l’utilisateur, ou via un système de gestion des
appareils mobiles dans les cas de l’appareil d’un employé. La
demande d’effacement n’efface pas toutes les données disponibles
sur l’appareil mais seulement les clés de chiffrement associées aux
fichiers. Les données restent donc présentes sur l’appareil mais
deviennent complètement illisibles. Étant donné que les clés de
chiffrement sont auto-générées, longues et différentes pour chaque
fichier, les attaques qui pourraient permettre de retrouver les clés a
posteriori sont inefficaces. Les données d’origine ne peuvent plus être
récupérées suite à l’effacement, il est donc impératif d’effectuer une
sauvegarde. Dans le cas d’une enquête judiciaire, les forces de l’ordre
prévoient une pochette de type cage de Faraday, qui empêche les
smartphones saisis de recevoir une demande d’effacement à
distance.
L’effacement à distance ainsi que la localisation de l’appareil peuvent
être activés sur Android. Pour cela, les utilisateurs doivent activer
l’application Localiser mon appareil après avoir connecté celui-ci à leur
compte Google. Si cette application n’est pas disponible, elle peut
être téléchargée sur Google Play. Les utilisateurs peuvent activer les
deux fonctionnalités (localisation et suppression) dans les paramètres
de sécurité s’ils le souhaitent. Ensuite, si le smartphone est connecté
au réseau Wi-Fi et que sa localisation est activée, il est possible de le
retrouver sur la carte, puis de le bloquer ou d’effacer les données à
partir du compte associé. Dans le cas où les paramètres de sécurité
ne seraient pas activés mais si l’appareil est connecté au réseau
Internet, il est possible d’activer ces fonctions à distance.
La protection des fichiers sur iOS peut être renforcée si celle-ci est
indiquée comme appartenant à une classe « protection complète »
ou « protection jusqu’à la première quantification ». Les clés de
chiffrement de tels fichiers sont chiffrées avec l'identifiant de
l’appareil et le code de verrouillage choisi par l’utilisateur. Si le fichier
appartient à une classe « protection complète », chaque fois que
l’utilisateur déverrouille l’appareil, la clé de chiffrement du fichier sera
déchiffrée, mais à chaque mise en veille de l’appareil, cette même clé
sera supprimée. Dans le cas de la « protection jusqu’à la première
quantification », la clé de chiffrement du fichier sera déchiffrée dès
que l’utilisateur déverrouille son appareil pour la première fois et
jusqu’au redémarrage de l’appareil. Pour accéder au contenu des
fichiers protégés, il faut donc connaître le code de déverrouillage
pour déchiffrer la clé qui permettra ensuite de déchiffrer le fichier.
»IDENTITÉ NUMÉRIQUE
L’identité numérique est aujourd’hui caractérisée par l’ensemble des
traces digitales laissées par un même et unique individu sur l’espace
virtuel. Les activités digitales sont diverses et multiples et reflètent les
facettes variées de notre comportement en ligne. Les profils sur les
réseaux sociaux, les blogs et messages postés sur ces blogs
(Wordpress), vos sites Internet, les photos, ou bien les données publiées
sur vous par une source tierce (journaux digitaux, amis, etc.) font partie
de votre identité digitale.
Chaque page HTML possède une structure qui lui est propre et qui
respecte les standards du World Wide Web Consortium (W3C). Ainsi pour
indiquer le titre de la page, on le place entre les balises <title>Mon
titre</title>. Pour créer une liste d’items, nous utilisons la balise <li> et
ainsi de suite pour tout élément d’un site. Un grand nombre de balises
nous permettent de définir l'emplacement et le format de chaque
élément d’une page web comme, par exemple les balises <div>,
<script>, <li>, <span>, etc.
Le code HTML permet d’imbriquer les balises les unes dans les autres
similairement au ramage des branches d’un arbre. La balise principale
est <html> dans lequel on trouve <head> et <body> qui eux-mêmes
contiennent d’autres balises. Une page peut donc être représentée
sous forme d’arbre HTML ou chaque balise est positionnée à un
endroit bien précis de la hiérarchie. Certains web-scrapers s’appuient
sur cette hiérarchie pour rechercher les éléments de la structure du
fichier HTML. Les éléments d’un emplacement spécifique peuvent être
récupérés en utilisant le langage Xpath.
Les éléments similaires, comme, par exemple, les messages des réseaux
sociaux ou les produits d’un site d’e-commerce sont représentés de
manière similaire dans les multiples pages du service. Cela facilite la
collecte de données en masse. En prenant l'exemple de Twitter, les
messages commencent toujours par le nom du profil, puis la date se
trouve toujours au même endroit pour chaque message, ainsi que les
différentes actions associées (nombre de réponses et relais ainsi que le
nombre de « j’aime »). Un scraper paramétré correctement peut, à
l‘aide d’une requête Xpath bien formée, récupérer la même donnée sur
la page en un minimum de temps. Il est possible par exemple,
d’extraire tous les noms des profils des tweets présents sur la page.
S’il existe une logique dans les différentes URLs des pages web d’un
site, le robot peut parcourir l’ensemble des pages en suivant cette
même logique. Par exemple, si tous les produits du catalogue sont
représentés par leur identifiant dans l’URL et que les chiffres se suivent,
le robot peut parcourir tout le catalogue en testant toutes les URLs
contenant des identifiants différents. Il en est de même pour le
parcours de l’ensemble des pages de résultats d’une recherche.
Chaque API définit les règles à suivre telles que les données qu’elle
peut renvoyer et la manière dont un programme tiers peut l’interroger.
La requête suivante permet par exemple d’accéder aux tweets
mentionnant le mot-clé « cybersécurité », et étant rédigés en langue
française :
https://api.twitter.com/1.1/search/tweets.json?q=cybersécurité&lang=fr
Afin d’éviter les collectes abusives de données, les API sont limitées. La
limite de tweets renvoyés est fixée à 200 par page. Au-delà, une
nouvelle requête devra être envoyée pour récupérer les tweets suivants.
De plus, il n’est pas possible d’obtenir des tweets datant de plus de 7
jours. Aussi dans le cas de Twitter, il ne sera également pas possible
d’effectuer plus de 180 requêtes par quart d’heure (contraintes fixées
par l’usage gratuit de l’API ne s’appliquant pas aux formats premium).
La fuite de données par ce biais est un problème de sécurité
important. En effet, un programme utilisant une API va demander à
l’utilisateur des droits sur son compte et sur ses données. Les
utilisateurs qui acceptent ces droits (sans réel autre choix) peuvent
potentiellement s’exposer à des fuites de données. En règle générale, il
est recommandé de bien vérifier la liste des applications ayant accès à
vos données ainsi que les droits associés et de supprimer toute
application que vous n’utilisez pas.
Le cookie est un fichier qui est stocké sur votre disque dur par le
navigateur et qui mémorise des données propres aux différents sites
web que vous visitez. Il permet de vous reconnaître lorsque vous rendez
visite à un site Internet pour la seconde fois (retargeting) grâce à un
identifiant unique généré par le site web lors de votre première visite.
C’est aussi par l’usage des cookies qu’un site Internet peut mémoriser,
sans que vous vous y soyez connecté, les produits que vous avez
placés dans un panier virtuel, vos progrès et votre score sur un jeu en
ligne, le nombre de visites, la langue d’interface, ainsi que d’autres
paramètres.
C’est grâce aux cookies que vous pouvez vous connecter à un site web
à l’aide d’un identifiant et d’un mot de passe et ensuite naviguer sur le
site sans avoir à les renseigner pour chaque action effectuée sur ce
dernier. Nous parlons ici des cookies de session qui stockent votre
identifiant dès que la connexion avec le service est établie. Cet
identifiant attaché à chaque requête HTTP liée à l’action du site
permet de comprendre qu’il s'agit du même utilisateur. Dès que les
cookies de session sont supprimés ou ont expiré (tous les cookies ont
une date d’expiration), l’utilisateur doit à nouveau s'authentifier à
l'arrivée sur le site.
Étant donné qu’un cookie de session permet d’identifier l’utilisateur, les
attaquants peuvent voler une session en récupérant vos cookies et
ainsi s’identifier à votre place. Le vol peut être fait en accédant
directement à votre ordinateur. Les cookies sont habituellement
stockés par votre navigateur dans un simple fichier texte. En copiant ce
fichier, l’attaquant récupère vos cookies et peut donc se faire passer
pour vous. Un vol de session peut aussi avoir lieu via un site web
vulnérable où l’attaquant aura réussi à injecter un code JavaScript
malveillant. Enfin, une session peut être volée à travers un réseau Wi-Fi
public si la connexion avec le site web n’est pas sécurisée (HTTP au lieu
de HTTPS). Afin d’assurer votre sécurité, les cookies de session ont une
durée de vie limitée et assez courte. Pour limiter l’exploitation de votre
session en cas de vol, il est possible de configurer le navigateur web de
sorte que les cookies soient supprimés à chaque fois que le navigateur
est fermé.
La rémunération par les publicités est aussi possible grâce aux cookies.
Les marchands peuvent être rémunérés au nombre de clics sur la
publicité ou à l'action effectuée suite à ce clic. Grâce aux cookies, le
fournisseur de publicité peut comprendre que le clic sur la publicité a
bien engendré une action faite par le même utilisateur (par exemple
l’achat) étant donné que le même cookie est associé aux deux actions.
Il est possible de détecter les fraudes ou un même utilisateur cliquant
de manière répétitive sur la publicité en essayant d'épuiser le solde
alloué à cette publicité.
Par respect pour votre vie privée, les sites Internet ont désormais
l’obligation de vous prévenir lorsqu’ils souhaitent utiliser des cookies.
Vous pouvez alors paramétrer vos options pour autoriser ou non cet
usage. Notons qu’il est possible à tout moment de supprimer les
cookies de votre ordinateur.
URL d’origine :
https://librairie.studyrama.com/produit/3707/9782749536316/Le Cahier
de vacances pour les ecoles de commerce
URL courte :
https://bit.ly/2La0hAJ
La liste des plugins installés sur votre navigateur peut être obtenue en
exploitant les possibilités de JavaScript. Cette liste une fois combinée
avec les autres attributs tels que la langue, le système d'exploitation, le
fuseau horaire et bien d’autres, pourront permettre la création de la
signature ou empreinte digitale de navigateur. Il est difficile de lutter
contre ce type de pratiques car l’obtention des éléments de la
signature peut être effectuée de manière tout à fait légitime. Vous
pouvez tester l'unicité de votre empreinte en utilisant des services
dédiés à cet effet. Il est toutefois possible d’utiliser des plugins pour
tromper les sites en modifiant votre « user-agent ». Nous pouvons, par
exemple, utiliser « User-Agent Switcher » pour Chrome.
»PERSONNALISATION ET SUR-PERSONNALISATION
L’analyse de données massives sur un individu est souvent utilisée dans
le but de personnaliser une action marketing. Ceci augmente
significativement l’efficacité de la gestion de la relation client (GRC ou
CRM) et par là même, la probabilité d'amener l’utilisateur dans une
démarche d’achat. Les commerciaux qui sont déjà renseignés sur votre
identité pourront plus facilement proposer des produits qui
correspondent à votre situation et trouver des points d’accroche par
rapport à vos activités ou à vos projets. Les données
comportementales d’un client lorsqu’elles sont unifiées dans une même
base marketing et sous l’ensemble de ces facettes et canaux sont
nommées « vision client 360° ».
»INFORMATIQUE EN NUAGE
L’informatique en nuage plus connu sous l’anglicisme du cloud
computing propose des services à distance et à la demande en
utilisant des infrastructures spécifiques. Le service est communément
rendu via le réseau Internet, d'où le nom cloud signifiant « nuage » en
anglais. En effet, Internet est habituellement représenté par un nuage
sur les schémas.
Les maisons, les bureaux des entreprises, les hôpitaux, les véhicules,
et même les quartiers et les villes deviennent intelligents. Les objets
connectés permettent de suivre et de modérer la consommation
d'électricité et d’eau, de suivre l’état de santé d’un patient et du
matériel pour lever une alerte. Les parcs d’attractions sont aussi
connectés et traquent le flux de personnes et les files d’attente en
temps réel. Les zoos et les parcs naturels proposent des parcours
interactifs grâce à des capteurs. Les centres commerciaux sont
devenus intelligents et suivent les clients à l’aide des lumières
connectées.
Pour pouvoir naviguer sur le dark web il faut être connecté à un des
réseaux darknet tel que Tor ou I2P. Il est possible de s’y connecter en
téléchargeant un navigateur spécifique. Même si nous parlons de
web sombre, l’utilisation de Tor n’est pas illégale. Tor peut être utilisé
comme tout autre navigateur web afin d’accéder à des sites web de
manière anonyme. Le prix à payer est une navigation un peu
plus lente.
»LES DRONES
Ces dernières années, l’engouement pour les drones, de plus en plus
performants technologiquement, n’a fait que grandir. Dorénavant,
nous les retrouvons dans de nombreux secteurs : agriculture, armée,
loisirs, télévision, livraison, sauvetage, forces de l’ordre, immobilier.
Mais comme toute nouvelle technologie, derrière un côté clair se
cache un côté obscur. La cybersécurité ne fait pas exception et nous
pouvons identifier quelques menaces relatives aux drones.
Tous les drones de loisirs sont soumis aux règles suivantes : ne pas
survoler des personnes, respecter les hauteurs maximales de vol (120
mètres de hauteur), ne jamais perdre de vue son appareil et ne pas
l’utiliser la nuit, ne pas faire voler son appareil au-dessus de l’espace
public en agglomération, ne pas faire voler son appareil à proximité
des terrains d’aviation, ne pas survoler de sites sensibles ou protégés :
centrales nucléaires, terrains militaires, réserves naturelles…, respecter
la vie privée des autres, en ne diffusant pas les prises de vue sans
l’accord des personnes concernées, et en n’en faisant pas une
utilisation commerciale, vérifier dans quelles conditions on est assuré
pour la pratique de cette activité. En cas de doute, tout usager
pourra se renseigner auprès de la Direction générale de l’aviation
civile (DGAC).
Les drones sont aussi une nouvelle arme pour le terrorisme. Qu’ils
soient personnels ou professionnels, ceux-ci peuvent transporter des
charges utiles allant de quelques kilos à plusieurs centaines de kilos.
Ils peuvent donc être utilisés comme vecteurs pour larguer des engins
explosifs dans des zones d’accès interdites et sur des sites sensibles.
Ils pourraient également transporter des charges et armes
biologiques ou chimiques. Certains drones sont piégés, comme cela
a été le cas en 2016 en Irak. Les terroristes pourraient également
pirater des drones militaires car ceux-ci sont pilotables à distance
par liaison radio (prise de contrôle ou modification des données
reçues par le drone).
La SSI est basée sur les 4 grands principes que sont la Disponibilité,
l’Intégrité, la Confidentialité et la Preuve (DICP). Chaque
problématique doit être résolue en étudiant quels sont les impacts
en matière de DICP.
»CHARTE INFORMATIQUE
La charte informatique que nous pouvons aussi nommer « charte
d’utilisation des moyens informatiques et outils numériques » est un
élément essentiel de la sécurité des systèmes d’information en
entreprise. Celle-ci a pour objectif de définir les règles d’utilisation
des moyens informatiques et de télécommunication par les salariés.
Elle intègre l’ensemble des obligations à respecter et doit être signée
par l’ensemble du personnel. C’est un document important car il
permet de définir les droits et les devoirs de chaque collaborateur
vis-à-vis du système d’information. Il permet de protéger ceux-ci
contre les éventuelles dérives « sécuritaires » des entreprises mais
permet également de préserver les entreprises et leurs dirigeants
contre les abus de leurs salariés. Il s’agit d’un document à
portée juridique.
»SENSIBILISER
La sensibilisation reste l’un des points les plus importants lorsque
nous abordons la cybersécurité de l’entreprise. Nous pouvons mettre
en place toutes les procédures et implémenter toutes les solutions de
sécurité, rien ne servira si l’ensemble des collaborateurs n’est pas un
minimum sensibilisé. Le maillon faible est et restera l’utilisateur.
Malheureusement, la sensibilisation n’est pas chose aisée. De plus,
elle doit être faite de manière continue. Non seulement il y a toujours
de nouveaux collaborateurs, mais ceux déjà formés ont tendance à
oublier rapidement les mesures. Aussi, les nouvelles menaces, dont la
sophistication a tendance à croître, apparaissent régulièrement.
»MÉTIERS DE LA CYBERSÉCURITÉ
La cybersécurité offre de nombreuses possibilités en matière de
métiers. Ces métiers peuvent être techniques (pentester) comme
organisationnels (responsable de la sécurité des systèmes
d’information). Sans être exhaustifs, nous allons aborder les
différentes familles de métiers relatives au pilotage, à l’organisation
et à la gestion des risques. Certaines sont associées à la gestion et
au cycle de vie des projets. D’autres liées à la production et au
maintien en conditions opérationnelles, les fonctions de support et
de gestion des incidents et celles de conseil, audit et expertise.
»ACTEURS PUBLICS
Un certain nombre d’acteurs publics et d’associations font partie de
l’écosystème de la cybersécurité. Nous présentons dans la suite
l’ANSSI, la CNIL, l’OCLCTIC, le C3N et le Clusif.
Le RGPD renforce les droits des personnes. Tout citoyen européen qui
le réclame peut bénéficier d’une visibilité sur l’usage de ses données
personnelles : droit de consulter et de rectifier ses données
personnelles, droit à l’oubli. Un point important concerne la définition
de l’expression du consentement : les utilisateurs doivent être
informés de l’usage de leurs données et doivent donner leur accord
pour la collecte et le traitement de leurs données, ou pouvoir s’y
opposer. La charge de la preuve du consentement incombe au
responsable du traitement. La matérialisation de ce consentement
doit être non ambiguë. Toute collecte de données doit être reliée à
un but d’utilisation et ne doit pas être abusive. Il est interdit d’utiliser
les données au-delà de l’objectif pour lequel le consentement a été
obtenu. De plus, le consentement de l’utilisateur est révocable.
»APPAREILS PERSONNELS
Aussi bien pour des problématiques financières que pour facilité le
travail au quotidien, certaines entreprises autorisent leurs
collaborateurs à utiliser leur smartphone personnel à des fins
professionnelles. C’est la politique PAP : Prenez vos appareils
personnels.
2
. L’utilisateur est bien souvent le maillon faible en cybersécurité. Les
acteurs malveillants s’appuient sur des utilisateurs crédules pour
mener à bien leurs actions. Dans ce contexte, soyez
particulièrement vigilants à l’ensemble de vos actions sur le digital.
Cela concerne, en particulier les sites Internet que vous visitez, les
données que vous transmettez sur ces sites, les courriels reçus et les
pièces jointes associées.
3
. Il existe une grande variété de logiciels malveillants ! Virus, vers,
cheval de Troie, rançongiciels, botnet. Pour vous protéger face à
ces menaces, vous avez trois réponses simples : antivirus, pare-feu
personnel et mises à jour régulières. La sauvegarde de vos données
est à ajouter pour se protéger contre les actions néfastes des
rançongiciels.
4
. La cryptographie est l’art du secret. Le chiffrement symétrique et
asymétrique permet d’assurer les échanges de messages de
manière sécurisée. Les fonctions de hachages permettent de
garantir l’intégrité des données. La cryptographie apporte un
élément essentiel manquant à Internet : la confiance.
5
. Les communications sans fil sont sujettes à l’écoute. Soyez très
vigilant quand les connexions Wi-Fi sont ouvertes et gratuites. Vous
ne devez jamais saisir de données sensibles sur un site qui ne soit
en HTTPS. Le S est essentiel car il vous indique l’usage du protocole
de communication sécurisé.
6
. Le smartphone est une porte d’entrée sur vos données personnelles
et sensibles. Ne modifiez pas le système de départ en le « rootant »
et utilisez uniquement le magasin d’applications officiel. Soyez
vigilant aux permissions demandées par chaque application, vous
pouvez les réfuter à chaque instant. Il est recommandé d’utiliser un
antivirus mobile et d'effectuer des sauvegardes régulières de votre
téléphone. Enfin, utilisez un code d’accès pour verrouiller votre
terminal.
8
. La blockchain est une technologie prometteuse pour assurer des
transactions transparentes, sécurisées et décentralisées. Nul doute
que celle-ci aura un impact fort en cybersécurité. Le big data
couplé à l’intelligence artificielle permet l'émergence de
nombreuses technologies fascinantes. Face à cette vague de
Internet des objets et du big data, il convient de s’assurer du
respect de la vie privée des utilisateurs. Le règlement général
européen sur la protection des données apporte des éléments de
réponse en ce sens.
9
. La cybersécurité est un enjeu majeur et stratégique pour les
entreprises de toutes tailles, qui doit être abordé comme une
approche de gestion des risques. La cybersécurité nécessite une
politique, des processus et un cadre organisationnel spécifique. La
charte informatique, la sensibilisation et les audits sont des moyens
essentiels. La cybersécurité est une approche aux métiers variés. La
réglementation et les acteurs nationaux et internationaux sont là
pour vous accompagner dans votre démarche.
DANS LA MÊME COLLECTION
Concepts-clés du digital
Vincent Dutot et Charles Perez
Le référencement
Julien Ringard et Benjamin Thiers
Lexique du numérique
Patricia Baudier et Basma Taieb
© GROUPE STUDYRAMA
34/38, rue Camille-Pelletan - 92309 Levallois-Perret cedex