Mot-clé: sécurité

J’entends souvent : « Je n’ai rien à voler! Je n’ai rien de valeurs! Je ne suis pas une cible intéressante! » Vous êtes plus vulnérable que vous ne le pensez! Un malware peut rendre votre ordinateur inopérable et des hackers peuvent vous demander une rançon pour le débloquer. Un malware peut écouter les touches de votre clavier et accéder à vos comptes de banque et usurper votre identité. Vous pourriez être ciblé afin d’obtenir de l’information privilégiée sur l’organisation pour laquelle vous travaillez ou sur vos partenaires.

Des milliers de compte de la nouvelle application Disney ont été hackés et vendus sur le marché noir!

Quelques semaines après le lancement de la nouvelle application Disney et déjà des milliers d’utilisateurs ne sont plus capables de se connecter à leur compte. Y avait-il une faille de sécurité dans l’application Disney? D’après les informations que nous avons au moment d’écrire cet article, la faille vient des utilisateurs eux-mêmes! Êtes-vous de ceux qui utilisent la même adresse courriel et le même mot de passe (ou une variante) pour chaque site web? He bien voilà! Il suffit qu’un des sites auquel vous êtes inscrit soit hacké pour que vos données personnelles se retrouvent vendues sur le marché noir des données personnelles. D’autres hackers prennent vos informations, créent des robots qui testent vos identifiants sur tous les sites principaux connus. Les hackers connaissent tous les trucs que les gens utilisent pour créer des variantes à leurs mots de passe et les tests jusqu’à ce qu’il connecte à un compte. Une fois connectés, ils changent le mot de passe et l’adresse courriel et vous expulsent de votre compte. Votre carte de crédit est toujours active et votre compte se renouvelle automatiquement…

Comment se protéger?

Voici quelques étapes faciles pour rendre les actions précédentes moins aisées aux hackers et les amener à chercher une autre cible que vous. N’hésitez pas à communiquer avec nous pour en savoir plus.

  1. Faites les mises à jour! Toutes les mises à jour: PC, Mac, programmes, applications, téléphones, tablettes, navigateurs, routeurs, modems, serveurs, sites web, imprimantes, etc. Il y a continuellement des failles de sécurité qui sont découvertes et toutes les entreprises travaillent activement à les réparer. Plus vite les mises à jour de vos programmes sont faites, moins longtemps vous êtes exposés aux failles. Tout est une question de vitesse.
  2. Utilisez un antivirus à jour pour vos ordinateurs MAC, PC et téléphone Android. L’antivirus Avast est gratuit pour MAC, PC, les téléphones et tablettes Android, ils offrent également une version payante très économique avec plus d’options. Vous pensez qu’un MAC n’a pas besoin d’antivirus… détrompez-vous https://www.howtogeek.com/217043/xprotect-explained-how-your-macs-built-in-anti-malware-works/. Au moment d’écrire cet article, il n’existe pas encore d’antivirus pour iPhone et iPad.
  3. Apprenez à reconnaître les courriels et les appels téléphoniques d’hameçonnage. N’ouvrez pas ces courriels, ne cliquez pas sur les liens et ne donnez pas vos informations personnelles par téléphones à quelqu’un qui vous appelle. Attention à l’usurpation d’identité (spoofing) des courriels et des numéros de téléphone. Il existe aussi de l’hameçonnage par la poste. Le site de l’Agence du revenu du Canada explique les types d’hameçonnages et comment s’en protéger https://www.canada.ca/fr/agence-revenu/organisation/securite/protegez-vous-contre-fraude.html À noter, pour les organisations, il y a beaucoup d’hameçonnage pour le renouvellement des noms de domaines. Si vous ne vous souvenez plus du nom de la compagnie chez qui vos noms de domaine sont enregistrés, communiquez avec nous.
  4. Dans un monde idéal, n’inscrivez jamais vos informations personnelles (nom, adresses, téléphone cellulaire, date de naissance) sur des sites internet. Le plus souvent possible, utilisez des informations bidon. Tous les sites sont vulnérables à ce faire hacker, moins vous laissez vos informations personnelles sur les sites, moins de chance aurez-vous qu’elles se retrouvent dans les mains des hackers et sur le marché noir de la vente des données personnelles.
  5. Choisissez un mot de passe unique, de 16 à 24 caractères alpha-décimales aléatoires, avec caractères spéciaux pour chaque site, ordinateur, compte, etc. C’est ici que le gestionnaire de mot de passe de l’étape suivante va vous faciliter la vie! Un mot de passe de 6 caractères alpha-décimales avec caractères spéciaux est déchiffrable en ~1 minute. Un mot de passe de 8 caractères en ~3 heures. Un mot de passe de 12 caractères en ~3 ans. Un mot de passe de 16 caractères ~31710 années. Un mot de passe de 24 caractères ~3169 milliards d’années. Référence: https://www.expressvpn.com/fr/password-generator
  6. Utilisez un gestionnaire de mot de passe, tel que LastPass, 1Password ou BitWarden pour vos identifiants personnels et ceux de votre organisation. Un gestionnaire de mot de passe est un programme qu’on installe dans son navigateur et dans son téléphone et qui permet de garder dans une chambre forte tous les identifiants et mots de passe de tous les comptes que vous possédez. Le gestionnaire vous permet aussi de générer des mots de passe sécuritaires de 16 à 24 caractères (voir étape précédente) sans avoir le souci de les retenir ou de les taper manuellement, puisque le gestionnaire remplit automatiquement les formulaires de connexion des sites que vous visitez. Dans la chambre forte, on peut aussi inscrire des notes avec du texte et joindre des documents. Vous n’aurez ainsi qu’un seul mot de passe maître de 16 à 24 caractères à retenir. Mais est-ce une bonne idée de garder tous mes identifiants dans une chambre forte gérer par un programme? Nous avons fait plusieurs recherches à ce sujet. D’abord, ces programmes cryptent deux fois vos données. Ensuite, si votre mot de passe maître est suffisamment long (16 à 24 caractères), il ne sera pas possible pour un hacker de déchiffrer vos données. Ensuite, le risque que les données se fassent voler dans votre gestionnaire de mot de passe est moins grand que le risque que vos données se fassent voler en cascade si vous utilisez le même mot de passe de moins de 8 caractères sur tous les sites que vous visitez, même avec une variante quelconque. Les hackers et leurs programmes pour tester les mots de passe connaissent tous les trucs et astuces. Il leur suffit de trouver un mot de passe pour rapidement trouver tous les autres mots de passe de tous les sites que vous utilisez avec la même adresse courriel… Le gain de sécurité que vous apporte un gestionnaire de mot de passe l’emporte haut la main sur le risque de son utilisation.

En tant qu’organisation nous avons une obligation légale d’assurer la sécurité des données de nos employés, clients et partenaires. Nous vous invitons fortement à mettre en pratiques les 6 premières étapes. Si c’est le cas, nous pouvons vous affirmer que vous venez d’augmenter la sécurité de vos données numériques de 600%! Bravo! Il y a d’autres étapes afin d’améliorer la sécurité de vos données. À suivre dans un prochain article…

Si la sécurité numérique vous intéresse, nous vous recommandons fortement d’écouter le balado Darknet Diaries, une mine d’information par un expert en sécurité. Chaque épisode est bâti comme une histoire, ça se dévore!

En tant que propriétaire ou administrateur de sites internet, vous êtes plus susceptible de vous faire hameçonner. Voici quelques règles de sécurités à observer et les techniques d’hameçonnage dont vous devez vous méfier.

1) En tant que propriétaire de sites internet, vous êtes susceptible de recevoir des courriels d’hameçonnage vous demandant de renouveler votre nom de domaine ou votre hébergement web

Lorsque la date de renouvellement de votre nom de domaine ou de l’hébergement de votre site web arrive à échéance, vous pourriez recevoir un courriel frauduleux vous invitant à renouveler rapidement afin de ne pas perdre votre nom de domaine ou votre site web. Assurez-vous de connaître le nom de l’entreprise chez qui sont enregistrés vos noms de domaines et l’hébergement de votre site web. Voici la liste des principales compagnies avec qui nos clients font affaire : Koumbit, DomainePlus.com, GoDaddy, Funio, Likuid. Vérifiez toujours le nom de domaine de l’expediteur, par exemple info@godaddy.com ce n’est pas la même compagnie que info@go.daddy.com. Finalement, si vous n’êtes pas certains de l’identité de l’expéditeur, ne cliquez pas sur les liens du courriel. Pour en savoir plus sur l’hameçonnage, voyez le site de la Gendarmerie royale du Canada http://www.rcmp-grc.gc.ca/scams-fraudes/phishing-fra.htm

Pourquoi à la date de renouvellement de mon nom de domaine ou de mon site web suis-je plus à risque de recevoir un courriel d’hameçonnage?

Parce qu’il existe un registre publique des propriétaires de noms de domaine et on y retrouve la date d’expiration des noms de domaine. Les hackers savent donc à quel moment vous envoyez le courriel d’hameçonnage. Voyez https://www.whois.com pour rechercher votre nom de domaine dans le registre.

2) Si vous utilisez une adresse courriel créer à partir de votre nom de domaine, assurez-vous que vos courriels soient cryptés

Tous les hébergeurs offrent la possibilité de créer des adresses courriel à partir de votre nom de domaine. Par exemple notre nom de domaine est www.zaa.cc et notre adresse courriel générale est support@zaa.cc. Lorsque vous configurer votre adresse courriel dans votre logiciel préféré (Outlook, Mail, Thunderbird) ou dans Gmail, Hotmail/Live ou Yahoo, assurez-vous d’utiliser les paramètres de chiffrement SSL/TLS. https://en.wikipedia.org/wiki/Email_encryption Lors de la création de votre adresse courriel, dans le panneau de configuration de votre hébergeur, les codes POP/IMAP et SMTP vous serons fournis, sélectionnez toujours la version SSL/TLS afin que vos courriels soient cryptés. Le cryptage de vos courriels empêche qu’un tiers ne puissent les lire lorsque le message circule sur le web. Un courriel avant de se rendre à l’expéditeur doit passer par plusieurs serveurs et chaque serveur peut techniquement lire vos courriels s’ils ne sont pas cryptés. N’hésitez pas à nous écrire à support@zaa.cc, si vous avez besoin d’aide pour la configuration de votre adresse courriel.

3) Ne transmettez pas de mot de passe ou d’information personnelle par téléphone ou par message texte

Depuis plusieurs années, n’importe quels gouvernements, compagnies de téléphone ou groupes malintentionnés peuvent écouter et enregistrer toutes les communications passant par le réseau cellulaire SS7. À ce sujet, voyez le reportage d’Enquête du 23 novembre 2017 http://ici.radio-canada.ca/tele/enquete/site/segments/reportage/48148/enquete-ss7-ecoute-telephone-reseaux-securite Il suffit pour cela que les pirates informatiques aient votre numéro de cellulaire. Ils sont également en mesure de savoir à partir de quelle tour cellulaire vous vous êtes connecté, pouvant ainsi vous géolocaliser. Afin de protéger vos comptes bancaires, courriels et autres, assurez-vous d’utiliser une communication qui passe par le web et qui est cryptée. Pour cela, il existe des applications afin de sécuriser vos conversations et messages. Nous vous recommandons Signal https://signal.org/, pour en savoir plus http://ici.radio-canada.ca/nouvelle/812903/triplex-snowden-signal-application-android-ios-info Pour en savoir plus sur la sécurité de vos communications http://ici.radio-canada.ca/nouvelle/1069181/protection-appels-textos-telephones-cellulaire-reseau-securite-espionnage-applications

4) Utilisez des mots de passe forts

Pour tous les sites web auxquels vous vous connectez, assurez-vous d’avoir des mots de passe forts et uniques pour chaque site web. L’objectif est d’empêcher les robots de découvrir vos mots de passe. Voici les meilleures pratiques pour la création de mots de passe:

  • Utiliser un mot de passe d’une longueur de 12 à 14 caractères (8 étant le minimum);
  • Utiliser des lettres minuscules et majuscules, ainsi que des chiffres et des symboles (!@#$%?&*();
  • Créez des mots de passe aléatoire lorsque possible;
  • Surtout, n’utilisez jamais 2 fois le même mot de passe;
  • Évitez la répétition du même caractère, des séquences de caractères sur le clavier, des mots du dictionnaire, des séquences de lettres ou de chiffres
  • Évitez d’utiliser le nom d’utilisateur comme mot de passe ou le nom de personnes proches ou d’animaux de compagnie ou encore des informations personnelles (numéro d’identification, noms des parents/enfants ou dates d’anniversaire);
  • Évitez d’utiliser un mot de passe qui peut être connu par des collègues ou des connaissances.

Source: https://en.wikipedia.org/wiki/Password_strength

Gestionnaire de mots de passe

Une autre solution consiste à utiliser un gestionnaire de mots de passe que vous pouvez utiliser à la fois sur votre ordinateur et votre téléphone/tablette. Un gestionnaire de mot de passe vous permet de créer des mots de passe aléatoires et différents pour tous les sites que vous utilisez. Nous vous recommandons LastPass https://www.lastpass.com/ Notez qu’il est préférable de connaître par coeur le mot de passe de son compte bancaire.

Si vous avez des questions, n’hésitez pas à nous écrire à support@zaa.cc.

Nous joindre

Écrivez-nous pour une rencontre gratuite dans le but d'évaluer
vos besoins et avoir un devis support@zaa.cc ou appelez-nous au ‭+1 514 723-2673‬.

Nom
Email
Message

Votre message a bien été envoyé.
Erreur! SVP, validez les champs suivant:
NOM: Assurez-vous d'entrer votre prénom et nom de famille.
EMAIL: Assurez-vous que l'adresse courriel est valide.

Nous remercier... c'est nous référer!

[ ZAA.CC ] Design web / Montréal Saint-Jean Laurentides Abitibi Gaspésie Québec / Confidentialité / Creative Commons License