Alerte au piratage 2/2


Être vigilant pour se protéger des pirates

mise en garde contre le piratageAprès la première partie de l’alerte au piratage, voici la deuxième partie de cette mise en garde sur les comportements à risque de l’utilisateur en matière de sécurité informatique.

Elle est plus axée sur ce qu’il faudrait faire et qui est rarement mise en oeuvre par l’utilisateur, même professionnel.

5 Mises à jour et ménage

Un système d’exploitation, Windows ou Apple, est fabriqué par des centaines de programmeurs.
Des milliers de tests sont passés pour vérifier que tout va bien.
Des centaines de millions sont investis dans ces développements et ces vérifications.

Cependant, comme l’être humain est imparfait, il existe des failles de sécurité, que les pirates s’ingénient à détecter.

Quand une faille 0-day est celle qui vient d’être découverte, les anti-virus ont besoin de quelques heures, au mieux, pour contrer la faille.

Quand Microsoft ou Apple a corrigé le système, et bouché la faille, sur un nombre suffisamment important de failles alors une mise à jour est poussée vers les ordinateurs.

Reporter l’installation d’une mise à jour, c’est laisser la porte ouverte aux pirates.

Les réseaux sociaux se sont développés.
Les téléchargements d’applications, de fichiers se sont aussi développés.

Ces habitudes génèrent un nombre important de connexion et de sources d’accès pour des pirates.

En faisant du ménage, c’est-à-dire en supprimant ce qui est ancien, programmes ou données, et dont vous avez oublié l’utilité, est un bon moyen de fermer des portes au nez des pirates.
Tant pis si ça prend du temps. La sécurité est à ce prix.

6 La divulgation volontaire ou presque

Au téléphone, lors d’un repas, dans une discussion de groupe au cours d’un cocktail, l’utilisateur est amené à parler de ce qu’il fait, de ce qu’il sait.

Une rencontre avec un collègue extérieur, un échange d’amabilités orienté et voilà que des informations confidentielles atteignent l’oreille de tous ceux qui veulent bien écouter et regarder.

C’est le cas si l’espion se trouve à la table d’à-côté.
À moins qu’il soit derrière l’utilisateur dans le train pendant que ce dernier travaille tranquillement assis.

Il peut aussi dérober le matériel et craquer les codes d’accès pour avoir tout le contenu du PC ou du smartphone à sa disposition.

Un filtre physique d’écran fait varier l’angle de lecture peut interdire la vue sur le matériel.

Hélas, la discrétion est l’apanage de l’être humain.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Liste des risques de sécurité informatique
Liste de mesures de sécurité informatique
Salle informatique ou salle serveur : Quels risques sanitaires ?

Gestion des risques : Le tableau ROAM
Charte informatique : Le Garant ou Officier de sécurité
4 acteurs de la sécurité informatique

Autres Informatique et Sécurité  :

Récapitulatif 19 Informatique
Récapitulatif 19 Sécurité

abonnez_vous_ICI_a_la_Newsletter

Alerte au piratage 1/2


Se protéger des pirates

protection informatiqueDans tout système de protection des données informatiques, il y a un facteur à prendre en compte, car c’est celui qui offre la plus grande faille de sécurité :

L’être humain.

L’accès illégal à l’information se fait par l’une ou l’autre des deux grandes catégories de piratage :

  1. Par des moyens techniques
  2. Par des moyens humains

Les plus efficaces sont la ruse et la tromperie.

C’est pourquoi, la protection des systèmes d’informations en mettant en place toute une batterie de logiciels est coûteuse, fastidieuse à mettre en place, et souvent inutile devant les erreurs humaines que commet l’utilisateur.

1 Le virus

Un virus informatique est un code qui se cache à l’intérieur d’un autre code informatique, d’un programme ou d’une photo.

Pourtant, le plus souvent, il est facile d’introduire un virus à l’intérieur d’un lien.
Le pirate envoie un message dans la boite-aux-lettres d’un utilisateur.

Celui-ci clique dessus, souvent en pensant ouvrir un fichier ou accéder à un site.
Sauf qu’il déclenche ainsi le code qui va transférer ses codes d’accès à son ordinateur.

Ainsi, les meilleurs pare-feu vont laisser passer le faux utilisateur qui aura laissé le pirate usurper son identité.

2 Le phishing ou le jeu

Le pire est quand, abusé, l’utilisateur va donner, de lui-même, ses codes et ses informations confidentielles au pirate. C’est le phishing ou hameçonnage.

Le faux site va collecter les informations. Il ressemble au vrai site, avec une URL proche.
Le vice va même jusqu’à envoyer le malheureux utilisateur vers le vrai site, juste après avoir recueilli ses informations.
Ni vu, ni connu.

Plus encore sur les smartphones que sur les ordinateurs, l’attrait du jeu est piégeant.

Un clic pour lancer un jeu, un quiz, un diaporama, etc. et voilà le piège se refermer et le pirate satisfait.

3 La clé USB ou Le câble

C’est devenu un classique de l’erreur humaine.

Un pirate met un logiciel espion ou un virus sur une clé USB.
Puis, il la dépose dans la rue ou sur un parking, de préférence là où il sait qu’il va pouvoir disposer d’informations souvent confidentielles.

L’utilisateur ainsi visé, trouve la clé, et, par curiosité, va l’introduire dans son ordinateur.
Ni une, ni deux, le programme pirate se déclenche dès cette introduction, sans aucune autre intervention manuelle de l’utilisateur.
Adieu les données confidentielles.

Moins commun, et tout aussi efficace est le câble de connexion piégé.

On se fait prêter un câble pour se connecter au réseau, souvent à l’extérieur de son organisation ou de chez soi, et voilà le travail : Le câble contient un dispositif ou un logiciel, qui va enregistrer et transmettre au pirate les touches sur lesquels vous appuyer.

Le plus solide mot de passe est fourni en clair.

4 Le piratage par Wifi

La borne Wifi est facteur de piratage.

Contrairement aux indications du mode d’emploi, les ondes diffusées par la borne sont captées à plusieurs centaines de mètres de distance.

Un pirate avec le matériel adéquat voit, en temps réel, tout ce que l’utilisateur voit sur son écran.
Un classique de l’espionnage.

La suite dans ce second article.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Mot de passe : En changer tous les combien ?
Sécurité informatique : Supprimer les  » faux positifs « 
Investigations ou la preuve électronique

Compétences numériques : Sécurité informatique
Sécurité informatique : Les scénarii de risques
Sécurité des données : Les 7 points capitaux du comportement responsable

Autres Informatique et Sécurité  :

Récapitulatif 19 Informatique
Récapitulatif 19 Sécurité

abonnez_vous_ICI_a_la_Newsletter

Chauffeur de maître pour étrangers : Une arnaque classique


Escroquerie pour un poste de chauffeur de maître

chauffeur de maître en 1910

chauffeur de maître en 1910

Cette arnaque fait partie des « classiques » du genre.

Un étranger handicapé ou un couple de touristes étrangers cherchent, soi-disant, un chauffeur, pour se faire conduire à travers la France, pour affaire ou pour visiter.
Très bien payé, bien entendu.

Les phrases sont bien formulées et les conditions sont très attirantes. Hélas ! Il n’y a rien de vrai là-dedans.

Seulement voilà, pourquoi ces pseudo-employeurs vous demandent votre numéro de sécurité sociale et le nom de votre banque ?
Aucun employeur n’a le droit de vous demander votre numéro de sécurité sociale ou votre banque.

Numéro de sécurité sociale

Le numéro de sécurité sociale est totalement inutile pour un contrat de travail, puisqu’il s’agit d’un numéro qui sert uniquement pour les remboursements de frais médicaux et de pharmacie.

Par contre, aux Etats-Unis, c’est l’un des éléments qui prouvent votre identité.
En effet, dans ce pays, vous pouvez dissimuler votre vraie identité sous n’importe quel nom.
Mais, l’équivalent de notre numéro de sécurité sociale ou le permis de conduire sont deux documents qui sont impérativement au vrai nom de la personne.

Cela ne vous semble-t-il pas suspect qu’on vous demande votre numéro de sécurité sociale et nom pas une copie de votre permis de conduire ?
Pour un poste de chauffeur, cela me semblerait plus légitime.
Surtout que, pour être chauffeur de maître, il faut un permis spécial.

Nom de la banque

Le nom de votre banque est tout aussi inutile pour un contrat de travail.
Par contre, un « vrai » employeur vous demandera un RIB pour lui permettre de verser votre salaire sur votre compte bancaire… quand le contrat de travail est signé et pas avant, jamais.

Site de mises en relation

Il existe des sites de mises en relation entre chauffeurs de maître et employeurs.

Ce qui est embêtant, c’est que le faux site a probablement déposé un virus dans votre ordinateur.
Passez votre ordinateur à l’anti-virus de votre choix afin de vous assurer qu’aucun logiciel indésirable ne s’y trouve.

Un tel virus peut, par exemple, transmettre des données personnelles se trouvant sur votre ordinateur, tablette ou smartphone.
Par exemple, avec le nom de votre banque, le virus peut très facilement trouver le mot de passe que vous utilisez pour y accéder parmi tous vos mots de passe enregistrés dans votre machine.
Par conséquent, il serait très judicieux d’en changer au plus vite et surtout de ne pas conserver le mot de passe dans votre ordinateur.

Dénoncez au plus vite cette arnaque au site officiel : internet-signalement.gouv.fr : Mode d’emploi en images

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Emploi chauffeur ou une belle arnaque
Arnaque à l’emploi Recevoir des loyers
Arnaques téléphoniques ou par SMS

Chômeur en France, Salarié(e) en Belgique : Fraude ou Légalité
Danger : Fausse annonce, vraie boîte-au-lettres = Complice
Sécurité Smartphone : Danger avec les paiements par téléphone

Autres Emploi et Juridique :

Récapitulatif 18 Emploi
Récapitulatif 18 Juridique

abonnez_vous_ICI_a_la_Newsletter

Sécurité informatique : Supprimer les « faux positifs »


La supervision d’un réseau informatique

supervision de réseau informatiqueDans un réseau informatique, on trouve de multiples outils de supervision du réseau, qui permettent, par exemple :

  • de détecter les intrusions, c’est-à-dire les accès non autorisés au réseau
  • de détecter et de contrer les virus et autres spams
  • de détecter un composant matériel défectueux sur le chemin de câble jusqu’à la prise informatique
  • d’enregistrer toutes les performances inhabituelles
  • de connaître tous les logiciels installés
  • de connaître les comportements non autorisés par la charte informatique, comme l’heure de connexion ou de déconnexion des utilisateurs
  • etc.

Ce sont des dizaines, centaines, milliers d’alertes qui composent les journaux (logs) quotidiens de supervision.

L’analyse de ces alertes détermine le degré de sécurité d’un réseau.
Chaque alerte doit faire l’objet d’une analyse, puis les mesures supplémentaires de sécurité seront prises en fonction des risques révélés par cette analyse.

Les « Faux-positifs »

Un « Faux positif » est une alerte qui s’avère, après examen, une fausse alerte.

Le ratio entre les alertes réelles et sérieuses et les Faux-positifs indique la précision trop élevée, trop faible ou correct des outils de supervision et de prises de mesure.

Le temps perdu à analyser des Faux-positifs est autant de temps perdu pour l’analyse des « vraies » alertes.

Réduire les « Faux-positifs »

Pour réduire le nombre de fausses alertes, voici quelques recommandations :

  1. Avoir en permanence la configuration exacte des systèmes et du réseau
  2. Assurer la formation continue du personnel en charge de la sécurité
  3. Evaluer la fiabilité et l’obsolescence des systèmes de sécurité
  4. Affiner les réglages et paramètres des outils de supervision
  5. Installer les mises à jour des logiciels de supervision
  6. Regrouper les données événementielles identiques et répétitives
  7. Regrouper les événements de sécurité provenant de différentes sources
  8. Rapprocher les alertes de sécurité avec les vulnérabilités des systèmes
  9. Automatiser le traitement de certaines alertes choisies pour leur moindre criticité
  10. Sensibiliser les utilisateurs à la sécurité, notamment sur ce qui est acceptable ou non
  11. Mettre en oeuvre un processus d’amélioration continue
  12. Automatiser les tableaux de bord de la gestion de la sécurité du réseau

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Réseau LAN ou WAN ralenti : Comprendre 1/2
Parefeu : Optimisation des règles
Compétences numériques : Sécurité informatique

4 acteurs de la sécurité informatique
Sécurité informatique : Les scénarii de risques
Charte informatique : Le Garant ou Officier de sécurité

Autres Informatique et Sécurité :

Récapitulatif 18 Informatique
Récapitulatif 18 Sécurité

abonnez_vous_ICI_a_la_Newsletter

Fausses offres d’emploi


Fausses offres d’emploi

fausse offre d'emploi : dégagePuisque Internet est le média principal pour trouver des offres d’emploi, certains arnaqueurs utilisent de fausses annonces pour vous voler.

L’offre d’emploi est même publiée sur des sites les plus consultés, comme celui de Pôle emploi, les réseaux sociaux, les sites d’annonces ou les sites d’emploi (jobboards).

Ces fausses offres sont aussi envoyées directement par mail dans les boîtes-aux-lettres de leurs futures victimes.

Les chômeurs sont les plus vulnérables, notamment ceux qui sont inscrits depuis longtemps comme demandeurs d’emploi à Pôle emploi.

D’un côté, une offre propose un emploi, sans qualification particulière, généralement un travail à domicile, avec des revenus assez élevés pour attirer.

De l’autre, une personne qui cherche un emploi et prête à tomber dans le panneau.

Où commence la vigilance ?

Elle commence avec du bon sens. Si toute peine mérite salaire, est-ce ne rien faire ou presque, sans qualification ni diplôme, mérite un bon salaire ? La puce vous vient-elle à l’oreille ?

Pas encore ?

Si, après avoir cliqué sur le lien, votre ordinateur commence à être ralenti, ou à ouvrir des pages sans votre avis, ou vous annonce un bogue ou encore la mise en place d’un logiciel, cela n’attire toujours pas votre méfiance ?

Toujours pas ?

Et si, on vous demande de remplir un formulaire dans lequel vous allez devoir renseigner, sans même avoir rencontré un représentant de l’entreprise, vos coordonnées bancaires, votre numéro de Sécurité sociale ou/et de carte de séjour, vos codes d’accès à Internet, etc., est-ce suffisant pour vous méfier ?

Et si

On vous demande de l’argent, soi-disant pour des frais de dossiers ou toute autre justification, avant même de signer un contrat, vous êtes toujours aussi crédule, alors méritez-vous ce qui vous arrive ?

Le bon sens nous titille de vous dire que vous avez vraiment besoin que l’on vous mette les points sur les i.

Dans ce cas, il vous reste vos yeux pour pleurer.

Quand vous aurez constaté :

  • un piratage de votre compte,
  • l’utilisation illégale de votre identité,
  • la disparition de sommes d’argent de votre compte,
  • l’absence de contrat de travail,
  • l’inexistence de l’entreprise qui a publié cette offre frauduleuse,

alors signalez votre mésaventure dans le portail officiel de signalement des contenus illicites sur internet !

Philippe Garin

Pour être accompagné (e) dans votre recherche d’emploi, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Arnaques, fraude, virus : Pôle emploi met en garde
Carte bancaire au téléphone : prenez vos précautions
Sécurité des données : Les 7 points capitaux du comportement responsable

Devise 048 : Plus grand est le sourire, plus aiguisé est le couteau
Des offres d’emploi trop belles
Stagnation dans sa recherche d’emploi : se remettre en question

Autres Emploi,Juridique et Sécurité :

Récapitulatif 17 Emploi
Récapitulatif 17 Juridique
Récapitulatif 17 Sécurité

abonnez_vous_ICI_a_la_Newsletter

Internet : Naviguer en toute sécurité


Conseils pour surfer sur le net

le bon sens par DescartesUn peu de bon sens

L’envie de cliquer sur une page, une publicité, un courriel, qui propose monts et merveilles, un héritage ou un gain à un jeu mirifique, un emploi très rémunérateur sans rien faire ou presque, de maigrir de 10 kg en 3 jours ou une semaine, etc. est parfois tellement fort que cette technique de pirates, est très répandue.

Avec un peu de bon sens, posez-vous la question de savoir si cela a un sens, si le message ne cache pas une mauvaise intention

Signe d’alerte : langue et orthographe

Quand vous recevez un message en anglais, alors que vous ne parlez pas cette langue, est déjà un premier signe d’alerte. Pourquoi un tel message vous parvient-il alors que vous n’avez rien demandé ?

Un message ou une page avec des fautes d’orthographe flagrantes doit vous sauter aux yeux et vous faire réagir : s’agit-il d’une mauvaise traduction pour imiter un site officiel ou d’une incompétence du rédacteur.

URL et demande de renseignements

De nombreux courriels vous incitent à cliquer sur une pièce jointe ou à répondre à une demande de renseignements sous peine de perdre d’accès à un site. Ce sont des pièges.

Vous risquez de télécharger, involontaire de votre part, un virus avec toutes les conséquences graves pour vous et votre matériel.

Ne transmettez jamais de profil et mots de passe, par mail, en remplissant un formulaire ou par téléphone, surtout si c’est celui qui est dans la demande.

Vérifiez l’URL, « http… »,  du site ou l’adresse mail qui envoie le message. En cas d’incertitude, abstenez-vous. Les menaces d’interruption de service sont vides de sens, sans un courrier postal dans votre « vraie » boîte-aux-lettres.

Vos mots de passe

Trois consignes à respecter :

  1. Changez vos mots de passe régulièrement. Au moins trois fois par an
  2. Créez vos mots de passe avec majuscule, minuscule, chiffre, caractère spécial (surtout les lettres accentuées inexistantes sur les claviers qwerty)
  3. Jamais deux fois le même mot de passe : ne reprenez pas d’anciens mots de passe et utilisez un mot de passe pour un seul site ou compte pour éviter qu’en cas de piratage, vos autres comptes restent protégés

Mises à jour

Plus votre système, Microsoft, Linux ou Apple, est dans la dernière version et plus vous bénéficiez des protections les plus récentes contre les dangers d’Internet.

Privilégiez les mises à jour automatique de votre navigateur et de vos logiciels, même ceux que vous avez acheté sans les télécharger, surtout s’il s’agit de logiciels de sécurité, anti-virus, parefeu, etc.

Analyser votre matériel

Smartphone, tablette et PC ont besoin de protection. C’est pourquoi, lancer une analyse de votre système peut détecter des virus. En effet, il y a un certain temps entre le moment où un virus se propage et le moment où votre antivirus va pouvoir le détecter. Dans cette période, votre matériel peut être infecté et seule une analyse complète permet de détecter toute anomalie.

Philippe Garin

Pour une meilleure sécurité de votre informatique, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Sécurité informatique : Les scénarii de risques
Charte informatique : Le Garant ou Officier de sécurité
Devise 048 : Plus grand est le sourire, plus aiguisé est le couteau

Keylogger : Espionnage facile de votre PC
Enlèvement d’enfant : Des mesures simples de protection
Moyens de protection d’accès à mon PC

Autres Informatique et Sécurité:

Récapitulatif 16 Informatique
Récapitulatif 16 Sécurité

abonnez_vous_ICI_a_la_Newsletter

Quand le canular crie au loup


Hoax : Quand le canular crie trop « au loup »

présence du loup en France en 2014

source : Breizh info

Bien intentionné, l’internaute reçoit un message d’alerte, s’en inquiète et rediffuse l’alerte auprès de ses contacts pour les alerter à leur tour.

Ce genre de canular (hoax) est fréquent et l’information se répand à la vitesse de la lumière sur la Toile.

Lorsqu’il s’agit d’une vraie alerte, a priori, rien de spécial à dire.

Par exemple, certains enlèvements d’enfants ont échoués et le ravisseur appréhendé grâce aux alertes sur Internet.
Sauf que ces alertes sont lancées dans un cadre législatif précis, et suffisamment rares pour avoir l’impact attendu par les autorités compétentes.

Mais, lorsqu’il s’agit d’une fausse alerte, on se laisse prendre ou pas.
Et lorsque cette alerte est répétée, à un moment donné, on se laisse tenter, on se laisse prendre et on s’inquiète.

abonnez_vous_ICI_a_la_Newsletter

Le pire

Avec la répétition de cette fausse alerte ou l’arrivée de multiples fausses alertes, on ne prête alors plus d’attention aux VRAIES alertes, que l’on confond ainsi avec des canulars.

Ce cri « au loup », et l’indifférence qui génère par sa répétition, a pour conséquence que les informations utiles, les vraies alertes, les vrais appels à l’aide sont noyés et pris pour d’autres canulars ou hoax.

Malheureusement, c’est une technique employée aussi par les spams et par les malandrins à l’affut de personnes crédules qu’ils sollicitent pour de fausses affaires ou des dons à des personnes qui n’en ont pas besoin,
ou encore par des personnes qui utilisent de tels messages pour introduire un virus chez l’internaute.

Avec un canular de type « au loup », l’internaute doit rester très vigilant, garder son sang-froid et répondre aux sollicitations de toutes sortes en recoupant préalablement plusieurs sources de confiance, de préférence, des organismes officiels ou à la réputation sans tache.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Emploi : Licenciement et Contrôle de référence
Ce que vous devez atteindre
Signalez un mail frauduleux

Devise 033 : ça ne fait pas de mail de flatter son patron
Secourir 5/5 : Protéger, Alerter
Critiqué(e) en public : Comment réagir

Autres Communication, Informatique et Sécurité :

Récapitulatif 14 Communication
Récapitulatif 15 Informatique
Récapitulatif 15 Sécurité

abonnez_vous_ICI_a_la_Newsletter

%d blogueurs aiment cette page :