Sécurité informatique : cinq brèves à la UNE

21 septembre 2012 15 h 05 min 22 commentaires Views: 1463

Partagez cet article

  • TwitterTwitter
  • FacebookFacebook

Auteur(e)

Tags:

Cinq petites histoires en sécurité informatique, ça vous tente ? OK. Pour commencer, si je vous disais que ce matin, 21ième jour de septembre 2012, journée normale où plein de bandits sont sur Internet en train d’exercer leur art, j’ai instamment conseillé à une personne de protéger son PC puisqu’il était ouvert directement sur Internet sans routeur et sans aucun mot de passe, me croiriez-vous ?


(Source: cliquez sur l’image)

Je suis convaincu que vous opineriez à ma question – c’est bien ça le pire – parce que dans votre entourage, vous connaissez des gens qui sont à peu près dans la même situation. Ils ont des ordinateurs pour aller sur Facebook, pour s’échanger des courriels et pour se promener sur Internet. Ils ne veulent pas se faire suer à apprendre ce qui vient avec le fait d’utiliser un tel appareil. Ça ne les intéresse pas.

Quand je leur parle de PC zombis, de BotNets, de rootkits, de détournement, de vol d’identité, d’intermédiaire de contamination virale, ils me regardent comme si j’étais un disciple de Rahel. Ça ne se peut pas. C’est de la science-fiction. De toute façon, ça n’arrive qu’aux autres. Et en prime, je les ennuie. La thématique est plate. Vouloir crouser une fille, ce serait le dernier sujet que j’aborderais (quand on a la bitte sous le bras, on n’a pas les bits en tête).

Lisez ce que je vous écrivais en 2008, en citant une experte de la firme Sophos; “De nos jours, pour l’usager mal protégé (antivirus pas à jour, pas de pare-feu, etc.), la pire menace est la prolifération de pages Web infectées de code malicieux. On en trouve une nouvelle à toutes les cinq secondes. Les cybermalfaiteurs recherchent des sites Web mal protégés et mal gérés où ils camouflent le nécessaire pour rediriger le visiteur vers un piège.”

Bordel, je me demande parfois, en mes moments de grande lassitude, si on ne devrait pas sanctionner ces utilisateurs insouciants. Car ils en causent du dommage, à eux comme aux autres. Prenez seulement le pourriel, source importante de l’hameçonnage à l’échelle mondiale. On sait depuis des années que les ordinateurs laissés sans surveillance ou protection sont responsables de la transmission (ils se retrouvent harnachés en botnet) d’une bonne partie de tout ce pourriel, lequel constitue plus de 90 % de la masse mondiale du courriel. (1)

Dans l’esprit des lois, il est prévu de punir les personnes négligentes dont l’insouciance ou l’ignorance aura fait des victimes. Promenez-vous sans laisse avec un gros chien aussi con que méchant ou roulez dans une effroyable minoune toute cabossée avec des pneus à la fesse, vous sentirez le courroux du juge si en raison de votre je-m’en-foutisme, des gens se font blesser et se retrouvent en droit de vous poursuivre. Avant d’être un internaute anonyme, on est un citoyen, un contribuable soumis à des lois, vivant dans une société où, en principe, il est faux de croire que la loi du plus fort ou du plus con ou du plus insouciant est toujours la meilleure. Du plus riche, c’est une autre histoire.

Il y a tellement d’ouvrages, certains très vulgarisés, sur la sécurité informatique !
(Source de l’Image: NDLM)

J’en suis quasiment rendu à croire ce que je vous ai écrit dans les deux paragraphes précédents. C’est vous dire ! On est quand même en 2012, au bout d’une quinzaine d’années, pour ma part, d’articles, de conférences, d’explications, de conseils et d’alertes sur l’aspect essentiel de la sécurité informatique. Y en a marre, non ? Va-t-il falloir qu’on en vienne à imposer un permis de naviguer sur Internet comme on a des permis de conduire pour nos véhicules ?

Marre !

Encore Internet Explorer


Si vous utilisez Internet Explorer 7, 8 , voire 9 avec Java et/ou Flash installé(s) sous Windows XP. Vista ou 7, vous avez intérêt à lire ce qui suit. Une énième attaque virale de type Zéro-day (sans préavis) sévit depuis lundi dernier. La chtouille en provenance présumée de la Chine installe un cheval de Troie appelé Backdoor:Win32 / Poisonivy.E, un programme malveillant qui n’en est pas à sa première campagne. (Source de l’image ci-contre: NDLM)

En attendant la rustine qui viendra réparer la faille, rustine promise pour aujourd’hui, cinq jours après le début de l’offensive criminelle, Microsoft recommande une procédure plutôt vétuste basée sur une trousse à outils appelée EMET. J’ignore où en est rendue cette rustine, mais hier l’éditrice de logiciels antiviraux Avast remettait toute la gomme et proposait deux solutions préventives : soit utiliser son gratuiciel Avast! Free Antivirus qui existe en versions Windows, Mac et mobile, un produit sachant bloquer l’attaque en cours, soit de s’abstenir pour un certain temps d’utiliser Internet Explorer et de mettre temporairement Firefox ou Chrome en service. C’est d’ailleurs cette dernière recommandation qu’a publiée le gouvernement allemand. Comme quoi les années passent et ça ressemble parfois à du pareil au même !

Security Week


Security Week, connaissez ? C’est un webzine spécialisé en sécurité. Dans son édition actuelle, on peut lire les manchettes suivantes :

  • Une campagne de cyberespionnage cible les sociétés pétrolières.
  • Un rapport de la IBM X-Force démontre une recrudescence des attaques ciblant les fureteurs Internet.
  • Les Philippines expulsent 279 cybercriminels taïwanais à l’origine d’une fraude multimillionnaire.
  • Microsoft publie vendredi (21 septembre) une rustine contre l’attaque Zero-day en cours.
  • Selon la firme Incapsula, les tentatives de prise de contrôle de serveurs ont dominé sur la scène cybercriminelle en août dernier.
  • Mercredi dernier, les milieux financiers américains ont été avertis de l’imminence d’une nouvelle vague de cyberattaques.
  • (Source de l’image ci-haut: NDLM)

Et il y en a bien d’autres; c’en est affolant ! De grâce, ne cliquez pas sur le lien permettant d’accéder aux articles. Vous n’en sortirez peut-être pas parano, mais sûrement d’humeur à vous débarrasser de toutes vos bricoles soi-disant intelligentes.

Nuage privé à toute épreuve


La Californienne ioSafe, vous savez, cette firme qui aime stresser ses disques durs à coups de fusil ou avec des béliers mécaniques, vient de lancer un produit à toute épreuve appelé N2 Disaster-Proof Private Cloud. Ce dispositif réseau qui est à l’épreuve du feu et de l’eau, est un système RAID pouvant recevoir deux disques SATA II, pour un maximum de 8 téraoctets de données. Le N2 est autonome puisqu’il est articulé par un NAS-OS (système d’exploitation pour bidules de stockage réseau) de type Open Source appelé DSM, un produit de la firme taiwanaise Synology, qui fabrique la carte mère particulière au DSM. (Source de l’image ci-contre: ioSafe)

L’approche marketing d’ioSafe est de proposer son nouveau gladiateur comme étant un nuage privé bardé de vraie sécurité, la marque de commerce de l’entreprise. Pourquoi ? Paraîtrait que le Nuage officiel, le gros, l’intangible, celui que publicisent les Microsoft, IBM, HP, CA Tech et autres Apple, ne serait pas à l’épreuve de tout, qu’il y aurait eu des ratés, des failles, des pannes, des misères. Le Big Big Cloud serait dans le collimateur des méchants garçons. Alors, puisque, comme le veut l’adage, on n’est jamais si bien servi que par soi-même, pourquoi pas un « nuage privé » digne de ce nom ?

Mobilité : les bandits à l’oeuvre


Sur le portail techno ZDNet, l’expert en sécurité informatique Ryan Naraine explique pourquoi il ne faut jamais utiliser son dispositif mobile (ordiphone ou tablette) dans un contexte où l’information véhiculée peut avoir de la valeur pour soi ou pour son entreprise. Il a interviewé des hackers, routiers du concours Pwn2Own (CanSecWest/EuSecWest), qui ont réussi, pour le simple plaisir de le faire et de pouvoir en tirer des leçons, à déjouer les défenses de iPhone 4s et de Samsung S3 sous Android 4.0.4, des appareils pourtant munis des dernières rustines de sécurité. Toute l’info importante aurait pu être volée. (Source de l’image ci-contre: Google)

La parade la plus simple, selon Naraine, est simplement de s’abstenir de stocker dans son bidule mobile ce qui peut intéresser les criminels. On peut aussi, pour l’instant, imiter l’approche typique au BlackBerry où l’info d’affaires est non seulement séparée de l’info personnelle, mais bardée d’une couche supplémentaire de sécurité. Reste que les malfrats vont bien finir par la craquer comme pour le reste. Seigneur !

(1) Depuis un an, on assiste cependant à une baisse dans l’intensité du pourriel et on ne peut plus parler de pourcentage supérieurs à 90 %. Selon les études, il se situerait dans les 80 %.

Auteur(e) Nelson Dumais

Voué à un avenir brillant dès sa naissance, Nelson s’est néanmoins pris les pieds dans un ordinateur répandu partout dans un motel désaffecté et ne s’en est pas vraiment remis. C’était à Rimouski en 1981 et le monstre de 64 Ko, une sorte de tombeau en mélamine blanche, cahotait en CP/M, souffrait en anglais et tombait régulièrement mort. Avec l’acharnement d’un anthropologue fou, Nelson recherche depuis lors un ordinateur qui fonctionnera sans défaillance, sans souffrir ni faire souffrir, et cela dans une langue intelligible. Si jamais il trouve, il vous en fera part. C’est juré !

22 commentaires

  • Un nuage privé, ce n’est pas un oxymoron ça? A l’origine le nuage désign ce truc diffus composé de milliards de connexion et de périphériques inconnus qu’est Internet.

    Raël au lieu de Rahel. A moins que vous ne vouliez parler de Rachel?

    Cotez ce commentaire: Thumb up 6 Thumb down 0

  • Celle-là, je ne l’ai pas vue à temps: http://youtu.be/Fscj07mxLpg.

    C’est l’Attorney General de l’état de New York, Eric T. Schneiderman, qui vient de faire fermer deux sites Web impliqués dans l’arnaque bien connue, “Work At Home”, soit http://www.idealcorp.net et http://www.survsonl.com.

    L’avoir vue avant de placer ma chronique en ligne, je l’aurais ajoutée.

    Dure dure, la vie sur la Toile !

    Cotez ce commentaire: Thumb up 6 Thumb down 0

    • Ah ben je ne sais pas ce qui se passe, Chrome ne peut ouvrir ces deux sites :-| .

      Ces sites étaient annoncés sur d’autres sites si je ne me trompes. Dommage que Com-pue machin n’ait pas élu domicile dans l’état de New York.

      Cotez ce commentaire: Thumb up 3 Thumb down 0

      • Youhou, M. Plante !

        C’est l’Attorney General de l’état de New York, Eric T. Schneiderman, qui vient de faire fermer deux sites Web impliqués dans l’arnaque bien connue, “Work At Home”

        :mrgreen:

        Cotez ce commentaire: Thumb up 2 Thumb down 0

        • Eh hum, j’avais bien lu et compris que les sites avaient été fermés, ma réplique se voulait sarcastique ;-) . Ce n’est pas au Canada que l’on verrait ce genre de décision :-( . Et je voulais voir si quelqu’un tomberait dans mon panneau ! Il n’y a pas à dire, les lecteurs ici sont allumés !!!

          [SARCASME = OFF]

          Quelques minutes après avoir publié mon commentaire, le téléphone sonne… nom et numéro non disponible. Une dame parlant anglais, avec un fort accent, me dit qu’elle veut me parler de mon ordinateur. Hé hé hé :-) ). Je lui ai dit que j’étais ingénieur en informatique et que je n’avais besoin de l’aide de personne. Zut, elle ne voulait plus me parler *snif*.

          Cotez ce commentaire: Thumb up 5 Thumb down 0

          • Zut ! Je suis tombée dans le panneau !

            J’ai cru un instant qu’un vendredi soir, comme ça, peut-être que vous étiez à fêter votre weekend :grin:

            Bonne fin de semaine.

            Cotez ce commentaire: Thumb up 2 Thumb down 0

          • Parlant d’appels téléphoniques, il y a une cartomancienne qui me téléphone tous les deux jours vers neuf heures. Comme son numéro ne s’affiche pas, j’ai dû me résigner à décrocher l’appareil de huit heures à neuf heures trente :roll:

            Je songe à rediriger ses appels de votre côté. Votre numéro est… :mrgreen:

            Cotez ce commentaire: Thumb up 3 Thumb down 0

  • Lorsque je donne des cours d’intro à l’informatique, je me fais toujours un devoir de faire une petite partie sur la sécurité informatique. L’idée ici est seulement de tenter de les sensibiliser. J’appelle cette partie de cours : «gougounes et drap pour prêcher dans le désert»…

    Cotez ce commentaire: Thumb up 7 Thumb down 0

  • Parce que j’ai de la facilité à utiliser un ordinateur,j’en suis venu tout naturellement à aider les autres. Leurs problèmes devenaient mon problème et j’avais beaucoup d’amis et d’amis des amis. J’en ai eu marre.Car c’est un puits sans fond.

    Je limite maintenant mon aide à des proches et j’ai retrouvé le plaisir d’aider…

    Cotez ce commentaire: Thumb up 6 Thumb down 0

    • @rene3

      Il est important de choisir les gens à qui on donne du support technique tout en leur demandant de ne pas faire de publicité. Ce matin, je vais “travailler” à distance avec TeamViewer, la version gratuite pour usage personnel.

      Cotez ce commentaire: Thumb up 1 Thumb down 0

    • Ça commence par de la bonne volonté, un peu de pitié dans l’œil et l’envie d’aider son prochain dans le pétrin. Rapidement, ça devient une arnaque. On a beau expliquer, donner les principes de bases, installer les solutions de sécurité les plus “simples et efficaces”, la personne aidée veut seulement apprécier le net, pas savoir s’en servir correctement. Non seulement ça devient de l’esclavage, mais tu te fais également accuser de “compter des peurs au monde”. Après tout, Germaine, elle, ne se bâdre pas de faire X et Y quand elle va vérifier son compte en banque sur Internet !

      Mais ce qui me choque le plus, je crois, c’est quand cette situation se produit au travail. La personne engagée pour le poste X ne sait pas se servir correctement des outils informatiques. Elle invoque son âge, son manque d’intérêt, sa culture et quoi d’autre encore pour finalement justifier le fait :
      - qu’elle est plus lente ;
      - qu’elle est débordée ;
      - qu’elle n’a pas juste ça à faire, apprendre ;
      - et que ton dossier, celui sur lequel elle devrait travailler, ce pour quoi elle a été engagée, elle n’aura pas le temps de le faire.

      Son refus d’apprendre (et son maintien malgré tout en emploi) ne font que dévaluer ma propre compétence et me mettre au service de tout un chacun, sans être mieux payée ni reconnue pour le service que je rends, service qui n’est pourtant pas dans ma définition de tâches.

      À ce que compte-là, je préfère nettement dépanner ma mère !!

      Pour finir… je trouve ça très sexy quelqu’un qui parle de sécurité informatique (et qui connaît son affaire !). ;o))

      Cotez ce commentaire: Thumb up 1 Thumb down 0

  • “Microsoft publie vendredi (21 septembre) une rustine contre l’attaque Zero-day en cours.”

    Peut-être publiée, mais elle n’a pas encore atterri sous Windows Update.

    Incroyable la quantité de gens qui n’utilisent même pas un antivirus ! Comme s’il n’y en avait pas assez de gratuits ! Et quand on réussit à les convaincre, ils ne le mettent pas à jour.

    On les ennuie en répétant notre chansonnette sur la sécurité, mais ils nous ennuient en nous demandant de les débarrasser des saloperies accumulées.

    L’antivirus à jour dans les dernieres 24 heures devrait être obligatoire sinon l’ordinateur ne s’ouvre pas.

    Les pourriels, quelle engeance ! Merci aux cliquailleux sur tout ce qui se présente de partager avec leurs amis :roll:

    P.-S. Que de souvenirs cette image de “Pour les nuls” ! :smile:

    Cotez ce commentaire: Thumb up 2 Thumb down 0

    • Tiens! Ça me fait penser qu’il n’y a pas de livres dans la série Pour les nulles :-)

      Cotez ce commentaire: Thumb up 0 Thumb down 0

  • @fafouine

    et oui, et j’ai lu encore dernierement dans un forum qq’un qui se vantait de ne pas avoir d’antivirus. Et c’était pas un newbie là là non non, juste un égo jo-bien-connaissant bien imbu de lui-même jusqu’à devenir un preux chevalier affichant sa naive bravoure sur le net

    ou d’autres qui dépensent pour pleins de niaiseraies mais pas foutu de vouloir payer pour un excellent antivirus. Ben oui les gratuits sont de mieux en mieux mais la qualité voire l’excellence qui dure d’année en année ca se paie

    y’en aura pas de facile comme dirait l’autre

    Cotez ce commentaire: Thumb up 3 Thumb down 0

  • J’ai définitivement perdu tout espoir envers Internet Explorer. À moins de le refaire à zéro, Je ne crois plus que ce logiciel sera sécuritaire un jour. J’ai vraiment du mal à comprendre ceux qui s’obstinent à vouloir l’utiliser absolument. La meilleure solution selon moi c’est d’éviter à tout prix cet horrible logiciel. Chrome et Firefox sont bien meilleurs de toute façon.

    Cotez ce commentaire: Thumb up 7 Thumb down 0

    • Il y a UNE CHOSE que IE fait mieux que les autres: imprimer. De pouvoir sélectionner le ‘frame’ est un plus, et le facteur de réduction est très utile. Chrome et Firefox n’arrivent pas à la cheville de IE SUR CE SEUL ASPECT.

      Je n’utiliser IE que pour imprimer. Ah pour une autre raison: me connecter à un serveur Exchange. Oh aussi pour faire des sessions à distance (TS) démarrées par un site. Chrome pour cela pose des problèmes.

      Donc 97% du temps dans Chrome, 3% quand je n’ai pas le choix. IE 9 est d’une lenteur extrême. Probable que dans la version 20, il ne sera pas trop mauvais :-| .

      Cotez ce commentaire: Thumb up 5 Thumb down 0

      • C’est surtout les problèmes de sécurité que je déplore. Bien qu’il y semble y’avoir eu des efforts en ce sens, IE est encore beaucoup trop imbriqué à même le système d’exploitation, ce qui le rends encore plus vulnérable. Il faudrait qu’ils repartent à zéro et de préférence sur une base Webkit ou Gecko à mon avis.. C’est la seule solution sinon vaut mieux utiliser autre chose.

        Cotez ce commentaire: Thumb up 5 Thumb down 0

  • Avant si j’apprenais que quelqu’un avait omis de faire les mises à jour de son antivirus, je montais aux barricades. Maintenant, je passe mon tour, car je suis épuisé de tenir un dialogue avec les sourds. On dirait que plus on en parle, plus on ignore mes recommandations.

    Qui plus est, depuis l’arrivée des tablettes et téléphones intelligents, les gens baissent la garde. Qu’est-ce qu’ils s’imaginent? Comme si on n’avait plus rien à craindre! Malheureusement, il n’en est rien et le malheur frappera ceux qui n’ont su se protéger adéquatement. Ils paieront cher leur erreur non pas méconnaissance, mais plutôt par négligence ou par paresse.

    Cotez ce commentaire: Thumb up 2 Thumb down 0

  • L’inconscience des gens pour la sécurité informatique est la même que beaucoup d’autres domaines dans ”la vrai vie”!

    C’est quoi le problème?
    Rien d’anormal pour moi!

    Par contre pour les solutions, c’est souvent qu’il faut penser à leurs places car ils en sont tout simplement incapables ou n’ont pas le temps.

    L’alternative de Fafouine en est un exemple.

    Bon, c’est un peu ”hard” de bloquer l’accès à l’ordi mais si un antivirus intégré à Windows bloquait juste internet, un peu comme pour l’alcool au volant, c’est certain que ça serait un plus.

    Peut-être qu’ils aiment ça les virus?
    Si ce n’est pas encore fait.
    Car c’est aussi une lucrative industrie!

    Cotez ce commentaire: Thumb up 0 Thumb down 0