Choisir un gestionnaire de mot de passe
S’il y a bien un problème universel, c’est le fait d’avoir trop de comptes et de mots de passe à retenir. Pour y remédier, nous avons développé un très mauvais réflexe: utiliser toujours les mêmes mots de passe.Il existe pourtant une solution bien meilleure: les gestionnaires de mot de passe. Par Marc-André Gagnon, spécialiste en sécurité de l’information. Le principe? Entrer tous ses précieux identifiants dans une base de données qui sera quant à elle bien sécurisée (imaginez un coffre-fortnumérique). Il existe deux catégories de gestionnaires de mot de passe, ceux locaux et ceux infonuagiques. Gestionnaires de mots de passe locaux Ces gestionnaires conservent vos mots de passe dans une base de données locale sur un appareil en particulier. Vos informations ne quittent jamais votre appareil, et vous avez la responsabilité de faire des sauvegardes de votre base de données manuellement et régulièrement. Dans cette catégorie, deux joueurs sont incontournables: KeePass et PasswordSafe. Ces deux logiciels sont à code ouvert et sont gratuits. Keepass pour Windows a été audité par le European Commission's EU Free and Open Source Software Auditing project (EU-FOSSA) en 2016, et aucune vulnérabilité critique n’a été trouvée dans le logiciel. Ceci offre une bonne garantie que le code source est exempt de failles importantes et de portes dissimulées (backdoors). Étant donné que ces logiciels sont à code ouvert, il existe des dizaines de clones et de versions dérivées, sur toutes les plateformes (Windows, Linux, IOS, Android). Il faut cependant faire attention, car ces clones n’offrent aucune garantie quant aux vulnérabilités. Si vous êtes soucieux de la sécurité, n’utilisez que les versions officielles. Gestionnaire de mot de passe Prix Plateformes KeePass 0$ Windows (Linux / OSX: utilisez le clone KeePassX) Password Safe 0$ Windows Gestionnaires de mots de passe infonuagiques Il existe aussi les gestionnaires de mots de passe infonuagiques, qui conservent votre base de données de mots de passe dans le nuage. Ils représentent un compromis intéressant, en termes de facilité d’utilisation et de sécurité. Ces solutions, si elles sont bien implémentées, sont considérées sécuritaires et offrent en plus des avantages intéressants: Tous les navigateurs sont supportés. Vos mots de passe sont accessibles sur tous vos appareils, en tout temps. Possibilité de partager certains mots de passe avec d’autres utilisateurs (conjoints, enfants, etc.). Vous pouvez surveiller les accès à votre compte, définir des appareils de confiance, etc. Certains gestionnaires offrent de définir un contact d’urgence, qui pourra accéder à votre base de données s’il vous arrivait malheur. Comme tous les services infonuagiques, il y a un coût annuel à payer. Lastpass possède toutefois un forfait gratuit intéressant. Gestionnaire de mot de passe infonuagique Prix ($ US) Permet authentification double facteur Plateformes Lastpass 0$ - 24$ / an Oui Internet Explorer / EDGE Mozilla Firefox Google Chrome Apple Safari Opera 1Password 35,88$ / an Non Chrome Firefox Safari Opera Dashlane 39,99$ / an Oui Internet Explorer Chrome Firefox Safari Est-ce que le fournisseur du logiciel (ou un pirate) peut accéder à mes mots de passe ? Le fournisseur ne peut pas lire votre base de données, car elle est chiffrée grâce à votre mot de passe maître. Toutes les opérations de chiffrement et de déchiffrement sont effectuées localement sur votre appareil, et votre mot de passe maître n’est jamais transmis au fournisseur d’aucune façon. Si la technique est bien implémentée selon les meilleures pratiques (et la technique est complexe), on juge alors qu’il est impossible pour le fournisseur, et pour un pirate éventuel, de déchiffrer vos mots de passe sans votre mot de passe maître. Conseils essentiels Choisissez un mot de passe principal complexe et unique. Essayez 15 caractères ou plus, avec des lettres, chiffres et caractères spéciaux. Étant donné que ce mot de passe protégera tous les autres, vous ne pouvez pas vous permettre d’être paresseux ! Une technique facile à retenir consiste à utiliser la première lettre de chaque mot d’une phrase que vous vous rappellerez. Par exemple, le mot de passe «Iya12pomd1s,ok?» correspond à la phrase «Il y a 12 pommes dans un sac, ok?». Pour plus de détails concernant cette technique, je vous recommande cet article de Bruce Schneier (en Anglais) . Vous devrez vous rappeler de votre mot de passe maître, car il ne sera pas récupérable. Certains gestionnaires de mots de passe infonuagiques peuvent proposer des options pour en faciliter la récupération, mais les options demeurent limitées, car le fournisseur ne peut pas déchiffrer vos informations, et ne connaît pas votre mot de passe maître. Activez l’authentification à double facteur Pour les gestionnaires de mots de passe infonuagiques, il s’agit d’associer son compte avec son appareil intelligent (d’autres options existent). L’accès à votre base de données sera alors accordé seulement si vous connaissez votre mot de passe maître, ET que vous démontrez que vous avez entre les mains l’appareil intelligent associé au compte. Ainsi, même si votre mot de passe est compromis (par un virus par exemple), l’attaquant sera bloqué par un deuxième facteur. Il s’agit selon moi de la meilleure façon de sécuriser votre compte, avec le moins d’effort. Cela s’applique d’ailleurs à tous vos comptes infonuagiques (Google, Apple, Facebook, Microsoft, Amazon, etc.), et pas seulement votre fournisseur de gestionnaire de mot de passe !Le crypto-jacking ou quand votre ordinateur mine de la cryptomonnaie à votre insu
Dans le monde de la cryptomonnaie, les derniers mois ont été marqués par une actualité des plus frénétiques et des fluctuations assez intenses. En cause, la traversée d’une bulle spéculative qui n’en finit plus mais peut-être également la crainte d’une régulation par les gouvernements. C’est en partie pour ces raisons que la valeur du bitcoin (BTC) a chuté de façon spectaculaire – par exemple, entre le 17 décembre et février dernier, elle est passée de 25k$CA à un peu plus de 10k$CA. Au-delà des défis techniques que ces monnaies acéphales mettent sur la table, ces fluctuations en termes de parité de change ont probablement joué un rôle plus que déterminant sur la recrudescence des tentatives de piratage, de vols de portefeuilles virtuels et de données personnelles et autres actions frauduleuses. Si l’on s’en tient aux prévisions de certains professionnels du milieu, la liste des gros coups devrait s'alourdir. Ce début d’année a notamment été marqué par le vol record de 60 millions de dollars en bitcoin chez Nicehash, l’agression de ce couple britannique pour son portefeuille virtuel, ou encore Coincheck qui aurait subit un vol encore plus sévère que celui qu’avait subit Mt. Gox en 2014. Avec un BTC qui pourrait remonter et atteindre 60K$ dans l’année, la question de la sécurité vis-à-vis d’un tel investissement représente forcément une problématique bien pesante, si bien que les activités de minage pourraient elles aussi en pâtir. Cependant, avec un minimum de bon sens et de précaution, les dangers peuvent être minimes. Le minage c’est quoi ? À l'instar de la monnaie fiduciaire qui traîne dans nos poches grâce à une banque centrale émettant pièces et billets, les cryptomonnaies se présentent quant à elles sous un aspect immatériel. Elles transitent à travers le réseau, sécurisées par des suites de chiffres et de lettres, appelées hash. Pour créer ces devises virtuelles, en assurer leur sécurité et leur bon fonctionnement, des ordinateurs sont mis à disposition du processus de minage via des logiciels permettant de se connecter à un Poolet donc d’exploiter la puissance de plusieurs machines à la fois. Les processeurs calculent sans relâche 24/7 pour s’assurer de la pérennité de la monnaie. Les transactions (les blocs) sont alors correctement retranscrites et enregistrées sur la « chaîne de bloc », un registre ouvert à tousqui renferme toutes les transactions... Et un vrai cauchemar pour les institutions financières et les gouvernements. La contribution des mineurs, c’est-à-dire la puissance de calcul que leurs machines offrent au réseau, est récompensée en cryptomonnaie. Ces bénéfices viennent s’ajouter jour après jour à la masse déjà en circulation. Cette activité est très rarement effectuée en solo car elle est très coûteuse en énergie et peu rentable. Ce sont plutôt des coopératives (pool) ou des fermes qui s’en chargent. L’union fait la force, et dans ce cas précis, elle multiplie la puissance et le Hashrate, autrement dit la rapidité de calcul et donc...plus de calculs = plus de blocs retranscrits = plus de profit. ¯\_(ツ)_/¯ Le hacking n’épargne pas le mining Bien évidemment, cette activité présente des failles et des opportunités d’agir à l’encontre de n'importe quel individu honnête dont l’ordinateur est connecté. En effet, il est de plus en plus fréquent de voir le CPU (processeur) d’un ordinateur “pris en otage” dans le seul le but de miner à l’insu de l’internaute, à l’aide de Coinhivepar exemple. Ce script simple comme bonjour mine du Monero (une des multiples cryptomonnaies) ni vu ni connu. Si votre machine lague x 1000 et que votre facture d'électricité est anormalement élevée, il se peut que vous soyez en train de créer de la cryptomonnaie sans le savoir -et malheureusement, vous ne verrez pas la couleur d’un seul fragment des BTC que votre ordinateur est en train de générer. En 2018, selon les prédictions d’une poignée d’experts, cette tendance à “emprunter” des CPUs devrait être revue à la hausse. On pourrait même, après Youtube, The Pirate Bay et une multitude de sites gouvernementaux, voir s’élargir l’éventail de vitrines et plateformes utilisées pour agir. Enfin, à l’heure actuelle aucun navigateur n’offre de protection contre ce genre de pratique, mais il existe cependant des solutions telles que l'extensionNo Script pour Chrome, Firefox et Opera, ou encore ces bons vieux bloqueurs de pub que sont 1Blocker, uBlock Origin et Adblock Plus. Avec ça aucun stress: il y a très peu de chance que l’on puisse s’enrichir sur votre dos. Petit lexique utile via bitcoin.org : Hash : L'un des maillons essentiels à la sécurité du BTC repose sur la fonction de hashage SHA 256. Il s'agit d'une fonction mathématique qui, à partir d'une somme d'informations (mots, chiffres, caractères ... ), détermine une empreinte unique Cette empreinte est appelée hash. Chaîne de bloc : La chaîne de blocs est un journal public de toutes les transactions classées par ordre chronologique. Elle est partagée entre tous les utilisateurs du réseau Bitcoin. Elle est utilisée pour vérifier la permanence des transactions Bitcoin et empêcher la double dépense. Bloc : Un bloc est un enregistrement dans la chaîne de blocs qui contient et confirme plusieurs transactions en attente. Toutes les 10 minutes, en moyenne, un nouveau bloc contenant des transactions est ajouté à la chaîne de blocs par le minage.Comment vous protéger de la fraude par échange de carte SIM?
Plus récente astuce des fraudeurs, l’échange de carte SIM (appelée SIM swap en anglais), se produit lorsqu’un pirate informatique arrive à transférer votre numéro de téléphone mobile sur une autre carte SIM en sa possession, se réservant ainsi l’usage exclusif de votre numéro et, de ce fait, d’une partie de votre identité. Pour parvenir à leurs fins, les fraudeurs peuvent procéder à l’échange physiquement, s’ils ont votre téléphone en main, ou à distance, en se faisant passer pour vous auprès de votre fournisseur de téléphonie mobile afin d’activer une nouvelle carte SIM. Comment vous rendre compte d’une fraude par échange de carte SIM? La carte SIM est l’élément qui fait le pont entre votre appareil mobile, votre numéro et votre fournisseur. Il se peut donc que vous ayez déjà eu à demander vous-même un échange de carte SIM si, par exemple, vous aviez perdu votre téléphone ou choisi un nouveau fournisseur de services mobiles. Votre numéro de téléphone aura ainsi été transféré légitimement à une nouvelle carte SIM. Si toutefois vous êtes victime d’une fraude par échange de carte SIM, votre téléphone mobile peut soudain perdre toute connexion au réseau cellulaire auquel vous êtes abonné. Vous ne recevez donc plus aucun appel, texto ou courriel, car c’est le pirate informatique qui les reçoit sur son appareil. Le fraudeur peut également en profiter pour réinitialiser vos mots de passe et accéder à vos comptes en ligne pour les utiliser à sa guise, particulièrement lorsque votre numéro est un facteur d’authentification ou un moyen de récupération de vos comptes. Comment vous prémunir contre ce type de fraude? Pour éviter de devenir une cible facile pour les fraudeurs, voici quelques suggestions pour renforcer la sécurité autour de votre carte SIM: Ajoutez un NIP complexe permettant de verrouiller votre carte SIM et gardez-le secret. Choisissez des identifiants et des mots de passe complexes et différents pour tous vos comptes (courriels, réseaux sociaux, bancaires, gouvernementaux, etc.). Utilisez un deuxième facteur d’authentification plus sécuritaire que le courriel ou les textos, par exemple une clé de sécurité ou une application comme Google Authenticator ou Microsoft Authenticator. Veillez à ne pas révéler vos renseignements personnels inutilement. Votre date de naissance, votre numéro de téléphone, vos numéros de cartes, de permis de conduire, d’abonnements ou autres devraient demeurer confidentiels et ne pas apparaître dans vos courriels ou sur les réseaux sociaux. Faites preuve de vigilance à l’égard des tentatives d’hameçonnage par courriel, texto ou téléphone et ne confirmez jamais vos renseignements personnels de cette façon. Quoi faire si vous êtes victime d’un échange de carte SIM? Pour signaler la fraude, communiquez avec le service de police ainsi que le Centre antifraude du Canada. Pour protéger vos comptes, avertissez votre institution financière et bloquez vos cartes de crédit. Vous pouvez également faire une demande auprès des agences d’évaluation du crédit afin que la fraude dont vous êtes victime soit portée à votre dossier. Vidéotron a à cœur votre sécurité. Si vous vous rendez compte qu’un pirate informatique a procédé à l’échange de votre carte SIM, présentez-vous en magasin avec vos pièces d’identité afin qu’un de nos conseillers puisse régler la situation rapidement et remplacer votre carte. Trouver un magasin.Restons connectés
Voici quelques articles pratiques à consulter durant la période de confinement. Helix, ça comprend quoi exactement? Helix vous offre bien plus qu’un simple divertissement. Il s’adapte à votre vie connectée pour l’égayer et la simplifier d’une multitude de façons, tout en favorisant votre autonomie dans la gestion de vos services. Découvrez tout ce que comprend Helix!... Helix vous offre bien plus Les appels Wi-Fi, la solution idéale pour une qualité de réception sans failles À une époque où l’on passe beaucoup de temps à la maison et où le télétravail se développe de plus en plus au sein des entreprises, séduisant des travailleurs de toutes les générations, il devient plus que jamais essentiel d’avoir une qualité de réception mobile irréprochable dans toute la maison... La solution idéale Conseils et astuces pour éviter les fraudes sur Internet Dans le contexte actuel, beaucoup de personnes passent de nombreuses heures à l’ordinateur pour le télétravail ou pour se divertir, il est important de se rappeler les meilleures pratiques pour éviter les fraudes et les pièges sur Internet.... Conseils et astuces Saviez-vous que vous êtes en contrôle de vos services de Vidéotron? En pleine période de confinement, où il faut rester le plus possible à la maison et limiter les déplacements non essentiels, vous avez la chance d’être autonome pour modifier ou payer vos services de Vidéotron.... Comment être en contrôle Nos astuces pour un retour au pays réussi : Vous revenez de la Floride, d’un voyage dans le Sud ou d’un séjour d’études à l’étranger ? Nous sommes de tout cœur avec vous qui devez vous soumettre au confinement obligatoire de 14 jours... Comment s'adapter au retour à la maison Savoir s’occuper pour continuer de voir la vie du bon côté : La pandémie de COVID-19 qui nous garde à la maison n’est pas une raison pour se mettre à tourner en rond... Comment s'occuper à la maison Télétravail : En cette période de confinement, les employés qui ont la chance de pouvoir exercer leurs fonctions sont majoritairement en télétravail... Tirez le maximum de votre journée de travail à la maison. Redémarrer son routeur (lenteurs) : Lorsqu’un problème de lenteur touche un ou plusieurs de vos appareils, les redémarrer, en commençant par le routeur, est un excellent réflexe... 5 solutions pour profiter d’une vitesse Internet optimale à la maison. Hausse des tentatives d'hameçonnage: Le Centre canadien pour la cybersécurité a malheureusement constaté une hausse des campagnes d'hameçonnage en lien avec la COVID-19 autant chez les entreprises que les particuliers (nos clients)... Vidéotron reste à l’affût et a pris action pour freiner ces campagnes. Changer les chaînes télé : Halte à la routine! Saviez-vous que vous pouvez changer votre forfait télé au goût du jour?... Modifiez vos chaînes via votre terminal télé en quelques étapes. Apps de messagerie : Aucun doute, les applications de messagerie ont la cote. Les WhatsApp, Skype et autres Messenger de ce monde ont été téléchargées des milliards de fois... Gardez le contact avec amis et famille! Applis audio : Si la radio de type hertzienne se retrouve depuis quelques temps dans une posture tristement délicate, les nombreuses applications et autres plateformes de diffusion audio offertes en ligne, quant à elles, se multiplient jour après jour... Tout ce qu’il vous faut pour écouter ce que vous voulez. Enfants & mobile : Avouez que c’est souvent l’excuse que l’on sert aux enfants lorsqu’on ne veut pas les voir passer du temps sur nos appareils mobiles... Quelques astuces pour instaurer des règles avec vos enfants. Téléphonie mobile en confinement : En période de confinement en raison de la pandémie de COVID-19, votre téléphone mobile, déjà fort utile, se révèle un outil précieux pour vous garder informé... Passer le temps, sans dépasser votre limite de données! Vidéotron s’engage à vous soutenir dans votre quotidien et à vous faciliter la vie durant cette période hors du commun. En savoir plus.Les comptes nuages, mode d’emploi
La vitesse à laquelle évoluent les appareils technologiques peut parfois donner le vertige. Il est toutefois possible de s’adapter à un nouveau produit sans avoir à tout réapprendre. Écrit par Michel Baril, votre Pro. Les nuages informatiques en sont un bon exemple: vous avez bien entendu dire qu’ils pouvaient vous aider à mieux utiliser vos appareils, oui, mais concrètement, comment fonctionnent-ils et en quoi sont-ils particulièrement utiles? Voici quelques informations pour vous aider à comprendre les nuages! 1. Votre nuage n’appartient qu’à vous! La première chose à savoir, et non des moindres, c’est qu’avec les nuages, vous êtes le seul à avoir accès à vos informations. Beaucoup de gens craignent en effet que leurs informations soient rendues disponibles à tous sur Internet dès que sur le cloud, mais en réalité, personne d’autre que vous ne connaît votre mot de passe. Même les employés des entreprises de nuages n’y ont pas accès. Alors n’oubliez pas ce précieux sésame: vous êtes l’unique personne en mesure de le récupérer. 2. Qu’entend-on par nuage? Le terme «nuage» en informatique désigne un espace de stockage qui vous est réservé. On peut voir cet outil comme un compte en banque servant à conserver vos informations. Afin d’y accéder, il vous faut un appareil (ordinateur, tablette, téléphone intelligent etc.) et une connexion Internet. La plupart des services de nuage demandent une adresse courriel (qui servira d’identifiant) et un mot de passe. Pour bien comprendre le système de nuage, reprenez notre exemple de service bancaire ci-dessus: pour accéder à votre compte il vous faut une carte de débit - qui correspond à votre nom d’utilisateur - et un NIP - qui sera alors votre mot de passe. 3. À quoi ça sert? La fonction principale d’un nuage est de faire une copie de vos informations afin de ne rien perdre en cas de bris ou de perte d’un appareil. Les nuages comme «iCloud» d’Apple ou « Disque » de Google ont des fonctions permettant de faire des sauvegardes ne nécessitant même pas votre intervention. En effet, lorsqu’un réseau Wi-Fi est connecté à votre appareil, ses contacts, photos, notes, rappels, rendez-vous, historiques de recherches etc. se sauvegardent dans cet espace de stockage sur Internet. Ainsi, même lorsque vous ne possédez plus cet appareil, vous pouvez toujours accéder à la majorité de vos données personnelles par l’entremise de sites comme iCloud.com ou disque.google.com. 4.Et la synchronisation dans tout ça? Pour mieux comprendre ce qu’on entend par «synchronisation entre les appareils», je vous propose d’imaginer les téléphones, tablettes et ordinateurs comme s’il s’agissait de guichets vers Internet et vos comptes, à l’instar de guichets de banque. Peu importe celui où vous allez, vous aurez accès au même montant d’argent: avec les nuages, c’est pareil! La synchronisation vous permet d’accéder aux mêmes contacts, photos etc. sur l’ensemble de vos écrans. En somme, en synchronisant vos appareils, tout changement sur l’un d’eux se fera automatiquement sur les autres, et sera gardé en mémoire dans le nuage. Vous changez de téléphone? Il suffit de connecter le nouveau device à votre compte nuage et vos informations seront de nouveau à votre disposition. Afin de vous assurez que ces fonctions sont activées, allez jeter un œil aux paramètres de vos appareils et faites le tour des fonctions de sauvegarde.
