cryptage - Softonic French

Sécurité du web: les 7 failles les plus inquiétantes de 2014

Y a pas à dire, entre vols de données, vagues de paniques, hacks, failles de sécurité et fuites diverses de photos, l’année 2014 aura été faste en cyber-frayeurs. On aura plusieurs fois frisé la datastrophe. Bruyamment relayés par les médias qui se plaisent à entretenir la méfiance vis-à-vis de la toute-puissance du web, les méfaits des hackers, toujours plus nombreux, plus sournois, plus habiles, nous incitent à la cyber-parano.

Doit-on encore confier nos données à l’aveuglette? Le cloud est-il en mesure de protéger notre vie privée? Qui peut utiliser nos photos? nos fichiers? nos mots de passe? nos comptes? En un mot, au moment où s’achève cette année 2014, qu’en est-il de la sécurité en ligne? Faisons le point.

Heartbleed

Voici sans doute un des plus grands bugs de sécurité de l’année. Heartbleed a dévoilé une faille de sécurité qui affectait la plupart des sites web. Le bug a été découvert dans la bibliothèque de cryptage OpenSSL, un répertoire open source qui protège les pseudos et les mots de passe des internautes. La faille a révélé que n’importe quel hacker interceptant une connexion potentiellement compromise (c’est-à-dire mal encryptée) pouvait récupérer votre nom d’utilisateur et votre mot de passe. Le pire, ce n’est même pas que 66% des sites web utilisaient (et utilisent toujours) le cryptage OpenSSL: c’est que la faille soit passée inaperçue pendant deux ans. En d’autres termes, les hackers ont eu le champ libre pour récolter des pseudos et des mots de passe pendant un bon moment.

Depuis sa découverte en avril, la plupart des grands sites concernés ont corrigé ce bug, redonnant une certaine (relative) sécurité à leurs sites web.

Snapchat

Bien que l’appli elle-même ait été hackée plus tôt dans l’année, dévoilant les pseudos et numéros de téléphones de plus de 4 millions de personnes, les utilisateurs de Snapchat ont tremblé lorsque le populaire site Snapsaved, édité par des tiers, a subi une faille de sécurité. Cette page web, comme son nom l’indique, permet aux utilisateurs de Snapchat de sauvegarder leurs photos et leurs vidéos. Les hackers ont dérobé plus de 200 000 images et vidéos, dont beaucoup se sont retrouvées sur les forums anonymes de 4chan, il y a de ça quelques semaines.

Snapchat est souvent utilisé pour envoyer des images plutôt, disons, “personnelles”, ce qui pose d’autant plus de problèmes que le site est populaire chez les mineurs. Snapsaved.com a depuis cessé ses activités et 4chan a retiré les photos, mais ça ne signifie pas que vous êtes complètement à l’abri. Snapsaved et des applis similaires exploitent les accès dérobés d’une API (Application Programming Interface) accessible au public pour intercepter et sauvegarder vos photos. Mieux vaut sans doute éviter les applis tierces qui communiquent avec Snapchat (ainsi que Snapchat lui-même, pas toujours irréprochable sur le plan de la sécurité) si vous ne voulez pas risquer de voir vos photos dans la nature.

iCloud

Cette fuite de photos a eu un écho considérable dans la presse, du fait de la notoriété mondiale des célébrités qui étaient visées par ces attaques. Mais la faille de sécurité expérimentée par iCloud en septembre n’a pas suffi à effrayer l’utilisateur Lambda. La fuite n’était pas vraiment liée à une vulnérabilité logicielle en soi: les hackers ont plus exactement découvert une lacune dans le système de sécurité qu’ils ont exploitée au moyen de logiciels tiers, pour accéder aux comptes de sauvegarde d’iCloud, en ciblant ceux des célébrités. La panique a été causée par le fait que n’importe qui pouvait potentiellement accéder à des photos “sensibles” stockées sur un appareil iOS. L’absence de validation en deux étapes a été pointée du doigt pour expliquer la vulnérabilité d’iCloud.

Depuis, Apple a nettement modifié ses services de stockage iCloud à l’occasion de la sortie d’iOS 8. Vous recevrez notamment un email s’il y a eu accès à votre compte depuis un autre emplacement, et le système rend la tâche bien plus difficile aux hackers qui voudraient s’aventurer sur vos comptes. L’authentification en deux étapes est maintenant obligatoire, et Apple vous force à générer des mots de passe distincts pour chaque appli qui n’est pas compatible avec l’authentification en deux étapes.

eBay

En mai, eBay a annoncé que l’intégrité de son site web avait été compromise par une faille de sécurité vieille de quelques mois. Au moyen du compte d’un employé, les hackers ont pu accéder aux données des utilisateurs. Cependant, les informations dérobées ne contenaient pas de données bancaires, et concernaient essentiellement les emails et les adresses physiques des utilisateurs, ainsi que leurs mots de passe et leurs dates de naissance. Paypal, le partenaire d’eBay qui gère les transactions financières, n’a heureusement pas été frappé par cette attaque, ce qui aurait pu causer des dégâts d’une autre ampleur.

eBay a déclaré ne pas avoir détecté d’activité suspicieuse lors des mois précédant la découverte de la faille, mais il a recommandé aux 145 millions d’utilisateurs concernés de modifier leur mot de passe.

Internet Explorer

Un quart du marché des navigateurs internet a été affecté en avril, lorsque Microsoft a annoncé une faille critique de sécurité dans les versions 6 à 11 d’Internet Explorer. De fait, Microsoft a pris la menace au sérieux, au point de sortir une mise à jour de sécurité pour Windows XP, alors même qu’il avait cessé le support officiel de ce système d’exploitation, périmé depuis quelques semaines.

La vulnérabilité mettait les utilisateurs d’Internet Explorer à la merci des hackers en octroyant à ces derniers les droits d’administrateur à distance, leur permettant de s’introduire dans le système et d’installer des malwares. Heureusement, la vulnérabilité a été corrigée quelques jours après avoir été découverte.

Adobe Flash

Adobe a sorti en urgence une mise à jour de Flash cet été, après qu’une faille de sécurité ait mis les cookies du navigateur à la merci des pirates. Les cookies sont des données qui permettent au navigateur de se souvenir de votre comportement sur des sites web, afin de rendre votre expérience plus fluide, par exemple en évitant de retaper son mot de passe à chaque connexion. Cette vulnérabilité, techniquement complexe, permettait aux pirates d’intercepter ces cookies, et de se faire passer pour d’autres internautes sur les sites web concernés.

Flash étant embarqué par des milliers de sites, y compris YouTube, Google ou Tumblr, sa vulnérabilité a compromis la sécurité d’un grand nombre d’internautes. Heureusement, le patch a été mis à jour rapidement, avant que des dégâts majeurs soient détectés.

Shellshock Bash

Découverte le mois dernier, Shellshock Bash pouvait potentiellement devenir la plus vaste et la plus effrayante des failles de sécurité jamais connues. Apparue sur Mac OS X, Linux et les systèmes Unix, elle donnait aux hackers la possibilité d’exécuter des commandes à distance sur des ordinateurs, des appareils et des sites web.

Bash est un interpréteur de commande largement utilisé par des PC portables, des routeurs ou des sites web. Sa vulnérabilité aurait pu affecter des centaines de millions de dispositifs. Après avoir découvert le bug de Bash, les hackers ont immédiatement testé les sites web pour savoir lesquels étaient les plus exposés. De nombreuses compagnies, dont Apple, ont rapidement corrigé le bug, mais le bug de Bash est toujours potentiellement dangereux pour les serveurs web faisant fonctionner de nombreux sites.

Cela dit, ne vous inquiétez pas. Vous êtes sans doute hors de danger, vu que la plupart des éditeurs de logiciel ont corrigé le bug. Mais comme on n’est jamais trop prudent, vous pouvez vous protéger en mettant à jour votre ordinateur et vos dispositifs, en installant la dernière actualisation logicielle.

Pas de panique

Il semblerait que les failles de sécurité sont devenues monnaie courante de nos jours, mais bien qu’elles échappent à notre champ d’action, vous pouvez vous protéger par des moyens simples à mettre en œuvre.

Tout d’abord, vous pouvez utiliser des générateurs de mots de passe, pour s’assurer qu’ils sont tous distincts et incassables. Utilisez l’authentification en deux étapes dès que possible, mettez à jour vos logiciels à la dernière version, car les actualisations contiennent souvent des patchs de sécurité et des corrections de bugs. Et autant que possible, évitez les applis développées par des tiers ou des services aux règles de sécurité ou aux paramètres nébuleux.

A lire aussi:

Article original de Zuzanna Blaszkiewicz– Softonic.com. Traduit et adapté de l’anglais.

Sécurité du Cloud: encoder ses fichiers sur Dropbox, OneDrive et autres

Les services de stockage en ligne tels que Dropbox, Google Drive ou OneDrive, sont pratiques, mais présentent aussi certains risques. Il suffit qu’un utilisateur malintentionné mette la main sur vos identifiants pour qu’il ait accès à tous vos fichiers. A l’heure où la sécurité sur Internet est au centre des débats, mieux vaut faire preuve de prudence au moment de confier nos documents à ce fameux nuage.

Les services de stockage en ligne utilisent un système d’encodage spécifique. Une fois cryptées, vous devez pouvoir ensuite accéder à ces informations depuis votre PC ou sur n’importe quel dispositif. Ces 5 applications gratuites ont été précisément conçues dans ce but.

Boxcryptor

BoxCryptor encode automatiquement tous les fichiers avant de les stocker en ligne. L’application supporte les services de stockage en ligne les plus courants, comme OneDrive, Dropbox et Google Drive, mais vous pouvez aussi ajouter manuellement d’autres services. En appuyant sur le clic droit de la souris, BoxCryptor encode les fichiers et les documents sélectionnés en utilisant pour ce faire l’algorithme AES ou le standard RSA d’enchiffrement.

En dehors de BoxCryptor les noms des dossiers et les données ne peuvent pas être lus. Nul besoin de mot de passe. Personne ne peut travailler sur les fichiers encodés, pas même l’exploitant du service de cloud. Une fois l’appli installée sur vos différents dispositifs, vous aurez accès au contenu de tous vos documents chiffrés, n’importe où.

Télécharger Boxcryptor pour Windows, Windows 8, Mac OS X, iOS, Android, Windows Phone, BlackBerry et Google Chrome (Beta)

Viivo

Viivo offre également un service d’enchiffrement de vos fichiers sur le cloud. Théoriquement, l’application Viivo reconnait tous les fournisseurs, mais c’est avec Dropbox, Box, Google et Microsoft OneDrive qu’elle fonctionne le mieux.

De plus, Viivo ne se contente pas d’encoder les fichiers, elle les comprime pour optimiser l’espace de stockage. Pour partager ses fichiers avec d’autres utilisateurs, il faut qu’ils aient au préalable installé l’appli. Quant aux protocoles, Viivo a recours à l’algorithme AES de 256 Bits pour l’encodage et au standard d’enchiffrement RSA, plus sécurisé, pendant le transfert des informations.

Télécharger Viivo pour Windows, Mac OS X, iOS et Android

Cloudfogger

Cloudfogger fonctionne sur un principe similaire à celui de BoxCryptor. L’application encode les fichiers avant de les exporter sur le cloud. Elle reconnaît les principaux services de stockage en ligne, comme OneDrive, Dropbox et Google Drive.

Cette application vous permet de partager des fichiers cryptés avec d’autres usagers de Cloudfogger sans révéler votre propre mot de passe. Ici, le protocole d’enchiffrement utilisé est l’AES de 256 Bits.

Télécharger Cloudfogger pour Windows, Mac OS X, iOS et Android

Sookasa

Sookasa ne fonctionne qu’avec Dropbox et a été optimisée pour ce service. L’application se connecte directement à votre dossier Dropbox et crypte toutes les données dans un sous-dossier Sookasa sécurisé avec le code AES de 256 Bits. Une fois encodés, vous pouvez partager les fichiers avec d’autres utilisateurs via un lien de téléchargement.

Sookasa propose aussi une option de travail en groupe vous permettant de gérer l’attribution des autorisations à un ensemble d’utilisateurs. En cas de besoin toutefois, vous gardez la mainmise et la possibilité de verrouiller l’accès aux informations.

Télécharger Sookasa pour Windows, Mac OS X, iOS et Android

Safemonk

Restreint à Dropbox, comme Sookasa, cette application passe par le standard d’enchiffrement AES de 256 Bits. Le service s’appuie également sur un sous-dossier Dropbox où tout est automatiquement chiffré. Mais, contrairement à Sookasa, le partage ici est simplifié, puisque ce service n’utilise pas les liens de téléchargement: les autres utilisateurs, qu’ils aient ou non Safemonk, peuvent accéder à l’ensemble ou à une partie de vos documents par le biais d’autorisations que vous pouvez gérer sur le site de Safemonk.

Télécharger Safemonk pour Windows XP, Windows Vista, 7, 8, Mac OS X, iOS et Android

Un encodeur sur mesure…

Grâce à ces applications, il est donc facile d’encoder ses documents avant de les confier aux services de stockage en ligne. Prévoyantes, elles garantissent également la facilité de partage entre plusieurs utilisateurs, tout comme l’accès depuis n’importe quel dispositif. Laquelle choisir? Tout dépend de vos besoins. BoxCryptor, par exemple, est la seule à penser aux utilisateurs de Windows Phone et BlackBerry. Viivo compresse les données encodées, ce qui est pratique si vos documents occupent beaucoup de place. Sookasa, quant à elle, se soucie principalement de la gestion du partage des fichiers pour le travail en groupe. Mais quelle que soit l’option choisie, soyez tranquille: tous ces services font appel au protocole d’enchiffrement AES de 256 bits: une garantie de sécurité.

A lire aussi:

Article original de Markus Kasanmascheff – Softonic.com. Traduit et adapté de l’allemand.

9 conseils anti-espions pour protéger sa vie privée sur Internet

Ça n’arrive pas qu’aux autres. Un jour, vous aussi pourriez bien être la cible d’un espion informatique. Une fatalité? Pas forcément. Pour déjouer leur pistage, il est bon de savoir comment passer inaperçu sur Internet.

Les temps sont durs pour la confidentialité. La NSA nous observe, et des failles de sécurité gigantesques, comme le fameux Heartbleed, ont mis en évidence notre vulnérabilité sur Internet. Chaque jour, des comptes email sont forcés, des conversations sont espionnées et des fichiers sont volés. Le motif, piratage, harcèlement, chantage, importe finalement peu. Ce qui compte, c’est que quelqu’un, quelque part, sache tout sur vous.

La plupart de ces actes criminels sont rendus possibles par les négligences et les erreurs d’inattention que nous commettons sur Internet. Pourtant, ce sont des erreurs que l’on peut éviter: au prix de quelques efforts et précautions, il est possible de rendre quasiment impossible le pistage, y compris de la part des gouvernements. Il ne s’agit pas de fuir, mais plutôt de devenir moins visible et de laisser des traces plus discrètes.

Utilisez de multiples comptes et différentes identités

Vous êtes un individu, vous avez un nom et un prénom, et c’est tout naturel qu’il en soit de même sur la toile… Pour certaines activités seulement. Ainsi, votre email personnel ou votre profil LinkedIn peuvent reprendre votre vrai nom. Mais n’allez pas non plus crier qui vous êtes sur tous les toits.

Créez des comptes alternatifs qui ne permettent pas de remonter jusqu’à vous. Utilisez des mots de passe différents et conservez-les en lieu sûr avec un gestionnaire de mots de passe comme Keepass. Essayez d’accéder à ces comptes en dehors de vos lieux habituels.

Une manière très simple de gérer plusieurs identités depuis un même navigateur Internet consiste à utiliser les profils du navigateur. Chrome intègre cette fonction par défaut, on peut l’installer facilement sur Firefox.

Les profils de Chrome permettent de gérer plusieurs identités

Exportez des archives et des applis vers votre mémoire USB

Lorsque vous utilisez des logiciels depuis un PC public, comme celui de la bibliothèque ou du cybercafé, vous vous exposez à un vol de vos données à travers les traces que vous laissez sur le PC ou à travers des logiciels modifiés.

Munissez-vous d’une mémoire USB et remplissez-la de versions portables de vos logiciels préférés: en exécutant ceux-ci depuis une clé portable, vous laisserez beaucoup moins de traces où vous allez, et vous garderez le contrôle des logiciels que vous utilisez.

Il existe également des systèmes d’exploitation qui se lancent depuis une mémoire USB configurée à cet effet (par exemple, avec Yumi). Le plus recommandé est Tails, qui se sert du réseau Tor pour rendre anonyme votre navigation.

Avec Tails, vous naviguez sans laisser aucune trace

Supprimez vos profils abandonnés ou peu utilisés

Combien de comptes possédez-vous ? Essayez de vous en rappeler. Sans doute que beaucoup d’entre eux sont laissés à l’abandon. Mais ces comptes sont toujours en ligne et quelqu’un pourrait les utiliser pour vous retrouver.

Le plus dangereux: un compte de réseau social, un blog ou une ancienne page web pourrait être utilisés pour faire du tort à votre réputation en ligne. Quiconque vous chercherait sur Google pourrait tomber sur des informations sur votre passé et les utiliser contre vous.

Faites le ménage. Fermez les comptes que vous n’utilisez pas. Demandez l’effacement de vos données. Au pire, exigez le droit à l’oubli. Quand quelque chose est publié sur Internet, ce contenu peut être copié, utilisé et multiplié. Difficile ensuite d’effacer quoi que ce soit.

JustDelete.me est une application qui vous aide à vous désinscrire de sites web

Apprenez à crypter toutes vos communications

La plupart de vos données ne sont pas protégées. Elles sont à la vue de tout le monde. N’importe qui pourrait y avoir accès et les lire facilement au moyen d’un accès physique ou à distance via votre PC ou votre téléphone. Ceci peut être évité (ou rendu plus difficile) si vous avez recours au cryptage.

Chiffrer ou crypter signifie que vous modifiez vos données pour que personne d’autre que leur destinataire ne puisse les lire. Il faut passer par des mots de passe et des technologies sophistiquées, mettant vos données hors de portée des lecteurs malveillants. Un chiffrage puissant est la meilleure garantie de votre confidentialité.

Le chiffrage est déjà utilisé par plusieurs applications que vous utilisez tous les jours, mais de façon souvent invisible. Si vous contrôlez le cryptage de vos données, vous disposez d’une protection supplémentaire. Jetez un coup d’œil aux applis de cet article.

L’appli Telegram utilise le chiffrage pour garantir la confidentialité de vos données

Utilisez un PC sans connexion pour les affaires privées

Si vous avez des documents vraiment importants, et que vous ne voulez courir aucun risque lié à la connexion Internet, vous pouvez utiliser un PC sans connexion (en anglais, cette pratique s’appelle air gap ou air wall, ce qui peut se traduire par « mur d’air »).

Pour déplacer des documents entre un PC isolé et un autre connecté, vous pouvez utiliser des clés USB. Il peut également être utile de désactiver complètement le Wifi et d’utiliser uniquement des CD ou des DVD pour transférer les fichiers.

Un vieil ordinateur qui traine chez vous pourrait servir idéalement d’air gap: vous pouvez supprimer les logiciels superflus, conserver le système d’exploitation d’origine et ne l’utiliser que pour éditer des documents qui ne doivent pas être divulgués.

Désactivez le Wifi sur le PC que vous allez utiliser comme poste de travail déconnecté

Ne partagez pas de fichiers à la légère

Le partage de fichiers a un bon côté et un mauvais côté. Le bon côté, c’est que vous pouvez mettre une image ou un document à la portée de tous. Le mauvais côté, c’est qu’avec ce fichier, vous communiquez des informations confidentielles.

Gardez à l’esprit que beaucoup de fichiers contiennent des métadonnées, des données invisibles informant sur l’endroit où une photo a été prise et qui est l’auteur du document. Nettoyez les métadonnées avant de les partager à l’aide de logiciels comme Doc Scrubber ou MetaStripper.

Des risques supplémentaires sont liés aux applis qui synchronisent des données, parfois sans votre permission. Désactivez l’envoi automatique de photos et de fichiers de vos applications favorites. Sur Android, par exemple, il est possible de désactiver la synchronisation automatique de Google+.

Vérifiez quels fichiers vous partagez et avec qui

Ne vous laissez pas piéger par de fausses promesses

Si quelque chose a l’air trop beau pour être vrai, méfiez-vous. L’utilisation de promesses attractives est une technique souvent utilisée par les cybercriminels pour vous inciter à partager des informations personnelles.

C’est une question de bon sens. Internet est le reflet du monde, et pas un parc d’attractions. Ne remplissez jamais de formulaires à la légère et méfiez-vous des emails douteux. Sur des réseaux sociaux comme Twitter, ne cliquez pas sur tous les liens.

Les arnaques et les abus sur Facebook et d’autre sites sont monnaie courante. C’est à vous de ne pas cliquer sur tout ce que vous voyez, et de vous limiter à ce qui vous intéresse et vous semble digne de confiance. Et si vous tombez dans un piège, dénoncez-le pour que d’autres utilisateurs ne connaissent pas la même mésaventure.

Contrôlez l’accès au PC et au téléphone mobile

Entre 30% et 60% des utilisateurs n’utilisent pas de système de contrôle d’accès à leur téléphone. En choisissant de ne pas utiliser de code PIN, de dessin ou de mot de passe, des millions d’utilisateurs prennent le risque de voir leurs données volées.

Apprenez à bloquer le PC et le téléphone mobile. Si vous avez une mauvaise mémoire pour les chiffres et les mots de passe, il existe des systèmes beaucoup plus intuitifs, comme les dessins sur Android ou les mots de passe photographiques de Windows 8.

Pour les plus paresseux, il existe des systèmes de blocage qui ne nécessitent pas de mémoriser quoi que ce soit, comme l’identification du visage (Blink) ou le recours à une clé USB comme clé d’entrée sécurisée (Predator).

Blink vous permet d’utiliser votre visage comme clé d’identification

Comportez-vous comme si vous étiez en public

Aucune application, même la plus sûre, ne peut garantir une confidentialité totale: si c’est le cas, elle vous ment. Vous devez considérer tous les systèmes de communication comme potentiellement dangereux.

La plus sûre des stratégies est de vous comporter comme si vous étiez en public: de façon naturelle, avec bon sens et discrétion. Et parfois, sous un déguisement, comme expliqué dans le premier chapitre de cet article. Ne vous faites pas remarquer et gardez-vous de faire des bêtises.

Partez à la reconquête de votre confidentialité

Il est tentant de penser que notre confidentialité ne court aucun risque. Après tout, pourquoi quelqu’un s’intéresserait à ce que vous faites en ligne? À en croire mon expérience, ce type de raisonnement à court terme comporte plus d’inconvénients que d’avantages. Le jour où vous vous y attendrez le moins, la légèreté pourra se payer au prix fort.

Vous n’êtes pas forcé de suivre tous ces conseils. Vous pouvez vous contenter de ceux qui sont le mieux adaptés à votre propre situation, ou de ceux qui vous paraissent les plus simples ou les moins contraignants. Vous pouvez tout aussi bien décider de n’en suivre aucun, pourvu que vous ayez saisi le message principal: ce que vous faites ou dites sur Internet peut un jour se retourner contre vous.

Et si vous avez d’autres conseils, n’hésitez pas à les partager avec nous. La reconquête de la confidentialité est plus facile si tout le monde y participe.

Pour en savoir plus:

Article original de Fabrizio Ferri-Benedetti – Softonic.com. Traduit et adapté de l’espagnol.

Sécurité: comment crypter ses données

Comment s’assurer que personne ne peut accéder à vos données confidentielles sur votre disque dur? La solution la plus sûre est le chiffrement, une opération aussi appelée -improprement- cryptage et qui rend impossible la lecture d’un document codé sans la clé de déchiffrement adéquate.

Nous allons voir ensemble comment protéger vos documents personnels à l’aide d’un logiciel de chiffrement gratuit, Open Source et particulièrement simple à utiliser: AxCrypt. Continue reading “Sécurité: comment crypter ses données”