Choisir un gestionnaire de mot de passe
S’il y a bien un problème universel, c’est le fait d’avoir trop de comptes et de mots de passe à retenir. Pour y remédier, nous avons développé un très mauvais réflexe: utiliser toujours les mêmes mots de passe.Il existe pourtant une solution bien meilleure: les gestionnaires de mot de passe. Par Marc-André Gagnon, spécialiste en sécurité de l’information. Le principe? Entrer tous ses précieux identifiants dans une base de données qui sera quant à elle bien sécurisée (imaginez un coffre-fortnumérique). Il existe deux catégories de gestionnaires de mot de passe, ceux locaux et ceux infonuagiques. Gestionnaires de mots de passe locaux Ces gestionnaires conservent vos mots de passe dans une base de données locale sur un appareil en particulier. Vos informations ne quittent jamais votre appareil, et vous avez la responsabilité de faire des sauvegardes de votre base de données manuellement et régulièrement. Dans cette catégorie, deux joueurs sont incontournables: KeePass et PasswordSafe. Ces deux logiciels sont à code ouvert et sont gratuits. Keepass pour Windows a été audité par le European Commission's EU Free and Open Source Software Auditing project (EU-FOSSA) en 2016, et aucune vulnérabilité critique n’a été trouvée dans le logiciel. Ceci offre une bonne garantie que le code source est exempt de failles importantes et de portes dissimulées (backdoors). Étant donné que ces logiciels sont à code ouvert, il existe des dizaines de clones et de versions dérivées, sur toutes les plateformes (Windows, Linux, IOS, Android). Il faut cependant faire attention, car ces clones n’offrent aucune garantie quant aux vulnérabilités. Si vous êtes soucieux de la sécurité, n’utilisez que les versions officielles. Gestionnaire de mot de passe Prix Plateformes KeePass 0$ Windows (Linux / OSX: utilisez le clone KeePassX) Password Safe 0$ Windows Gestionnaires de mots de passe infonuagiques Il existe aussi les gestionnaires de mots de passe infonuagiques, qui conservent votre base de données de mots de passe dans le nuage. Ils représentent un compromis intéressant, en termes de facilité d’utilisation et de sécurité. Ces solutions, si elles sont bien implémentées, sont considérées sécuritaires et offrent en plus des avantages intéressants: Tous les navigateurs sont supportés. Vos mots de passe sont accessibles sur tous vos appareils, en tout temps. Possibilité de partager certains mots de passe avec d’autres utilisateurs (conjoints, enfants, etc.). Vous pouvez surveiller les accès à votre compte, définir des appareils de confiance, etc. Certains gestionnaires offrent de définir un contact d’urgence, qui pourra accéder à votre base de données s’il vous arrivait malheur. Comme tous les services infonuagiques, il y a un coût annuel à payer. Lastpass possède toutefois un forfait gratuit intéressant. Gestionnaire de mot de passe infonuagique Prix ($ US) Permet authentification double facteur Plateformes Lastpass 0$ - 24$ / an Oui Internet Explorer / EDGE Mozilla Firefox Google Chrome Apple Safari Opera 1Password 35,88$ / an Non Chrome Firefox Safari Opera Dashlane 39,99$ / an Oui Internet Explorer Chrome Firefox Safari Est-ce que le fournisseur du logiciel (ou un pirate) peut accéder à mes mots de passe ? Le fournisseur ne peut pas lire votre base de données, car elle est chiffrée grâce à votre mot de passe maître. Toutes les opérations de chiffrement et de déchiffrement sont effectuées localement sur votre appareil, et votre mot de passe maître n’est jamais transmis au fournisseur d’aucune façon. Si la technique est bien implémentée selon les meilleures pratiques (et la technique est complexe), on juge alors qu’il est impossible pour le fournisseur, et pour un pirate éventuel, de déchiffrer vos mots de passe sans votre mot de passe maître. Conseils essentiels Choisissez un mot de passe principal complexe et unique. Essayez 15 caractères ou plus, avec des lettres, chiffres et caractères spéciaux. Étant donné que ce mot de passe protégera tous les autres, vous ne pouvez pas vous permettre d’être paresseux ! Une technique facile à retenir consiste à utiliser la première lettre de chaque mot d’une phrase que vous vous rappellerez. Par exemple, le mot de passe «Iya12pomd1s,ok?» correspond à la phrase «Il y a 12 pommes dans un sac, ok?». Pour plus de détails concernant cette technique, je vous recommande cet article de Bruce Schneier (en Anglais) . Vous devrez vous rappeler de votre mot de passe maître, car il ne sera pas récupérable. Certains gestionnaires de mots de passe infonuagiques peuvent proposer des options pour en faciliter la récupération, mais les options demeurent limitées, car le fournisseur ne peut pas déchiffrer vos informations, et ne connaît pas votre mot de passe maître. Activez l’authentification à double facteur Pour les gestionnaires de mots de passe infonuagiques, il s’agit d’associer son compte avec son appareil intelligent (d’autres options existent). L’accès à votre base de données sera alors accordé seulement si vous connaissez votre mot de passe maître, ET que vous démontrez que vous avez entre les mains l’appareil intelligent associé au compte. Ainsi, même si votre mot de passe est compromis (par un virus par exemple), l’attaquant sera bloqué par un deuxième facteur. Il s’agit selon moi de la meilleure façon de sécuriser votre compte, avec le moins d’effort. Cela s’applique d’ailleurs à tous vos comptes infonuagiques (Google, Apple, Facebook, Microsoft, Amazon, etc.), et pas seulement votre fournisseur de gestionnaire de mot de passe !Cybersécurité : savez-vous bien vous protéger des fraudeurs ?
Vous vous apprêtez à effectuer des rénovations à votre domicile. Vous avez échangé plusieurs fois par courriel avec votre entrepreneur à propos de votre projet, et vous êtes impatient de voir les travaux débuter. Un jour, l’entrepreneur vous écrit pour vous mentionner qu’en raison d’une annulation il pourrait entreprendre les travaux plus tôt. Selon votre entente initiale, il vous demande toutefois de lui verser une partie de la somme entendue pour la réalisation des travaux afin qu’il puisse se procurer les matériaux nécessaires. Vous effectuez le transfert de fonds selon ses indications. Les jours passent, mais votre entrepreneur ne se présente pas. Vous le contactez et apprenez avec stupéfaction qu’il n’a pas envoyé ce courriel, mais que son compte de messagerie a été piraté. Cette mésaventure, diffusée dans les médias, est celle qu’a vécu une jeune femme habitant à Bristol, au Royaume-Uni. Chaque année, des millions d’internautes comme elle sont victimes de fraudes de toute sorte, dont certaines émanent de stratagèmes si sophistiqués que même les plus prudents d’entre nous n’auraient pu les voir venir. Dans plusieurs cas, ni les banques ni la justice ne peuvent aider les victimes à récupérer les sommes perdues. Outre les pertes financières, notons aussi les conséquences sur la santé, car être victime de tels crimes comporte nécessairement son lot d’angoisse et de frustration. Dans ce contexte, il vaut mieux être toujours prudent lorsqu’on transmet des informations confidentielles en ligne ou lorsqu’on y effectue des transactions financières. Voici quelques conseils simples qui pourraient vous éviter bien des désagréments. Un retour à la base D’abord, à titre de rappel, voici quelques règles de base à respecter. Suivez les conseils d’usage afin de créer des mots de passe sécuritaires. Pour votre ordinateur personnel, il est recommandé d’installer un logiciel antivirus et d’effectuer les mises à jour demandées. Certaines versions de ces outils sont offertes gratuitement en ligne. N’hésitez pas à consulter un expert pour faire votre choix. Assurez-vous également, lorsque vous entrez des informations personnelles ou réalisez des transactions en ligne, d’être sur un site de confiance. Vérifiez bien l’adresse dans la barre de navigation à savoir si elle est légitime. Idéalement, accédez à ces sites en tapant vous-même l’adresse dans la barre de navigation ou en utilisant un favori plutôt qu’en cliquant sur un lien dans un courriel ou sur un site Web. Si vous avez des doutes quant à l’authenticité d’un site ou d’un courriel, communiquez par téléphone avec la personne ou l’organisation concernée afin d’en avoir le cœur net. Et rappelez-vous qu’il est relativement facile et rapide pour des pirates de créer un faux site Web identique à un site officiel. Par conséquent, gardez l’œil ouvert et, dans le doute, évitez d’aller plus loin. Vérifiez également que l’icône de cadenas fermé (ou de clé entière) est bien présente à côté de l’adresse du site consulté pour vous assurer que la communication avec celui-ci est chiffrée, donc sécurisée (l’adresse URL commence par https). Finalement, limitez au maximum la divulgation de vos informations personnelles (numéro de permis de conduire, date de naissance, etc.), notamment dans vos échanges par courriel et sur les médias sociaux. Ces informations pourraient faciliter la vie des fraudeurs lors d’une éventuelle escroquerie et même mener au vol d’identité. Dans ce dernier cas, les conséquences pour la victime sont nombreuses et peuvent s’échelonner sur une longue période. Parmi elles, notons les pertes financières possibles et les effets sur son dossier de crédit. Ajoutons à cela toutes les démarches nécessaires auprès de diverses institutions ainsi que tout le stress associé à un tel événement. À propos, les quiz qui circulent sur les médias sociaux et qui sont en apparence inoffensifs constituent une belle occasion pour des personnes mal intentionnées de recueillir des renseignements personnels (N. B.: cet article est en anglais). Rappelez-vous aussi que les institutions financières ne vous demanderont jamais de renseignements personnels par courriel. Ajoutons en dernier lieu qu’il est conseillé d’être prudent lorsqu’on utilise un réseau sans fil public. Il est très facile pour un pirate informatique de créer des points d’accès sans fil afin d’intercepter vos informations personnelles ou de tenter d’infecter votre ordinateur. Par conséquent, connectez-vous uniquement aux réseaux sans fil connus et protégés par un mot de passe. Lorsque c’est trop beau pour être vrai... Un autre des principes de base à retenir pour diminuer le risque d’être victime de fraude en ligne est celui-ci: lorsqu’une situation semble trop belle pour être vraie, fuyez. Un exemple qui illustre bien cette situation est la fameuse fraude4-1-9, aussi appelée arnaque nigériane, où un prince vous offre de partager avec lui un important héritage en échange de quelques milliers de dollars pour l’aider à quitter son pays. Vous pensez que personne n’est assez crédule pour tomber dans ce genre de piège ? Eh bien, détrompez-vous. Chaque année, les nombreuses variantes de ce type d’escroquerie coûtent des milliards de dollars aux internautes de partout dans le monde. Des sites répertorient d’ailleurs quelques-unes des plus connues. Lorsqu’on vous offre des prix, sans que vous ayez participé à un concours, des gratuités ou encore des sommes versées en trop pour un bien vendu en ligne, méfiez-vous. Et si vous pensez avoir été victime d’une escroquerie, n’hésitez pas à la signaler le plus vite possible au Centre antifraude du Canada (CAFC), même s’il vous faut ravaler votre orgueil…Les comptes nuages, mode d’emploi
La vitesse à laquelle évoluent les appareils technologiques peut parfois donner le vertige. Il est toutefois possible de s’adapter à un nouveau produit sans avoir à tout réapprendre. Écrit par Michel Baril, votre Pro. Les nuages informatiques en sont un bon exemple: vous avez bien entendu dire qu’ils pouvaient vous aider à mieux utiliser vos appareils, oui, mais concrètement, comment fonctionnent-ils et en quoi sont-ils particulièrement utiles? Voici quelques informations pour vous aider à comprendre les nuages! 1. Votre nuage n’appartient qu’à vous! La première chose à savoir, et non des moindres, c’est qu’avec les nuages, vous êtes le seul à avoir accès à vos informations. Beaucoup de gens craignent en effet que leurs informations soient rendues disponibles à tous sur Internet dès que sur le cloud, mais en réalité, personne d’autre que vous ne connaît votre mot de passe. Même les employés des entreprises de nuages n’y ont pas accès. Alors n’oubliez pas ce précieux sésame: vous êtes l’unique personne en mesure de le récupérer. 2. Qu’entend-on par nuage? Le terme «nuage» en informatique désigne un espace de stockage qui vous est réservé. On peut voir cet outil comme un compte en banque servant à conserver vos informations. Afin d’y accéder, il vous faut un appareil (ordinateur, tablette, téléphone intelligent etc.) et une connexion Internet. La plupart des services de nuage demandent une adresse courriel (qui servira d’identifiant) et un mot de passe. Pour bien comprendre le système de nuage, reprenez notre exemple de service bancaire ci-dessus: pour accéder à votre compte il vous faut une carte de débit - qui correspond à votre nom d’utilisateur - et un NIP - qui sera alors votre mot de passe. 3. À quoi ça sert? La fonction principale d’un nuage est de faire une copie de vos informations afin de ne rien perdre en cas de bris ou de perte d’un appareil. Les nuages comme «iCloud» d’Apple ou « Disque » de Google ont des fonctions permettant de faire des sauvegardes ne nécessitant même pas votre intervention. En effet, lorsqu’un réseau Wi-Fi est connecté à votre appareil, ses contacts, photos, notes, rappels, rendez-vous, historiques de recherches etc. se sauvegardent dans cet espace de stockage sur Internet. Ainsi, même lorsque vous ne possédez plus cet appareil, vous pouvez toujours accéder à la majorité de vos données personnelles par l’entremise de sites comme iCloud.com ou disque.google.com. 4.Et la synchronisation dans tout ça? Pour mieux comprendre ce qu’on entend par «synchronisation entre les appareils», je vous propose d’imaginer les téléphones, tablettes et ordinateurs comme s’il s’agissait de guichets vers Internet et vos comptes, à l’instar de guichets de banque. Peu importe celui où vous allez, vous aurez accès au même montant d’argent: avec les nuages, c’est pareil! La synchronisation vous permet d’accéder aux mêmes contacts, photos etc. sur l’ensemble de vos écrans. En somme, en synchronisant vos appareils, tout changement sur l’un d’eux se fera automatiquement sur les autres, et sera gardé en mémoire dans le nuage. Vous changez de téléphone? Il suffit de connecter le nouveau device à votre compte nuage et vos informations seront de nouveau à votre disposition. Afin de vous assurez que ces fonctions sont activées, allez jeter un œil aux paramètres de vos appareils et faites le tour des fonctions de sauvegarde.Le contenu de votre appareil mobile est précieux, protégez-le
Selon leCEFRIO, en 2017, 62% des adultes québécois possédaient un téléphone intelligent. Ces appareils, utilisés pour communiquer, s’orienter, photographier, effectuer des transactions bancaires et même collecter des informations sur la condition physique, contiennent une foule de données et de documents de valeur. Cela étant dit, non seulement il est tout à fait normal de vouloir protéger son appareilcontre les bris, mais il est impératif d’en faire autant avec les informations qu’il contient. En effet, si votre appareil tombait entre les mains de personnes malintentionnées, vous vous verriez exposé à un risque de fraude ou encore de vol d’identité. Voici donc quelques astuces afin de protéger les données de votre précieux téléphone, que vous pourrez également partager à vos parents, amis et collègues. Ne facilitez pas la vie des fraudeurs Lorsque votre téléphone est déverrouillé, la plupart des applications, photos, messages et autres informations personnelles deviennent aisément accessibles… et partageables. C’est pourquoi il est fortement conseillé de maintenir le verrouillage automatique de votre appareil. Choisissez unsolide code d’accèspour en compliquer l’accès. À ce sujet, inutile de vous rappeler que ni 1-1-1-1 ni 1-2-3-4 ne font partie des choix envisageables, n’est-ce pas ? Le verrouillage automatique peut en irriter plusieurs sachant que l’on ouvre son appareil plusieurs dizaines de fois par jour. Certaines options comme l’authentification par empreinte digitale ou reconnaissance faciale peuvent vous faciliter la vie, mais souvenez-vous que leur efficacité varie d’un appareil à l’autre, selon la technologie utilisée. Il est également préférable de télécharger uniquement des applications reconnues, offertes dans l’App Store d’Apple ou d’Amazon ou encore dans Google Play, car les applications provenant d’autres sites ne sont pas systématiquement vérifiées et sont plus susceptibles d’être infectées. Avant d’installer une application, prenez quelques minutes pour vérifier si celle-ci est régulièrement mise à jour et méfiez-vous de celles n’ayant reçu que très peu de commentaires. Appliquez les mises à jour des applications, fermez-les quand vous ne les utilisez pas et… supprimez toute application que vous n’utilisez plus. Finalement, n’oubliez pas de télécharger et installer les mises à jour logicielles de votre téléphone. De cette façon, il sera plus difficile pour un pirate informatique d’accéder à vos informations. Rappelez-vous aussi que la technologie sans filBluetoothde votre appareil est une porte d’entrée très alléchante pour un pirate voulant accéder à vos informations personnelles. En conséquence, désactivez toujours Bluetooth pour le rendre non détectable, à moins bien sûr de vouloir l’utiliser. Évitez aussi d’activer Bluetooth dans les endroits publics achalandés, propices aux intrusions. De manière générale, soyez toujours plus prudents lorsque vous naviguez sur un réseau public, dont vous ne contrôlez pas les paramètres de sécurité. Vous avez droit à votre vie privée Laisseriez-vous un étranger vous suivre partout où vous allez ? C’est pourtant ce que vous faites lorsque vous ne prenez pas le temps de configurer le service de localisation dans votre téléphone intelligent. Autorisez l’accès à votre position uniquement aux applications qui ont besoin de cette information. Le même principe s’applique quant à l’accès à l’appareil photo, au microphone et à vos contacts. Limiter les dégâts en cas de perte Déjà, à la fin des années2000, dessondagesindiquaient qu’une majorité de gens préféreraient égarer leur portefeuille plutôt que leur appareil mobile. Est-ce le cas pour vous ? Perdre son téléphone entraîne évidemment plusieurs désagréments. Les conséquences pourraient s’avérer encore plus graves si l’appareil se retrouvait dans les mains de gens malhonnêtes. Outre le verrouillage automatique de votre téléphone, l’activation de la fonction permettant l’effacement de vos données à distance est recommandée. Sur l’iPhone, par exemple, il est possible d’effacer le contenu de votre appareilsur iCloud.com si vous avez pris soin d’abord d’activer la fonction Localiser mon iPhone. Dans le cas d'un vol d'appareil, cette précaution vous permettra à tout le moins d'empêcher l'accès à vos données personnelles. Vous vous séparez de votre appareil ? Enjuillet dernier, une jeune Ontarienne qui croyait son iPhone bon pour la poubelle l’a échangé en boutique contre un appareil neuf moyennant un rabais de quelques dollars. Son téléphone a ensuite été remis à neuf, puis revendu à un homme vivant à Dubaï. La jeune femme a été désagréablement surprise quand ce dernier l’a contactée pour la complimenter sur ses photos personnelles, auxquelles il avait alors accès. Cette histoire témoigne de la nécessité, lorsque l’on songe à faire réparer, à échanger ou à vendre son téléphone, d’effectuer unesauvegarde de ses données personnelleset d’effacer ensuite la totalité du contenu de l’appareil. La sauvegarde régulière de vos données, sur votre ordinateur ou sur le nuage, est d’ailleurs un réflexe à acquérir. Que faire quand on est victime de cybercriminels ? Des frais de service vous sont facturés et vous ignorez pourquoi? La messagerie texte ou électronique de votre téléphone contient des textos ou des courriels que vous n’avez pas envoyés ? Vous êtes peut-être la cible de cybercriminels. Si malgré toutes les précautions prises vous êtes victime de cybercriminels, agissez rapidement. Dans de tels cas, ou encore si votre appareil est perdu ou volé, signalez-le à votre fournisseur de services et communiquez avec leCentre antifraude du Canada,si la situation l’exige.Le crypto-jacking ou quand votre ordinateur mine de la cryptomonnaie à votre insu
Dans le monde de la cryptomonnaie, les derniers mois ont été marqués par une actualité des plus frénétiques et des fluctuations assez intenses. En cause, la traversée d’une bulle spéculative qui n’en finit plus mais peut-être également la crainte d’une régulation par les gouvernements. C’est en partie pour ces raisons que la valeur du bitcoin (BTC) a chuté de façon spectaculaire – par exemple, entre le 17 décembre et février dernier, elle est passée de 25k$CA à un peu plus de 10k$CA. Au-delà des défis techniques que ces monnaies acéphales mettent sur la table, ces fluctuations en termes de parité de change ont probablement joué un rôle plus que déterminant sur la recrudescence des tentatives de piratage, de vols de portefeuilles virtuels et de données personnelles et autres actions frauduleuses. Si l’on s’en tient aux prévisions de certains professionnels du milieu, la liste des gros coups devrait s'alourdir. Ce début d’année a notamment été marqué par le vol record de 60 millions de dollars en bitcoin chez Nicehash, l’agression de ce couple britannique pour son portefeuille virtuel, ou encore Coincheck qui aurait subit un vol encore plus sévère que celui qu’avait subit Mt. Gox en 2014. Avec un BTC qui pourrait remonter et atteindre 60K$ dans l’année, la question de la sécurité vis-à-vis d’un tel investissement représente forcément une problématique bien pesante, si bien que les activités de minage pourraient elles aussi en pâtir. Cependant, avec un minimum de bon sens et de précaution, les dangers peuvent être minimes. Le minage c’est quoi ? À l'instar de la monnaie fiduciaire qui traîne dans nos poches grâce à une banque centrale émettant pièces et billets, les cryptomonnaies se présentent quant à elles sous un aspect immatériel. Elles transitent à travers le réseau, sécurisées par des suites de chiffres et de lettres, appelées hash. Pour créer ces devises virtuelles, en assurer leur sécurité et leur bon fonctionnement, des ordinateurs sont mis à disposition du processus de minage via des logiciels permettant de se connecter à un Poolet donc d’exploiter la puissance de plusieurs machines à la fois. Les processeurs calculent sans relâche 24/7 pour s’assurer de la pérennité de la monnaie. Les transactions (les blocs) sont alors correctement retranscrites et enregistrées sur la « chaîne de bloc », un registre ouvert à tousqui renferme toutes les transactions... Et un vrai cauchemar pour les institutions financières et les gouvernements. La contribution des mineurs, c’est-à-dire la puissance de calcul que leurs machines offrent au réseau, est récompensée en cryptomonnaie. Ces bénéfices viennent s’ajouter jour après jour à la masse déjà en circulation. Cette activité est très rarement effectuée en solo car elle est très coûteuse en énergie et peu rentable. Ce sont plutôt des coopératives (pool) ou des fermes qui s’en chargent. L’union fait la force, et dans ce cas précis, elle multiplie la puissance et le Hashrate, autrement dit la rapidité de calcul et donc...plus de calculs = plus de blocs retranscrits = plus de profit. ¯\_(ツ)_/¯ Le hacking n’épargne pas le mining Bien évidemment, cette activité présente des failles et des opportunités d’agir à l’encontre de n'importe quel individu honnête dont l’ordinateur est connecté. En effet, il est de plus en plus fréquent de voir le CPU (processeur) d’un ordinateur “pris en otage” dans le seul le but de miner à l’insu de l’internaute, à l’aide de Coinhivepar exemple. Ce script simple comme bonjour mine du Monero (une des multiples cryptomonnaies) ni vu ni connu. Si votre machine lague x 1000 et que votre facture d'électricité est anormalement élevée, il se peut que vous soyez en train de créer de la cryptomonnaie sans le savoir -et malheureusement, vous ne verrez pas la couleur d’un seul fragment des BTC que votre ordinateur est en train de générer. En 2018, selon les prédictions d’une poignée d’experts, cette tendance à “emprunter” des CPUs devrait être revue à la hausse. On pourrait même, après Youtube, The Pirate Bay et une multitude de sites gouvernementaux, voir s’élargir l’éventail de vitrines et plateformes utilisées pour agir. Enfin, à l’heure actuelle aucun navigateur n’offre de protection contre ce genre de pratique, mais il existe cependant des solutions telles que l'extensionNo Script pour Chrome, Firefox et Opera, ou encore ces bons vieux bloqueurs de pub que sont 1Blocker, uBlock Origin et Adblock Plus. Avec ça aucun stress: il y a très peu de chance que l’on puisse s’enrichir sur votre dos. Petit lexique utile via bitcoin.org : Hash : L'un des maillons essentiels à la sécurité du BTC repose sur la fonction de hashage SHA 256. Il s'agit d'une fonction mathématique qui, à partir d'une somme d'informations (mots, chiffres, caractères ... ), détermine une empreinte unique Cette empreinte est appelée hash. Chaîne de bloc : La chaîne de blocs est un journal public de toutes les transactions classées par ordre chronologique. Elle est partagée entre tous les utilisateurs du réseau Bitcoin. Elle est utilisée pour vérifier la permanence des transactions Bitcoin et empêcher la double dépense. Bloc : Un bloc est un enregistrement dans la chaîne de blocs qui contient et confirme plusieurs transactions en attente. Toutes les 10 minutes, en moyenne, un nouveau bloc contenant des transactions est ajouté à la chaîne de blocs par le minage.Attention aux rançongiciels
Par Marc-André Gagnon, spécialiste en sécurité de l’information. Combien seriez-vous prêt à payer pour récupérer votre travail de fin de session ? Vos photos et vidéos de famille ? Les documents de votre entreprise ? C’est ce que vous devrez considérer si vous êtes confronté à un rançongiciel (ransomware). Il s’agit d’une forme de virus informatique en forte progression, qui a pour but de bloquer l’accès à vos précieuses données en les chiffrant selon les meilleures pratiques de l’industrie. Vous ne pourrez alors plus accéder à vos fichiers sans les déchiffrer, et pour ce faire, il faut obtenir la clé de déchiffrement. Cette clé vous sera (peut-être) remise par le créateur du virus en échange d’une rançon. Vous devrez généralement payer la rançon en monnaie virtuelle (généralement Bitcoin). En dollars, calculez entre 500$ et 1000$ pour une rançon typique. Pour une entreprise, les montants demandés sont encore plus élevés, de l’ordre de 10000$ et plus. Vous aurez généralement entre 24 et 72 heures pour payer, et le montant demandé pourrait même augmenter au fil du temps. Vous comprenez donc qu’il s’agit d’une forme d’extorsion très lucrative pour les fraudeurs. Figure 1 - Message de rançon pour WannaCry Soyez vigilant Comme tout virus informatique, il existe de multiples façons d’attraper un rançongiciel, particulièrement: Par courriel (une pièce jointe ou un lien vers un document infecté). Un logiciel téléchargé d’une source non officielle, par exemple BitTorrent. Un site légitime, qui devient temporairement compromis, peut vous proposer d’installer un logiciel malicieux, comme une fausse mise à jour Adobe Flash. Être sur le même réseau qu’un ordinateur infecté, particulièrement si votre appareil n’est pas à jour. Une application malicieuse sur le Google Play Store ou l’Apple App Store. Les plateformes Windows et Android sont les plus ciblées par ces virus. Il existe cependant quelques variantes pour Apple OSX et IOS. Il faut donc demeurer vigilant dans nos comportements. Il est également important d’avoir un antivirus actif et à jour. Il n’y a plus d’excuses à ce sujet, puisque Microsoft fournit Windows Defender gratuitement. Que faire en cas d’infection ? La première chose à faire: débrancher votre clé USB, disque externe, câble réseau et éteignez votre WiFi. Le but est d’empêcher le rançongiciel de chiffres vos données sur vos dossiers synchronisés (Google Drive, OneDrive, iCloud, Dropbox, etc.), vos périphériques et les autres appareils sur votre réseau. Si vous utilisez un poste d’entreprise (ou si vous êtes au bureau), avisez immédiatement l’équipe de soutien technique. L’opération de chiffrement de vos données prend un certain temps, alors si vous venez tout juste d’être infecté, éteignez votre ordinateur et vous pourrez peut-être contenir les dégâts. Ne payez pas la rançon. Vous n’avez aucune garantie que vous récupérerez vos données. N’oubliez pas que vous transigerez avec un fraudeur malhonnête, ne vous attendez pas à un service après-vente ! D’ailleurs, certaines variantes de rançongiciel de ne sont mêmes pas prévues pour vous permettre de déchiffrer vos données après le paiement, il s’agit seulement d’un bluff ! Si vous pouvez, apportez votre ordinateur dans un centre de réparation afin de valider si votre ordinateur possède des fichiers récupérables. Certains rançongiciels sont meilleurs (pires) que d’autres. En fin de compte, la seule stratégie viable à 100% consiste à tout réinstaller et restaurer vos données à partir de vos sauvegardes. Encore faut-il avoir des sauvegardes !
