Suite au récent piratage de notre site web, nous avons étudié comment cela a été possible. Des mesures sont prises par chacun qui collabore sur les différents systèmes informatiques de l'IAPC pour permettre d'éviter le plus possible ce genre de désagréable mésaventure. Il s'avère que, dans la majeure partie des cas, cela peut être évité en prenant quelques mesures élémentaires.
Nous souhaitons vous faire profiter de quelques recommandations de base pour vous permettre de sécuriser vos données personnelles. Nous disposons tous de divers comptes privés sur internet: mail, applications web comme Facebook ou autre site web perso, e-banking, etc. Pour diverses motivations, des hackers cherchent à s'emparer de vos données d'accès, soit pour usurper votre identité, soit pour effectuer des arnaques ou pour faire des activités commerciales illégales.
Même si Linux est considéré comme plus sûr que Windows, ces recommandations restent valables quel que soit le système d'exploitation, PC, serveurs ou smartphones confondus.
Voici ces quelques recommandations élémentaires:
- Quelle que soit l'application, un mot de passe personnel ne doit JAMAIS être transmis à des tiers. Remarque: Le gestionnaire de l'application, par exemple Google, Facebook, Swisscom, etc. n'aura jamais besoin de connaître votre mot de passe, que ce soit administrativement ou techniquement; il n'en a pas besoin ! Il est aussi important de le garder secret comme le numéro de carte de crédit ! Utiliser pour tous vos mots de passe au minimum 8 caractères, contenant au moins une majuscule, une minuscule et un chiffre. Veiller à ne pas utiliser des mots trop faciles à deviner. Utiliser des caractères aléatoires est la méthode la plus sûre.
- Utilisez des logiciels et un système d'exploitation à jour. Remarque: les mises à jour corrigent les failles de sécurité, rendant votre PC plus sûr.
- Ne pas conserver ses noms d’utilisateurs et mots de passe lors d’utilisation de son browser Internet.
- Ne pas conserver ses noms d’utilisateurs et mots de passe dans son gestionnaire FTP.
- Si vous utilisez un NAS ou le Cloud, Dropbox ou autre système de partage de fichiers, ne déposez jamais un fichier en clair contenant des noms d’utilisateurs et des mots de passe; seule une base de données keepass est raisonnable (logiciel libre). Remarque: Les formats de fichiers pdf, txt, Word, Excel, etc ne sont pas cryptés. Compresser avec zip ou rar n'est pas efficace sans ajouter une protection par un mot de passe. Le programme libre keepass est la meilleure solution pour stocker des information d'identification. http://keepass.info
- Ne pas conserver ses noms d’utilisateurs et mots de passe en texte dans son PC. Remarque points 2 à 5: Des programmes "malware" peuvent s'installer à votre insu simplement en surfant sur internet. Certains de ces programmes peuvent transmettre des données personnelles à des tiers, par exemple des mots de passe dans des fichiers en clair.
- Appliquez très régulièrement les mises à jour proposées pour votre CMS: Joomla, Spip, Wordpress, etc. Remarque: comme pour votre PC, les mises à jours corrigent les failles permettant à un attaquant de s'emparer de votre site.
- Sous Windows, installer un antivirus puissant, même gratuit: Avast, Avira, Microsoft Security Essentials par exemple.
- Sous Windows, installer impérativement un anti-malware performant; Malwarebytes en est un excellent. Remarque points 7 et 8: contrôler régulièrement que les mises à jour soient faites.
- Éviter absolument d’avoir les mêmes paramètres d’accès pour la base de donnée MySQL et l’administrateur de votre site. Remarque: certains hébergeurs lient les comptes ftp avec MySQL. Dans ce cas, changer ce mot de passe régulièrement.
- Ne pas envoyer des noms d’utilisateurs et mots de passe par Internet en clair. Remarque: utilisez par exemple keepass qui est crypté par une clé. Transmettre la clé dans un message séparé sans donner de détails ou mieux, la donner par téléphone ou par SMS.
- Ne copiez jamais vos données en clair sur une clé USB que vous pourriez prêter par la suite; même si vous l’effacez ou formatez la clé, il est facile de récupérer les données.
- N’offrez jamais un disque dur, même défectueux, à quelqu’un d’autre si vous y avez auparavant stocké vos données. Remarque points 12 et 13: même après un formatage, il est facile de récupérer les données. Le PC de la personne à qui on a transmis le disque ou la clé peut avoir des "malwares" qui peuvent transmettre vos données personnelles à des tiers, permettant la prise de contrôle de votre site web ou votre boîte mail. Il existe des programmes qui permettent de brouiller les données du disque ou la clé USB mais ils ne sont efficaces qu'en faisant au moins 3 passes successives. La destruction physique du disque reste la solution la plus efficace.
- Attention aux Cybercafés ! Remarque: ces endroits sont connus pour être les pires endroits qui soient en matière de sécurité informatique. "Malwares", virus, "Key-loggers" sont monnaie courante. Dans la mesure du possible, démarrer le PC sur une distribution "live" de Linux et vérifier que la souris et le clavier soient directement connectés par fils au PC sans passer par un boîtier intermédiaire. Si ce n'est pas possible, changez tous les mots de passe que vous avez saisis dans le cybercafé dès que possible sur un PC sûr. Si vous avez utilisé une clé USB, faire dès que possible un scan antivirus sur un PC sûr.
Enfin, pour conclure, si vous vous êtes malgré tout fait hacker votre site ou votre boîte mail, ne cherchez pas à entrer en contact avec le hacker ou à le provoquer; il sera plus fort que vous. Se contenter de changer les mots de passe, restaurer les données et mettre à jour sans faire de bruit est la meilleure solution.