AssistanceMultimedia63
Dépannage informatique à domicile - Clermont-Ferrand et son agglomération

Sécuriser ordinateur et smartphone

Dossiers rédigés par P. PASTEAU - Assistance Multimedia 63

Quels sont les risques ?

L'intrusion "à distance" dans le réseau domestique

Nous allons voir que sous certaines conditions de sécurité défaillante, une personne malintentionnée pourrait pénétrer dans votre ordinateur via le réseau informatique domestique.

La première "porte d'entrée" pour un pirate est constituée par les ondes radios Wifi ; toutes les box émettent ces signaux radios, ainsi que les ordinateurs portables, tablettes, et smartphones ; leur portée est de quelques dizaines de mètres en terrain construit1. Les emballages ou notices des matériels équipés du Wifi arborent le logo suivant :

Logo wifi

En soi, les ondes radios Wifi ne sont cependant pas la porte ouverte à tous les piratages. C'est une mauvaise utilisation de cette technologie qui peut amener à des désagréments, d'autant plus si certains principes de base de sécurité informatique sont négligés.

En effet, les communications informatiques véhiculées par ces ondes sont cryptées, ce qui rend leur compréhension impossible pour un éventuel pirate. Aujourd'hui, ces techniques de cryptage sont suffisamment évoluées pour ne pas pouvoir être prises en défaut rapidement et sans disposer d'un matériel informatique perfectionné.

Alors pourquoi dit-on que le Wifi n'est pas sécurisé ? Parce qu'il y a une dizaine d'années, les cryptages disponibles n'étaient pas aussi perfectionnés, et pouvaient être brisés facilement. Cela a contribué à faire une mauvaise presse au Wifi. Cette époque est clairement révolue.

Il existe un deuxième support de communication qui peut, dans certains cas particuliers, amener des problèmes de sécurité. Il s'agit de la technologie CPL, qui permet de faire transiter les communications par le réseau électrique de la maison.

On a ainsi tous les avantages d'une communication rapide par un câble, invisible, et sans les inconvénients de la lenteur du wifi et sa faible portée. Ces matériels s'utilisent au minimum par deux, un branché vers la box, l'autre vers l'ordinateur (reliant ainsi les deux via le réseau électrique domestique), et ressemblent à cela :

Boîtiers CPL

Dans le cas de cette technologie CPL, les informations circulent dans les câbles électriques de l'habitation, de manière cryptée ou non. A priori, il n'y a pas besoin de cryptage, puisqu'autant les ondes radios peuvent être "écoutées" facilement par un individu suffisamment proche (et comprises si elles ne sont pas cryptées correctement), autant l'interception d'une communication CPL nécessite un accès physique à la maison ! Ce cas de figure est donc nettement moins probable.

En principe, le compteur électrique et ses disjoncteurs font barrage aux ondes électriques du CPL, ce qui signifie que votre voisin ne peut compromettre vos communications. Néanmoins, on a vu des cas d'installations électriques défaillantes où cela n'était pas le cas.

Quant au troisième mode de communication communément utilisé, le câble Ethernet RJ45, il n'est pas possible d'intercepter à distance ce qui y transite, à moins que le pirate dispose d'un accès à l'habitation pour y poser un mouchard. C'est pour cette raison que les communications domestiques y circulent de manière non cryptée.

Pour résumer, voici les trois supports de communications évoqués ; il est indiqué si la communication y est cryptée d'emblée et si la mise en place d'un cryptage est possible. La dernière colonne définit le niveau de danger si la communication n'est pas cryptée.

Support Cryptage activé d'emblée Cryptage possible Danger si non crypté
ondes radio Wifi oui oui maximum
CPL non oui peu probable
câble Ethernet non non improbable

Vol d'informations personnelles

En particulier dans le cas des smartphones, une mauvaise utilisation ou des imprudences peuvent facilement amener vos informations personnelles à être divulguées à des pirates informatiques. Par exemple, une adresse email mentionnée publiquement sur Internet sera en quelques jours bombardée de publicités indésirables.

Pire, le pirate pourra utiliser les informations vous concernant (nom, prénom, photos, adresse électronique) pour usurper votre identité.

A un moment où n'importe quelle information peut faire le tour du monde en quelques secondes, ce genre de danger n'est pas à écarter.

Les matériels piratés (webcam, etc.)

Fin 2016, des campagnes d'attaques informatiques massives ont frappé certains prestataires de télécommunications Internet aux Etats-Unis.

Sans entrer dans les détails techniques, ces pirates ont saturé certains points névralgiques du réseau avec des millions ou milliards de connexions à la seconde (un ordre de grandeur pour lequel ces interconnexions n'était pas conçues), en reprogrammant à distance des matériels informatiques vulnérables afin de se les approprier et de les contrôler.

Ensuite, "armés gratuitement" de centaines de milliers de ces matériels piratés, ils leurs ont ordonné de bombarder de connexions une cible donnée, provoquant de forts ralentissements d'Internet dans ces zones géographiques.

Si vous possédez des matériels autonomes connectés à Internet, il faut les sécuriser pour empêcher des intrusions extérieures.

Comment sécuriser l'ordinateur ?

La sécurité du réseau à la maison

Pour sécuriser l'utilisation des ondes radios Wifi, il faut impérativement utiliser le meilleur cryptage disponible et accepté par l'ensemble des matériels informatiques de l'utilisateur.

Ensuite, les cryptages reposent sur une clef de sécurité (un mot de passe), qui doit être assez compliquée. Pour ne pas que ce mot de passe puisse être trouvé par un pirate2, il faut faire preuve d'imagination et ne pas mâcher le travail du pirate en indiquant "123456" comme code !

Il ne faut ainsi pas hésiter à inscrire au moins dizaine caractères, mélangeant chiffres, lettres, majuscules, minuscules et ponctuation. A défaut d'originalité, ne jamais inscrire quelque chose de "publique" tel qu'un numéro de téléphone (trop court, que des chiffres), une date de naissance (même remarque), etc.

La plupart des box des opérateurs Internet fournissent une clef de sécurité réglée en usine suffisamment compliquée, on peut donc se contenter de l'utiliser3. En revanche, certaines box plus anciennes ne définissaient qu'une clef d'une dizaine de chiffres, ce qui est clairement insuffisant. Dans ces cas-là, il est important de changer ce réglage.

Quant aux communications CPL, même s'il est peu probable qu'elles sortent de l'habitation pour aller parasiter le voisin, il est conseillé de mettre en place leur cryptage, ce qui se fait généralement par une manipulation technique sur les boîtiers.

La sécurité du wifi en déplacement

Dans les lieux publiques équipés de connexions wifi (hôtels, gares), les pirates mettent en oeuvre la technique du "man-in-the-middle", c'est à dire mot à mot du "complice qui est déjà dans la place".

Informatiquement parlant, il s'agit de faire croire à votre ordinateur qu'il échange des données avec le point d'accès wifi du lieu, alors qu'en réalité il s'agit d'un point d'accès piraté, qui usurpe l'identité "technique" du vrai. Votre ordinateur étant incapable de distinguer l'un de l'autre, il se connectera au matériel piraté, et toutes les communications qui lui parviendront seront susceptibles d'être interceptées voire décryptées.

La précaution à observer est simple : lorsqu'on utilise un point d'accès wifi inconnu ou publique, ne jamais transmettre d'informations sensibles (mots de passe, numéro de carte bancaire, etc.).

La sécurité des ordinateurs

En premier lieu, l'ordinateur doit être équipé d'un antivirus, un programme informatique conçu pour détecter les activités nuisibles. Nul besoin d'investir dans un produit payant !

Les antivirus commerciaux alourdissent souvent l'ordinateur avec des protections qui font doublon ou qui sont inutiles. Deux exemples : le pare-feu (inclus dans la box et dans l'ordinateur, gratuitement ; il bloque les intrusions) et le contrôle parental (disponible gratuitement sur demande, selon une obligation légale, par le fournisseur d'accès à Internet).

Par ailleurs certains antivirus payants se vantent d'identifier les sites Internet piégés ; en pratique, cette protection-là est médiocre : le blocage n'est pas "intelligent", au sens où l'antivirus n'analyse pas le site4, mais décide de le bloquer en fonction de sa présence dans une liste noire de sites nuisibles ; le problème est que ces listes noires sont très rapidement obsolètes, la confiance que l'on peut avoir dans la liste est donc très mauvaise !

Un antivirus payant n'est pas la protection ultime et sûre à 100% ; une sur-protection ralentit par ailleurs l'ordinateur pour un risque improbable5. Il serait plus pertinent de peser ce risque vis à vis du coût : coût en argent et coût en performances amoindries de l'ordinateur, qui va être ralenti par une "usine à gaz".

Enfin, un virus n'est jamais une fatalité, mais toujours le résultat d'une imprudence de l'utilisateur. L'antivirus est nécessaire, mais doit impérativement s'accompagner d'une réflexion de l'utilisateur sur sa navigation Internet et son utilisation de l'ordinateur. Nous verrons plus tard dans ce chapitre quels sont les bonnes pratiques à adopter.

La sécurité des matériels

Pour sécuriser les matériels autonomes connectés à Internet, tels que webcams, alarmes, NAS, etc., il faut tout simplement s'assurer d'avoir modifié le mot de passe (réglé en usine) qui permet d'accéder à leurs réglages.

Cette opération étant facultative, nombre de ces matériels sont quasiment ainsi en "accès libre" sur Internet, à l'insu de leurs propriétaires.

Par ailleurs, si un matériel particulier n'a pas besoin d'être utilisé via Internet depuis l'extérieur de l'habitation, il faut vérifier dans les réglages techniques de la box domestique que les réglages soient effectivement faits en ce sens ; le cas échéant, on interdira les connexions depuis l'extérieur du foyer.

Les bonnes pratiques

Au niveau de l'utilisation de son matériel informatique, on peut recommander :

  • de ne pas partager sa connexion Internet avec son voisin, locataire ou toute autre personne étrangère au foyer : d'un point de vue légal, le titulaire du contrat d'abonnement à Internet est pénalement responsable des éventuelles malversations effectuées sur sa ligne6. Le voisin apparemment irréprochable et bien sous tous rapports pourrait en réalité utiliser votre connexion Internet pour mener à bien des escroqueries ou des activités illégales,
  • de ne pas brancher sur l'ordinateur des clefs USB venant d'origines inconnues (reçues par La Poste) ou douteuses (école, lycée, université, entreprise ou tout autre lieu où de nombreuses personnes vont et viennent, branchent et débranchent leurs propres clefs USB), sans avoir un antivirus à jour. Il est recommandé de maintenir la touche Majuscule enfoncée pendant le branchement de la clef, afin d'inhiber la fonction d'exécution automatique7,
  • d'effectuer régulièrement des sauvegardes des documents personnels, sur un support externe (disque dur, clef USB, cdrom),
  • ne pas transmettre d'informations personnelles sensibles lorsqu'on utilise une connexion wifi autre que celle de sa box.

Sécuriser smartphones et tablettes

Les applications téléchargées : un piège facile

Les smartphones, quels qu'ils soient, sont tous beaucoup mieux immunisés contre les virus que nos ordinateurs. Ils ont été spécifiquement conçus dans une optique de séparer le système (ce qui permet au matériel de fonctionner) des documents de l'utilisateur (musiques, contacts, etc.) ; cette séparation rend particulièrement difficile les intrusions et déréglements dont les virus des ordinateurs sont friands.

Néanmoins, dire qu'il n'y a pas de problème sur ces matériels serait faux. Car si de nombreuses portes d'entrée traditionnelles des ordinateurs n'existent pas sur les téléphones (cdrom, clefs usb, navigateur Internet obsolète), une autre existe bel et bien : les applications téléchargées.

L'utilisateur du téléphone peut en effet, gratuitement ou moyennant une modique somme, acquérir depuis son smartphone des logiciels8 supplémentaires afin d'améliorer ou de compléter ceux qui y sont intégrés (jeux ou logiciels de loisirs, la plupart du temps). Si certains sont fiables, d'autres sont de réels logiciels malveillants. Pour ceux-ci, il s'agit d'espionner l'utilisateur, de voler sa liste de contacts voire de le pister.

A défaut d'être nuisibles, les applications téléchargées, d'autant plus lorsqu'elles n'ont pas été conçues par un éditeur connu (Microsoft, Apple, Amazon, etc.), sont souvent peu abouties, pas optimisées, et provoquent ainsi des dysfonctionnements, des blocages ou une autonomie fortement amoindrie du smartphone. Les jeux, les logiciels de météo, et plus généralement tout ce qui relève du gadget rentrent bien souvent dans cette catégorie.

Il faut être particulièrement prudent, car beaucoup de ces applications sont malveillantes. Les escrocs qui les ont conçues ont été suffisamment malins pour les déguiser et en faire des appâts parfaits. Aussi, avant d'installer une application, il est recommandé de prendre connaissance des commentaires des internautes à son sujet. Bien souvent ceux-ci sont pertinents et permettent de juger de son sérieux.

Si on veut être encore plus pointilleux, on peut envisager, avant d'installer une application, de lire le descriptif des permissions demandées par celle-ci9 ; si on constate des choses douteuses, on s'abstiendra d'aller plus loin !

Le vol d'informations personnelles

En cas de vol, le smartphone ou la tablette sont une mine d'information pour le receleur. Les contacts (numéros de téléphones, adresses électroniques) pourront être ciblés par des campagnes publicitaires indésirables et vos SMS lus.

Si le smartphone n'est pas protégé contre l'utilisation non autorisée (par un code ou une empreinte digitale à saisir à chaque allumage de l'écran, par exemple), le voleur a accès à tous vos messages électroniques, vos réseaux sociaux, etc. Cela signifie qu'il aura toutes les informations nécessaires pour usurper votre identité.

Le vol d'informations personnelles peut avoir lieu via une application malveillante trop curieuse, mais aussi lors du vol du smartphone. Outre s'interdire d'inscrire des choses confidentielles dans son smartphone/tablette, on peut envisager :

  • de mettre en place un mécanisme de blocage à distance du smartphone : en cas de perte ou vol, cela permettra de le verrouiller à distance et d'empêcher que quelqu'un exploite son contenu ou sa ligne téléphonique.
  • d'utiliser la fonction de verrouillage du téléphone : elle impose la saisie d'un code, d'un schéma ou d'une empreinte digitale pour accéder aux fonctions du smartphone10 dès qu'on allume son écran. C'est un peu contraignant mais très sécurisant.

Les bonnes pratiques

On peut donc recommander :

  • de n'installer que des applications connues ou bien notées par les internautes, et plus généralement de ne pas installer "tout et n'importe quoi" ; les applications équipant d'office les smartphone répondent bien souvent à la plupart des besoins de l'utilisateur lambda,
  • de ne pas prêter attention aux SMS reçus qui invitent à rappeler un numéro ou à visiter un site Internet : il s'agit d'arnaques qui peuvent amener au vol de vos informations personnelles,
  • de ne pas conserver sur son smartphone d'informations confidentiels (numéros de comptes et cartes bancaires), ou des informations et photos privées (qu'un escroc pourrait utiliser pour vous faire chanter),
  • d'utiliser les fonction de sécurités prévues sur le smartphone (au moins la fonction de verrouillage de l'écran).
Annexes

  1. cela signifie que même en désactivant le Wifi chez soi, on sera toujours "arrosé" par les ondes du voisin ! 

  2. on rappelle qu'il s'agit d'ondes radios (de quelques dizaines de mètres de portée), et que le pirate peut très bien être votre voisin ou installé dans la voiture garée en face de la maison. 

  3. pour information, la clef de sécurité est dans la plupart des cas inscrite sur un autocollant sous la box, avec la mention "clef wifi", "wifi key", "wpa passphrase". 

  4. et donc ne procède pas par étude et réflexion comme un être humain le ferait 

  5. le "risque improbable" désigne la faible probabilité qu'un virus soit détecté par une des protections supplémentaires d'un antivirus payant, alors qu'il ne le serait pas par un antivirus gratuit et ses protections de base. 

  6. il sera techniquement très difficile de prouver que vous n'êtes pas la personne mise en cause. 

  7. certains virus présents sur une clef USB sont conçus pour s'introduire dans l'ordinateur automatiquement dès le branchement de la clef. Désactiver cet automatisme empêche la propagation du virus sur l'ordinateur. 

  8. "application" et "logiciel" sont deux termes synonymes. 

  9. les permissions sont des droits que l'application acquière automatiquement une fois installée sur le smartphone. Une application douteuse va par exemple demander un accès à la liste des contacts, alors qu'elle n'est sensée afficher que la météo, ce qui, si on prend le temps d'y réfléchir, est suspect. 

  10. en cas de vol, l'accès aux données est impossible pour le voleur, car il sera bloqué par le verrouillage (vous seul possédez le code secret, le schéma ou l'empreinte digitale nécessaire au déverrouillage).