By

La sécurité sur internet expliquée à ta grand mère

Read in the dark

Liste de choses à savoir pour être un minimum en sécurité sur internet

Récap sécu

La base du comportement en ligne pour préserver sa sécurité. Ce n’est pas exhaustif, pas maximal, mais c’est mieux que rien.

  1. Récap sécu
  2. 1 HTTPS
  3. 2 ADRESSE
  4. 3 LIENS CACHÉS
  5. 4 LIENS RACCOURCIS
  6. 5 CONTENU SENSIBLE PAR MAIL
  7. 6 PIÈCES JOINTES
  8. 7 COMMENT CHOISIR UN MOT DE PASSE
  9. WHY?
  10. BREF

1 HTTPS

quand vous allez sur un site et qu’on vous demande d’entrer des informations sensibles (mots de passe, carte bleue même email ou autre) il faut toujouuurs vérifier qu’au début de l’adresse web du site il y a httpS et pas juste http. Ça veut dire que la communication entre votre ordinateur/téléphone et les serveurs du site est cryptée et que personne ne peut intercepter les infos. Les navigateurs affichent un petit cadenas FERMÉ dans la barre d’adresse quand c’est bon. Si y’a https mais que c’est barré en rouge ça veut dire c’est chaud : on ne peut pas être sûr que c’est bien le site en question qui va recevoir les infos.

2 ADRESSE

Ça a l’air con comme ça mais faut toujours vérifier qu’on est bien sur le site qu’on croit. Genre https://appple.com ou facebookk.com ou le-monde.com ça marche pas et faut absolument pas faire confiance.

Ou même http://storeireq485.itunesoffer59.co.uk/app/secure/index.php?em=jeanne@mail.fr : y’a marqué store, itunes, secure et tout mais c’est tout pourri et c’est même pas en https. Dans ce cas qui est un peu compliqué il faut regarder ce qu’on appelle le nom de domaine. C’est ce qu’il y a avant .fr .co .com .co.uk .net etc. donc ici itunesoffer59 : c’est clairement pas un site de confiance pour réinitialiser ses identifiants Apple.

A fortiori sur les sites des banques pour les paiements en ligne.

3 LIENS CACHÉS

Souvent dans les mails les liens sont cachés derrière un texte. Comme ça. Simplement en laissant la souris dessus on voit la vraie adresse vers laquelle on va aller. Avec vos gros doigts sur un téléphone on reste appuyé dessus, on copie l’adresse/url du lien, et on le colle dans une note.

Même si ça dit “ To cancel your purchase within 14 days of receiving this invoice, go to Cancel and Manage Subscription. “

Si un téléchargement commence on se dépêche de l’annuler. S’il a eu le temps de finir pas de panique il suffit la plupart du temps de surtout pas ouvrir le fichier, le supprimer, vider la corbeille. En cas de doute on fait tourner un antivirus.

4 LIENS RACCOURCIS

Dans les mails normaux que vous recevez les liens ne devraient PAS être raccourcis. Qu’ils soient cachés ou non. Un lien raccourcis ressemble à ça : http://bit.ly/2fSznOW ou à ça. Ne PAS cliquer en général sur ces liens mais plutot demander à un site internet de les checker pour vous c’est à dire de dé-raccourcir le lien. Cliquer sur le premier lien de cette section pour voir ce genre de sites.

5 CONTENU SENSIBLE PAR MAIL

Personne, jamais, dans aucune circonstance, entreprise état ONG ou autre, ne vous demandera des infos sensibles par mail. Donc ne jamais répondre. Même si c’est un billing Apple de 100000€ qui a besoin de votre mot de passe pour être annulé parce qu’ils ont détecté une fraude potentielle. Ou impots.gouv.fr qui vous demande votre numéro fiscal pour vérifier un remboursement de trop-perçu. Bref on moufte pas, aucune info par mail.

6 PIÈCES JOINTES

Évidemment au moindre doute on télécharge surtout pas une pièce jointe. La plupart des boites mails proposent un preview du contenu. Si le preview ne montre rien ou est illisible par la boite mail c’est pas bon signe.

7 COMMENT CHOISIR UN MOT DE PASSE

Dans l’idéal, un mot de passe ressemble à ça BxQ3>CfK;D4!Gw9Z5+%. Et y’en a un différent par site oueb. Mais on sait que vous allez pas le faire. Donc du coup à défaut de faire un mot de passe impossible par site, et quitte à n’en avoir qu’un, il faut en faire un bien sécurisé et faire gaffe à ce qu’il ne se perde pas. Une méthode pas optimale mais pas mal :

  • vous choisissez deux ou trois mots en français (ou autre langue mais pas en anglais)
  • vous leur mettez des majuscules au début
  • vous les collez, vous les séparez par un symbole genre ! ou : ou >
  • et puis vous finissez par 3 ou 4 chiffres.

Si vous arrivez à une longueur au moins 12 c’est gagné. Par exemple Bien!Jamais:2703. Évidemment on évite les mots qui marchent aussi en anglais genre Cool ou Anus. Vérifiez que vous avez un bon mot de passe (mais de manière générale ne faites pas confiance à ce genre de site!!).

Ça en gros c’est le minimum syndical en ligne pour pas se faire défoncer son mot de passe en 3 secondes. Idéalement on fait même un peu mieux que le process précédents : on inverse des lettres dans les mots, on choisit des mots de différentes langues, on invente à proprement parler des mots, on met des chiffres au milieu, on alterne majuscules minuscules etc. etc.

Et dans l’idéal on a plusieurs mots de passe différents. Pour les plus aventureux voir Dashlane ou 1Password qui sont des “password managers”.

WHY?

C’est vraiment hyper important de se protéger un minimum en ligne. Avec un compte Apple, Facebook, Gmail ou Amazon on peut faire beauuuucop de bétises. Demandez autour de vous à ceux à qui c’est arrivé : c’est très chiant de devoir changer d’adresse mail alors que tout le monde croit que tu utilises encore l’ancienne. Ça peut être compliqué de supprimer un compte (faut prouver qu’on est soi) et c’est hyper relou de changer son adresse mail de tous les sites sur lesquels on est inscrit. Pourquoi on ferait ça? Parce que la personne mal intentionnée peut demander à ces sites de réinitialiser votre mot de passe, et ces sites enverront les infos pour changer le mot de passe à … l’adresse qu’on vous a volée.

C’est pas très dur non plus, à partir d’une adresse mail, de voler une identité : en cherchant dans les archives on peut trouver votre adresse, le nom de membres de votre famille, votre date de naissance, vos autres adresses mail, votre métier, vos amis proches, vos vacances, peut-être même une photocopie de carte d’identité scannée y’a longtemps ou un passeport envoyé par mail un jour pour un visa, etc. bref faut pas négliger la puissance de vos archives mail. Surtout vous les pros!

BREF

Donc les mails on fait attention aux liens quand on a un doute, on télécharge surtout pas les pièces jointes. En ligne on vérifie le https et l’adresse. On choisit un mot de passe solide. Au moins si vous avez vraiment la flemme de changer de mot de passe rajoutez 4 chiffres à la fin : les deux choses les plus importantes sont la longueur et le mix chiffres-lettres (sauf password000000, ça ça compte pas ; ni fucktrump911)