24 février 2015

 
Aujourd'hui, j'aimerais vous parler à nouveau du Phishing, ou Hameçonnage en français, qui est une technique de piratage  répandue et plus ou moins facile à mettre en œuvre.

Qu'est-ce que le Phishing?

C'est une technique assez simple qui peut être imagée par le pêcheur capturant son poisson : depuis sa barque à la surface, il parsème d'appâts la masse d'eau. Les appâts coulent lentement vers le fond, croisant la route des poissons. Il lance ensuite sa ligne au bout de laquelle un hameçon se pend fièrement! Les poissons dévorent à tout va les appâts sans prêter attention qu'au beau milieu de ce nuage de nourriture flotte l'hameçon mortel... Un instant d'inattention, et hop, promenade gratuite en barque de pêcheur... la seule et la dernière ;-) Après, ce sera poêle à frire au milieu de l'huile d'olive et de l'origan. Stop! Ceci n'est pas un article culinaire!
Sur Internet, la situation est identique. La barque du pêcheur, c'est un site internet frauduleux qui ressemble à s'y méprendre à un site officiel, quel qu'il soit. Il a été dessiné et mis en ligne au préalable par le pirate.
Les appâts? Ce sont les dizaines de mails publicitaires que nous recevons chaque jour. Ils nous font relâcher notre vigilance. De ceux-là, en général, on ne s'inquiète pas car on les jette de suite à la corbeille.
L'hameçon? C'est l'email provenant soi-disant d'un ami en détresse, d'une banque qui vous demande si tout va bien.
Le piège ? C'est vous qui l'activez! Comme le poisson, c'est vous qui mordez en cliquant sur le lien et en vous connectant au site que vous pensez être officiel et sécurisé...

Que se passe-t-il après avoir mordu à l'hameçon?

Rien pour vous dans l'immédiat. Mais pour le pirate, c'est là que le travail commence. Bien sûr, il a tout automatisé et ce sont des logiciels programmés par ses soins qui feront le travail.
Récupérer votre mot passe? Pas besoin, il l'a déjà. Ce qu'il possède maintenant de très intéressant (dépendant du type d'attaque), ce sont :
  • vos historiques d'emails
  • vos comptes bancaires, les soldes et la possibilité de transférer de l'argent depuis votre carte de crédit
  • la liste de tous vos contacts et des contacts des contacts de vos contacts, etc. (cela lui donne des millions de possibilités supplémentaires pour fomenter de nouvelles attaques)
  • votre agenda
  • vos données personnelles
  • la localisation de vos appareils personnels (smartphones, tablettes, pc, etc)
  • l'accès à vos photos (qui vous êtes, qui sont les membres de votre famille)
  • votre localisation (vous n'êtes pas à la maison en ce moment? Son pote pourrait venir visiter votre demeure...)
  • l'accès aux données de votre disque dur virtuel (Dropbox, Google Drive, One Drive, etc)
  • l'historique de votre navigation sur internet
  • votre vie privée dans son ensemble...
Bien sûr, cette liste n'est pas exhaustive. Néanmoins, elle est déjà suffisamment effrayante que pour se donner la peine non pas de sécuriser encore plus vos comptes internet par des mots de passe incroyablement compliqués et inretenables (c'est moi qui invente le mot), mais bien d'être TRÈS PRUDENTS, voire MÉFIANTS sur internet!!!
N'oubliez pas! Le Phishing n'est pas une attaque dite de "Force Brute" qui consiste à craquer votre mot de passe. Il s'agit de  subtiliser votre mot de passe, comme un pickpocket le ferait avec votre porte-feuille en pleine rue bondée. Il ne vous attaque pas avec une arme, ce qui attirerait l'attention du public, mais juste avec sa dextérité puis se fait oublier aussitôt.

Comment s'en prémunir

La complexité du mot de passe? Oui et non... Ce n'est pas l'objet de cette attaque. Donc, un mot de passe de 10 à 16 caractères avec des minuscules et des majuscules, des chiffres, des caractères spéciaux (comme , ; . : § &, etc) est déjà une excellente base.
L'important est de créer 4 ou 5 mots de passe plus ou moins compliqués mais de pouvoir les retenir facilement. Ne pas utiliser le même mot de passe sur deux comptes en même temps!!! Cette dernière remarque est capitale!!!
Mais le principal : NE JAMAIS RÉPONDRE OU CLIQUER SUR UN LIEN DEPUIS UN EMAIL !!!
Sauf pour :
  • Confirmer votre inscription à un nouveau site (email de confirmation reçu dans la minute)
  • Cliquer sur un lien qu'un ami (identifié juste avant par téléphone ou autre) vous envoi directement
Si votre curiosité est tout de même piquée et que vous vous sentez dans l'obligation de faire une action, prenez contact "physiquement" avec votre interlocuteur. C'est le seul conseil valable qui me semble opportun. Et encore, mettez-vous d'accord avec lui sur l'origine du lien qu'il vous envoie!!!
De toute façon, pensez bien à ceci : si vous ne répondez pas à un email, vous n'irez pas en prison! Si l'email était un vrai, d'une source officielle ou d'un ami de confiance, on vous contactera d'une autre manière : téléphone, gsm, ami d'un ami, etc.

Suggestions

Il est TOUJOURS utile de communiquer un email douteux ici : https://www.ecops.be/webforms/Default.aspx?Lang=FR C'est le site de la police fédérale belge. Ils enquêteront et entraveront le travail des pirates. Bien sûr, il ne mettront pas tous les pirates en prison ;-)
Si vous voulez consulter d'autres détails sur la manière de procéder pour éviter d'être victime de Phishing, consultez l'excellente page Wikipédia à ce sujet : http://fr.wikipedia.org/wiki/Hame%C3%A7onnage

Conclusion

Je n'ai pas écrit cet article pour rien, soyez-en sûrs. Je rencontre cette situation toutes les semaines. Ne soyez donc pas paresseux. Soyez réalistes : si vous êtes piratés par du Phishing, c'est de votre faute ;-) Soyez donc méfiants! Suivez scrupuleusement les conseils de cet article.
Olivier.

23 octobre 2014


Début novembre, Proximus (anciennement Belgacom) va permettre à ses clients Internet Partout et Office&Go de se connecter "passivement" (ou automatiquement) sur les wifi FON, sans besoin de rentrer les login et mot passe habituels. Un bien, un mal ou couci-couça?

Le principe est simple: à partir du moment où vous avez un smartphone ou une tablette (avec l'accès 3G/4G), vous pourrez vous connecter automatiquement à n'importe quel borne wifi FON en Belgique, gratuitement, sans rentrer de mot de passe! La technique est formidable! Finies les tracasseries d'oubli de mot de passe, etc. Accès automatique! Génial non?

Bien, mal ou ni l'un ni l'autre?

A vrai dire, j'ai un avis pour les 3...

Bien :

La technologie est géniale et permet une utilisation plus simple de l'internet un peu partout en Belgique.

Mal :

Il faut être client Proximus. Les autres n'y ont pas accès. Et bien souvent, les clients Proximus n'hésitent pas à partager avec leurs proches les codes d'accès. C'est vrai, ce n'est pas dans le contrat. Mais quand on a des options soi-disant gratuites (parce qu'on paie néanmoins plus cher), et qu'on ne les utilise pas, il est tout à fait logique pour certains de les partager avec des proches dans une mesure tout à fait raisonnable. Qu'en sera-t-il avec cette nouvelle méthode d'authentification? Vu que la technologie reposera sur l'identité de la carte SIM de l'appareil, sans doute Proximus en profitera-t-elle pour bloquer l'accès aux non-clients. A tester. En tous cas, ça me semble (et c'est un avis totalement personnel) une nouvelle méthode pour mieux savoir qui fait quoi et où. Bref, à force de donner l'accès à internet à tout le monde, personne ne s'inquiète plus vraiment de ce qu'on fait des "traces" que l'on laisse sur le réseau, traces qui sont conservées pour toujours par les opérateurs, et par voie d'extension, au autorités qui le demandent (ou non...). Même si on n'a rien à se reprocher, la vie privée est n'est pas tout à fait respectée.

Ni l'un ni l'autre :

Il devrait être tout à fait normal d'accéder à un internet (sécurisé) où que l'on soit. Cela ne devrait pas être payant.

Au final


En Belgique, nous sommes encore et toujours l'un des pays où l'accès à internet est un des plus difficile au monde. Soit le coût est trop élevé, soit le réseau est inexistant, soit les accès sont gratuits mais loin d'être sécurisés. Bref, l'internet reste et restera pour longtemps sans doute un endroit public où l'individu n'a pas de vie privée.

22 octobre 2014

Samedi, on dormira une heure en plus!


Dans la nuit de samedi à dimanche (nuit du 25 au 26 octobre 2014), nous dormirons un peu plus! Une heure pour être tout à fait précis... Mais tout le monde le sait... Ce qu'on oublie souvent c'est de faire le changement.
Si on est super connecté et qu'on a des smartphones, des ordinateurs et des tablettes, tout se fera automatiquement. Vérifier quand même dans les réglages que les changements d'heure s'effectuent automatiquement.
Cela signifie que si vous programmez votre réveil sur votre smartphone pour le lendemain, ne changez pas l'heure manuellement samedi soir. Laissez l'appareil faire le travail tout seul. Pendant la nuit, à 2h59, il passera lui-même à 2h00. Si vous faites le changement manuellement, ça risque de perturber les choses ;-)
Si vous avez une horloge à pile, à remonter ou perpétuelle, il vous faudra encore mettre la main à la pâte.  

Articles Wikipedia sur d'été et d'hiver.

20 octobre 2014

iOS 8.1 est disponible ! Voici comment l’installer.

Comme promis lors de la Keynote de jeudi passé, iOS 8.1 est de sortie aujourd’hui!
Pour installer cette mise à jour, vous avez deux possibilités :
  • Par iTunes
  • Directement sur votre iAppareil
1) Par iTunes, vous vous rendez tout simplement sur l’onglet de votre appareil. Dans la page résumé, vous verrez apparaître la mise à jour 8.1. Avant de faire cette mise à jour, iTunes vous demanderas sûrement de « Transférer les achats », ce que vous pouvez bien sûr accepter. Ensuite, l’installation commencera. Ne débrancher surtout pas l’appareil pendant cette mise à jour.
2)Par votre appareil, vous allez dans « Réglages », puis dans « Général » et enfin dans « Mise à jour logicielle ». Là, vous verrez apparaître la mise à jour. Après avoir accepté toutes les conditions générales (si vous avez 15 jours à perdre dans votre vie, lisez-les à ce moment-là), l’installation commencera.
Vivement découvrir les nouveautés de cette mise à jour!


17 octobre 2014

Apple - Voici 5 nouvelles mises à jour

 
 
Voici 5 nouvelles mises à jour de logiciels Apple : iPhone, iBooks Author, Garage Band, iMovie et Aperture (1Password ici sur l'image n'est pas d'Apple).
Rendez-vous sur le Mac App Store onglet "Mises à jour" pour lancer ces mises à jour.

Capture d’écran 2014-10-17 à 08.43.53

Apple OS X Yosemite - Chose promise, chose due!

Suite à la conférence d'hier à 19h (heure belgle, 10h pour les californiens), la mise en ligne de la version finale de Yosemite a été effectuée. On la retrouve tout simplement dans le Mac App Store en première page.
Capture d’écran 2014-10-17 à 08.53.52
Et voici la mise à jour OS X Yosemite! Magnifique!
 
Comme promis, la mise à jour est bien évidemment gratuite.
Le système d'exploitation tout nouveau tout beau d'Apple est assez formidable! J'utilise la version beta depuis presqu'un mois, et j'en suis ravi! Tout fonctionne vraiment à merveille.
Une autre rubrique intéressante est "Great Apps for OS X Yosemite". En français, ça devrait donner "Les apps parfaites pour OS X Yosemite". Dans cette rubrique, on peut retrouver toutes les apps d'Apple, bien sûr, et gratuite, évidemment, puis d'autres apps déjà mise en conformité avec le nouveau système. Certaines sont payantes d'autres gratuites. La plupart que j'ai testées sont très bonnes. Je trouve qu'elles ont leur place dans ce classement.
Capture d’écran 2014-10-17 à 08.54.08
Liste des apps déjà prêtes pour OS X Yosemite
N'hésitez pas à partager vos sentiments sur les mise à jour à cette adresse : https://www.facebook.com/groups/oliviertuto/. Vous pouvez bien sûr poser vos questions informatiques sur cette page Facebook également.

Apple - Mise à jour d'iTunes 12.0.1

Au terme de cette journée assez remplie, Apple nous envoi une mise à jour d'iTunes estampillée 12.0.1. 

Cette mise à jour annonce de très belle choses! J'espère qu'à l'usage, ce sera satisfaisant. Je l'installe pour tester.