Bonne résolution #2 : réviser ses préjugés

#PASDEVIRUSSURMAC

Même si pour certains ce n’est pas un scoop, non Mac OS n’est pas infaillible !

En 2017, nombreux sont encore les utilisateurs qui pensent que leur pomme peut rester « 100% bio » sur le Web. Sans pesticides, elle risque bien de devenir rapidement « véreuse ».

Un antivirus sur Mac n’est pas un luxe ! Même si ce système reste moins attaqué que Windows, il n’en demeure pas moins invulnérable. La récente annonce de trois vulnérabilités « 0 day » [1] visant les utilisateurs de Mac OS, actuellement en vente dans le blackmarket [2] comme le précise Damien BANCAL, le démontre une nouvelle fois. Le rançongiciel [3] Kidnap présenté aux dernières Assises de la Sécurité par un chercheur de la société Eset a mis en avant une importante faiblesse de Mac OS : un fichier exécutable sans extension est par défaut lancé dans le terminal ! Le créateur de Kidnap avait créé un fichier exécutable avec un icone et un nom faisant croire à l’utilisateur qu’il s’agissait d’un fichier JPEG, mais avec un simple espace derrière la fausse extension JPEG, il était exécuté par le terminal et chiffrait l’ensemble des fichiers contenus sur l’ordinateur, sans même éveiller la moindre suspicion chez l’utilisateur. Vous pourrez le découvrir dans cette excellente interview réalisée par Le Comptoir Sécu.

#HTTPS=100%SECURE

Pour les utilisateurs s’imaginant avertis, le cadenas vert indiquant qu’un certificat SSL/TLS est reconnu par une autorité de certification qui a « pignon sur rue » pour la connexion HTTPS à site Web, est un gage de sécurité à 100%. Attention, l’utilisation du protocole HTTPS / SSL/TLS indique que les échanges avec le serveur hébergeant le site Internet se font de manière chiffrée, ce qui est une excellente chose, mais cela ne signifie pas que vous êtes en sécurité absolue ! L’algorithme de hachage est également très important. L’utilisation de SHA1 est aujourd’hui à proscrire, l’utilisation de SHA256 est un minimum. Malheureusement, rare sont les personnes qui épluchent les détails techniques des certificats. Le module CipherFox sur Firefox permet d’y jeter un œil rapidement. Pour les utilisateurs de Google Chrome, les certificats SHA1 ont désormais droit à un cadenas rouge qui fait peur !

Autre détails que l’on a tendance à oublier, c’est qu’une « attaque man in the middle » [4] sur le protocole HTTPS ça existe. C’est d’ailleurs ce que font certains éditeurs de produits de sécurité qui renvoient leur propre certificat HTTPS au client afin de pouvoir « déchiffrer » les échanges, comme le précise les concepteurs de l’excellent (et Français) module additionnel pour Firefox CheckMyHTTPS. Module que je vous recommande vivement, permettant en un clic de vérifier que le certificat affiché par votre navigateur correspond bien à celui émis par le serveur.

Et pour finir, l’utilisation du protocole HTTPS et le beau cadenas vert rassurant c’est bien, mais n’oubliez pas de vérifier que vous êtes sur le bon site et non une copie illégitime en vérifiant le nom de domaine se trouvant dans la barre d’adresse de votre navigateur. Les sites d’hameçonnage en HTTPS ça existe aussi :

Firefox depuis quelques temps déjà affiche le nom de domaine du site Internet plus foncé que le reste de l’adresse de la page afin d’éviter les confusions qui peuvent naitre de certaines ruses : 

#USBSANSDANGER

Les clés USB ne sont pas toutes inoffensives ! Non, on ne doit pas brancher une clé USB dont on ne connait pas la provenance, sous prétexte de vouloir découvrir ce qu’elle contient. Pour celles et ceux qui l’ont oublié, c’est grâce à des clés USB laissées sur un parking que le virus Stuxnet a pu atteindre les centrales nucléaires iraniennes.

Le connecteur USB devenu standard de charge pour nous tablettes et smartphone, n’est lui non plus pas toujours un allié. Ne branchez jamais vos périphériques sur un chargeur USB (aéroport, chargeur mobile…) avec un câble USB permettant le transfert de données. Utilisez toujours un câble ne permettant que la charge. De nombreux utilisateurs se sont fait aspirer leurs données par ce type de chargeurs malicieux.

Pour la sécurité de nos données, révisons nos préjugés !

[1] Faille de sécurité n’ayant fait l’objet d’aucune annonce et d’aucun correctif de sécurité.

[2] Boutiques en ligne sur des réseaux anonymisés du type « dark net » commercialisant des produits ou services illégaux.

[3] Logiciel malveillant prenant en otage un système d’exploitation ou des fichiers dans le but de percevoir l’argent d’une rançon.

[4] Une personne tierce s’interpose sur une connexion entre deux entités pour espionner leur dialogue.