LES REGLES DE

LES 12 SECURITE
REGLESChoisir ses mots de passes avec soin
1
Si faible : La majorité de cyberattaques parviennent à
compromettre un système à cause d’un mot de passe trop
faibles, voire jamais changé.
Avoir plusieurs mots de passes différents pour chaque usage.
 LES REGLES DE
LES 12 SECURITE
REGLES Mettre régulièrement à jour son
2
matériel et ses logiciels
 LES REGLES DE
LES 12 SECURITE
REGLES
Bien connaître ses utilisateurs et ses prestataires
3
Définir deux rôles :
 Administrateur : installer des logiciels, modifier des
paramètres de sécurité.

 Utilisateur : Utiliser ou exploiter les fonctionnalités des

logiciels et accéder à internet.
 LES REGLES DE
LES 12 SECURITE
REGLES
Effectuer des sauvegardes régulières et sur différents
4
supports

En perte : Conserver une copie de ses données en

 Sauvegarde différentielle = comparer avec l’ancienne
sauvegarde (rapide)
 Sauvegarde entière = synchroniser à chaque fois les données
sans faire de comparatif ‘doublons’ (longue)
 LES REGLES DE
LES 12 SECURITE
REGLES
5 Sécuriser son accès Wi-Fi

 Pas de WEP = peu de sécurité

 WPA2 – PSK = sécurité
 Wi-Fi public = Hotspot, prendre le VPN
 LES REGLES DE
LES 12 SECURITE
REGLES
6Être prudent avec son smartphone ou sa tablette
ou son ordinateur
Ne pas installer n’importe…
 LES REGLES DE
LES 12 SECURITE
REGLES
7Protéger ses données lors de ses déplacements

A cause de la perte lors du déplacement

 LES REGLES DE
LES 12 SECURITE
REGLES
8Prudence lors de l’utilisation de sa messagerie

Vérifier l’email de l’expéditeur : cohérence, fautes

d’orthographes. Ne pas ouvrir les pièces jointes.
Liens

Ne pas cliquer vite sur le lien : voir HTTPS sur le lien

Ne pas répondre à un courrier qui demande des informations
personnelles(RIB, carte bancaire, …)
 LES REGLES DE
LES 12 SECURITE
REGLES
Télécharger ses logiciels uniquement sur des
9 sites officiels des éditeurs

Lors de l’installation désactiver ou décocher les cases

proposant d’installer des logiciels complémentaires
 LES REGLES DE
LES 12 SECURITE
REGLES
10 Vigilance sur le paiement sur internet

Voir HTTPS://, pas de fautes d’orthographes

 LES REGLES DE
LES 12 SECURITE
REGLES
11 Séparer les usages personnels des usages
professionnels

BOYD (bring Own Your Device)

 Moyens professionnels qu’au travail, pas à la maison
 Moyens personnels rien qu’à la maison, pas au boulot
 LES REGLES DE
LES 12 SECURITE
REGLES
Prendre soin de ses informations personnelles,
12
professionnelles et son identité numérique
 Protéger ses Données

DONNEE = livre, papier, xlsx, image,

son, vidéo,… C’EST UNE
INFORMATION
 Protéger ses Données

LOGIN : identité
PASSWORD : authentification (preuve d’identité)
 Protéger ses Données

n
t io
i ca
t if
en
th

 Comment choisir ?
Au

 Comment les retenir ?

 Quels sont les risques en cas de vol et que faire ?

Imputabilité & Traçabilité

 Protéger ses Données

n
t io
i ca BIOMETRIE
t if
en
th

Structure du visage
Au

Empreinte rétinienne
Voix
Structure de la main
Empreinte digitale
Mieux pour s’authentifier
 LES ATTAQUES
Attaques Directes

« tester tous les mots de

 Attaques directes : par force brute
passes possibles »

= par dictionnaire
= par permutation, (@ à la place de a, o à la place de O
 LES ATTAQUES
Attaques Directes

 Attaques de proximité : regarder

comment vous taper sur le clavier, vol
 LES ATTAQUES
Attaques Directes

 Attaques sur la mémoire

 LES ATTAQUES
Attaques Indirectes

Hameçonnage : Typo squatage, IMSI Catcher

SSO = Single Sign-On. Point d’authentification Unique

 LES ATTAQUES
Cryptographie

Cryptologie = La science du secret

 Cryptographie consiste à protéger de messages à l’aide des
clefs secrètes.
 Cryptanalyse consiste à la découverte de secrets.
 LES ATTAQUES
Cryptographie

Chiffrement est le mécanisme consistant à protéger une donnée

en la rendant inintelligible
Crypter/Décrypter Chiffrer/Déchiffrer
Décryptage/Décryptement : lorsque l’on tente de découvrir un
texte clair sans connaitre la clé.
 LES ATTAQUES
Cryptographie
Crypter/Décrypter Chiffrer/Déchiffrer

Chiffrement : permet de transformer, au moyen d’un algorithme

de chiffrement, un message en clair en un message chiffre.
 LES ATTAQUES
Cryptographie
Chiffre de
VERNAM
 Téléphone rouge : Maison blanche - Kremlin
Le principe de Kerckhoffs (Nerlandais, 1835-1903)
 LES ATTAQUES
Cryptographie
Protection de la clef

Symétrique(plus ancienne) Asymétrique(depuis 1970)

Cryptographie a la clé secrète • Une clé publique

• Pour chiffrer • Une clé privée
• Pour déchiffrer
Les deux interlocuteurs doivent la posséder Dépendant l’une de l’autre
 LES ATTAQUES
Cryptographie
Protection de la clef
Asymétrique(depuis 1970)
• La clé publique : permet de chiffrer le message
• La clé privée : permet de déchiffrer le message
Exemple : Clé publique = Cadenas, pas besoin de la clé pour la
refermer. Juste une clique
Clé privée = clé du cadenas qui est unique
 LES ATTAQUES
Internet Protocole = code de la route

Botnet = réseau de zombies Ransomware = Rançongiciel

(DoS) (Chantage)

Social engineering = ingénierie sociale : attaque portée sur les

vulnérabilités humaines (elle repose sur la ruse)
 LES ATTAQUES
Internet
Un fichier n’est fondamentalement qu’une suite de 0 et 1
compréhensibles par l’ordinateur.

 Il possède chacun un format

 L’extension c’est le suffixe du nom du fichier, qui lui est renseigné
par le créateur du fichier.
DOC ou PDF, fichiers les plus piratés (exploités), plus de vulnérabilité
découvertes = plus grands risques d’attaques.
 LES ATTAQUES
Internet
1. Les logiciels associés pour interpréter ces formats font l’objet de
découverte de vulnérabilités récurrentes.
2. Ces formats sont plus complexes et donc plus vulnérables que les
fichiers de texte brute.

Attention aux demandes d’obtention de

privilèges Administrateur
 LES DANGERS
Piratage informatique
Addiction
Prosélytisme sectaire et extrémisme religieux
Désinformation
Sites violents, haineux,
Intrusion vie privée
Risques pénaux
Harcèlement sexuel, prédateurs, pornographie
 LES DANGERS

Contenus illégaux

Faire des recherches Contenus soumis à

S’informer restrictions

Chevaux de Troie
 LES DANGERS

Se distraire
Addiction et Épilepsie
Jouer en réseau
 LES DANGERS

Virus

Communication
indirecte Spam
mess@gerie

Phishing
 LES DANGERS

contenus illégaux
Communication direct
Chat—MSN

usurpation identité
 LES DANGERS

Échanger des données

Piratage—Vol et recel
Peer to Peer
 LES DANGERS

Faire du commerce Vol de coordonnées

Acheter et Vendre bancaires
 LES DANGERS

Atteinte à la vie privée

Création Web.
Blog—Site internet

Contenus illègaux
SPAM
LES DANGERS
Le pourriel, (SPAM en anglais) désigne les
communications
électroniques massives, notamment de courrier
électronique, non sollicitées par les destinataires, à des
fins publicitaires ou malhonnêtes. Le terme "spam" est
considéré comme un anglicisme. Le mot français vient
de l'Office québécois de la langue française qui propose
d'utiliser les mots pourriel (de poubelle et courriel) ou
polluriel (de pollution et courriel), ainsi que d'autres
variantes. Le mot pourriel est d'usage assez courant,
polluriel est plus rarement utilisé.
 LES DANGERS
SPAM
Le verbe spammer est souvent utilisé dans le langage
familier pour qualifier l'action d'envoyer du pourriel, le
spamming. Le mot spammeur désigne celui qui envoie
du pourriel. Les mots polluposter, pollupostage et
polluposteur, proposés aussi par l'OQLF, en sont leurs
équivalents. On considère que, à l'heure actuelle, plus
de 90% du trafic de courriel est du pourriel
 LES DANGERS
SPAM
Les techniques pour lutter contre le pourriel mettent en
œuvre diverses techniques de classification
automatique pour trier entre le pourriel et le courrier
légitime. Ces techniques peuvent être mises en œuvre
soit au niveau des fournisseurs de service Internet qui
protègent leur messagerie, soit au niveau des
utilisateurs par des outils appropriés (filtres
antpourriels).
 LES DANGERS
SPAM
Plusieurs techniques de lutte contre le pourriel sont
possibles et peuvent être cumulées : analyse statistique
(méthode bayesienne), filtrage par mots clés ou par
auteur, listes blanches (désignation de personnes ou de
machines autorisées à publier dans certains lieux),
listes noires (désignation de personnes
ou de machines auxquelles il est interdit de publier
dans certains lieux), interrogation en temps réel de
serveurs spécialisés dans la lutte au pollupostage.
 LES DANGERS
PHISHING
Les criminels informatiques utilisent généralement
l'hameçonnage pour voler de l'argent. Les cibles les
plus populaires sont les services bancaires en ligne, et
les sites de ventes aux enchères tels que eBay. Les
adeptes de l'hameçonnage envoient habituellement des
courriels à un grand nombre de victimes potentielles.
Typiquement, les messages ainsi envoyés semblent
émaner d'une société digne de confiance et sont
formulés de manière à ne pas alarmer le destinataire,
afin qu'il effectue une action en conséquence.
 LES DANGERS
PHISHING
Une approche souvent utilisée est d'indiquer à la
victime que son compte a été désactivé à
cause d'un problème, et que la réactivation ne sera
possible qu'en cas d'action de sa part. Le message
fournit alors un hyperlien qui dirige l'utilisateur vers
une page Web qui ressemble à s'y méprendre au vrai
site de la société digne de confiance. Arrivé sur cette
page trompeuse, l'utilisateur est invité à saisir des
informations confidentielles qui sont alors enregistrées
par le criminel.
 LES DANGERS
PHISHING
La vérification de l'adresse Web dans la barre d'adresse
du navigateur Web peut ne pas être suffisante pour
détecter la supercherie, car certains navigateurs
n'empêchent pas l'adresse affichée à cet endroit d'être
contrefaite. Il est toutefois possible d'utiliser la boîte de
dialogue « propriétés de la page » fournie par le
navigateur pour découvrir la véritable adresse de la
fausse page.
 LES DANGERS
PHISHING
De même, certains attaquants utilisent des adresses de
sites contenant une faute de frappe, ou bien des sous-
domaines, par exemple
http://www.mabanque.com.unsite.net/. Des
navigateurs récents, tels que Firefox, possèdent un
système permettant d'avertir l'utilisateur du danger et
de lui demander s'il veut vraiment utiliser de telles
adresses douteuses.
 LES ANTIVIRUS
Les principaux antivirus du marché se fondent sur des
fichiers de signatures et comparent alors la signature
génétique du virus aux codes à vérifier. Certains
programmes appliquent également la méthode dite
heuristique tendant à découvrir un code malveillant par
son comportement. Autre méthode, l'analyse de forme
repose sur du filtrage basé entre des règles regexp ou
autres, mises dans un fichier junk.
 LES ANTIVIRUS
Cette dernière méthode peut être très efficace pour les
serveurs de courriels supportant les regexptype postfix
puisqu'elle ne repose pas sur un fichier de signatures.
Les antivirus peuvent scanner le contenu d'un disque
dur, mais également la mémoire de l'ordinateur.
Pour les plus modernes, ils agissent en amont de la
machine en scrutant les échanges de fichiers avec
l'extérieur, aussi bien en flux montant que descendant.
Ainsi, les courriels sont examinés, mais aussi les
fichiers copiés sur ou à partir de supports amovibles
tels que cédéroms, disquettes, connexions réseau...