La sécurité des données personnelles et le Web

sécurité des données

La navigation sur le Web devrait être, par essence, une expérience privée entre l’internaute et le site Web, sans que cela ne donne lieu à des actes d’espionnage, à des attaques par des hackers ni à des utilisations frauduleuses ou modifications de données personnelles.

L’Internet se développe vite et touche un grand nombre de public et sa sécurité devient, s’il ne l’est déjà, une préoccupation majeur tant pour les professionnels que pour l’utilisateur lambda.

Les récentes attaques du ransomware, ou rançongiciels, Petya subis par les utilisateurs du net, ont mis à l’évidence la problématique de la sécurité de la Toile.

La sécurité informatique consiste donc à la mise en œuvre de l’ensemble des moyens pour réduire ou éradiquer les risques de menaces volontaires ou intentionnelles tels piratages, virus informatiques, e-mails non-sollicités, cryptologie ou encore surveillances insidieuses des utilisateurs ou analyses des traces laissées lors de la navigation.

Tous les experts s’accordent à dire que la majorité des applications Web sont vulnérables. Ces failles dépendent de plusieurs facteurs : l’expertise du développeur, la complexité et la conception du site et de la négligence des utilisateurs eux-mêmes.

Comment se présentent ces attaques ?

vol de donnees

Suivant leur objectif, les pirates informatiques utilisent différentes méthodes dont les plus courantes sont :

  • Le « déni de service » en bombardant un site de milliers de requêtes, bloquant ainsi temporairement son fonctionnement.
  • L’attaque « jour zéro » en exploitant une faille existante, non connue des concepteurs, dans un logiciel pour dérober des informations ou détruire un système informatique de l’intérieur.
  • L’« hameçonnage » par l’envoi de courrier mettant l’utilisateur en confiance et l’invitant à télécharger une pièce jointe contenant un virus.

À titre d’exemple, WannaCry et Adylkuzz se sont introduits dans des ordinateurs vulnérables grâce à une faille de Windows. WannaCry s’est répandu 150 pays en infectant plus de 300.000 ordinateurs tandis que AdylKuzz, plus furtif, a infecté beaucoup d’ordinateur pour générer des crypto-monnaie, monnaie virtuelle, de type Bitcoin et envoyées à des adresses cryptées. Ce genre de monnaie est adoptée par des sites comme AlphaBay, un des plus gros marchés noirs d’internet, sur lequel on peut trouver tout et n’importe quoi, légalement ou non.

Et le ransomware baptisé NotPeya, une méchante variante de Petya, avec d’importants mécanismes de diffusion, crypte les fichiers et la zone d’amorce MBR de l’ordinateur, rendant la machine inutilisable. NotPetyase propage, comme WannaCry, en exploitant la vulnérabilité MS15-010 par SMB, connue sous le nom Eternal Blue.Malgré l’application des correctifs Windows, suite à l’attaque de WannaCry, NotPeya a encore pu sévir.

Le Scamming

Le ‘Scamming’ sont des actions frauduleuses exécutée par de faux experts de grandes firmes informatiques :en contactant leurs prochains victimes par téléphone, pour les avertir par de soi-disant infection future de leur ordinateur par un virus, un malware, etc…

En convaincant leur victime, dans cette conversation, de se connecter sur un site internet sur lequel la victime recevrait des instructions pour nettoyer son ordinateur du virus ou de la malware mais qui s’avère être, en réalité, un site d’hameçonnage, ils peuvent accéder aux données personnelles comme les comptes en banque ou les informations sur les cartes bancaires.

Le Phishing

La tactique employée ici est simple : envoyer un e-mail au nom de la banque, sous n’importe quel prétexte (panne technique, enquête interne, etc.), afin d’attirer leur victime sur un site falsifié aux couleurs de la banque pour inviter la victime fournir ses données personnelles telles que son numéro de convention Internet Banking, son mot de passe ou encore les données de ses cartes de crédit, etc…L’imagination de ces malfaiteurs dans le domaine du Phishing ne connaît pas de limites.

Le Pharming

Cette technique d’escroquerie, plus insidieuse que le Phishing, nommée Pharming, apparait actuellement sur Internet.

Par l’installation d’un Cheval de Troie, d’un virus ou d’un vers sur un ordinateur à l’insu de son utilisateur, grâce à différentes techniques,qui va détourner l’accès d’un site Internet vers un site falsifié. Agissant au niveau des liens entre l’adresse saisie dans le navigateur et l’adresse IP (adresse numérique sous laquelle le site est enregistré dans le réseau Internet), en tapant l’URL de sa banque, l’utilisateur est redirigé vers un faux site (le plus souvent imitant l’écran de connexion de la banque), où il est invité à fournir ses données personnelles telles que numéro de convention Internet Banking, mot de passe, contenu intégral de sa carte de sécurité, etc…Données qui sont ensuite utilisées pour dévaliser les comptes.

Comment y faire face et se prémunir d’un possible attaque ?

Aucun pays et aucune organisation, que ce soit étatique (ministères…), financière ou autre, sans exception, n’est pas à l’abri d’attaques informatiques.

Pour les sites e-commerce ou autres

Pour les sites collectant des données sensibles (cartes bancaires, mots de passe, espace membre,…), la mise en place d’une connexion sécurisée est plus que conseillée.

Google préconise la généralisation du HTTPS. En plus, pour mieux inciter les sites à s’y souscrire, par le biais de Chrome, les sites e-commerce qui s’y conformeront, seront les premiers touchés par les moteurs de recherches et bénéficieront, en prime,d’un Bonus SEO !

Dans le cas contraire, la non-observation de cette directive de sécurisation du site sera pénalisée par une signalisation à travers Google Chrome des sites incriminés et de facto,ils verront leurs ventes baissées.

L’objectif du couple SSL & HTTPS est d’assurer une connexion sécurisée entre le serveur web qui héberge un site internet et le navigateur utilisé pour le consulter. »

Pour un site internet, un certificat SSL (Secure Socket Layer) est un fichier de données qui lie une clé cryptographique aux informations d’une personne physique ou d’une personne morale. Netscape et Mastercard ont élaboré ce procédé pour la sécurisation par chiffrement des transactions faites sur internet. Également appelé certificat électronique ou certificat numérique ou certificat de clé publique, le certificat SSL peut être assimilé à une carte d’identité numérique.

Ce certificat, qui permet de sécuriser les informations échangées entre 2 ordinateurs, est utilisé en général, pour :

  • Des applications bancaires
  • Pour accéder à des sites sécurisés
  • Pour envoyer des courriers ou factures dématérialisés
  • Pour des déclarations d’impôts…

Un certificat SSL est délivré et signé par un tiers de confiance (autorité de certification ou CA), comme GlobalSign,Symantec,ChamberSign France. Ces tiers de confiance attestent ainsi le lien entre l’identité morale ou physique et l’entité numérique.

Pour le simple internaute

Pour le simple internaute, afin de ne pas devenir la prochaine victime d’attaque, il doit se conformer à certaines habitudes et pratiques de l’utilisation de l’internet :

  • Ne jamais communiquer des données personnelles et sensibles en réponse à un e-mail ;
  • Ne pas ouvrir les pièces jointes des messages électroniques suspects (fautes d’orthographes, pièces jointes au nom trop succinct ou trop générique, etc.) ;
  • Ne pas suivre les liens des messages électroniques suspects et vérifier la cohérence entre l’adresse affichée dans le contenu et le lien effectif ;
  • Appliquer les correctifs de sécurité fournis par les éditeurs de logiciels ;
  • Restreindre les programmes autorisés à être exécutés par l’application de stratégies de restriction logicielle ou d’Applocker pour les systèmes Windows, ou options de montage en lecture seule des répertoires temporaires et de l’utilisateur pour les systèmes UNIX ;
  • Durcir la configuration des logiciels bureautiques ou autres logiciels utilisant des données issues de l’Internet ;
  • Restreindre l’autorisation des macros dans les suites bureautiques ;
  • Désactiver le moteur JavaScript des lecteurs PDF ;
  • Activer les bacs à sable (sandbox) des logiciels le permettant ;
  • Installer des plugins en fonction des browsers utilisés pour restreindre par défaut l’interprétation de code JavaScript ;
  • Configurer le pare-feu des postes de travail pour empêcher les flux de poste à poste ;
  • Veiller à la mise à jour fréquente des signatures et du moteur des anti-virus employés ;
  • S’assurer que le droit en écriture n’est accordé qu’aux utilisateurs qui en ont réellement le besoin et contrôler régulièrement les droits d’accès sur les partages réseau ;
  • Faire des sauvegardes régulières et des tests de restauration et stocker les sauvegardes des éléments les plus sensibles sur des supports déconnectés, hors ligne.

La cybersécurité optimale : l’affaire de tous !

Pour tous acteurs de l’internet, aussi bien les particuliers que les entreprises, l’application de quelques bonnes pratiques améliorera la sécurité sur le Net ;

  • Identifier avec précision ce qui est essentiel à leurs activités pour les sociétés, à leur vie personnelle pour le simple internaute
  • Classifier ce qu’il est essentiel de protéger tant pour les entreprises, en fonction de leurs métiers et de leurs usages professionnels de l’internet, que pour les simples internautes en triant les données qu’ils souhaitent protéger, à leurs usages, à leur vie numérique.

Les risques numériques étant presque connus de tous, désormais il faut faire de la cybersécurité un réflexe comme mettre sa ceinture en montant dans une voiture !

Si cet article vous a plus, n’hésitez pas à  contacter notre agence web.

Pierre-Luc GERVAIS
Go for it
Pierre-Luc GERVAIS

Pierre-Luc GERVAIS

Ingénieur EEA ,Pierre-Luc GERVAIS a debute en SSI chez Transiciel .Consultant SI pour de grands groupes Télécom ou bancaire (Cegetel, SFR , Euronext ). Fin 1990 Carriere aux USA ou jdans la logistique (UPS) et l’industrie automobile (Toyota),CRM) . Après une mission au sein d’une NGO à Madagascar, PLG a fondé une agence digitale en externalisation à Madagascar en 2008 Orion digital a adopte une démarche Inbound Marketketing l et est donc un partenaire de choix pour externaliser en toute sécurité votre transformation digitale . Nous sommes Hubspot Partner depuis 2018.

Orion Digital Business

Orion Digital Business est une agence digitale 60  en externalisation offshore a Madagascar depuis 2005 .

Vous avez besoins d’aide ?

Gardons contact sur LinkedIn

Vous pouvez aussi vous abonner a notre chaine Youtube

Articles Récents

Actualités Video

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur whatsapp

Orion Digital Business est une agence digitale 60  en externalisation offshore a Madagascar depuis 2005 .

Vous avez besoins d’aide ?

Gardons contact sur LinkedIn

Vous pouvez aussi vous abonner a notre chaine Youtube