Executive summary : Je ne ferai pas de résumé sur cette session pour deux raisons. La première est que, m’intéressant pas mal à la sécurité, je n’ai pas appris grand chose, et que du coup, je n’ai pas été très motivé pour prendre des notes. La seconde raison est que le contenu étant très riche et basé sur beaucoup de démonstration par exemple, il est difficile de faire passer la connaissance apporter sans se lancer dans des descriptions très complexes.
Bon, je tiens à préciser d’entrée de jeu que je ne fais que reprendre l’intitulé de la session, qui s’appelle réellement “Maman, j’ai rétréci les virus !”. J’imagine que le contenu sera plus sérieux que le titre…
Encore une session bien remplie : on ne refuse pas encore de monde, mais ça sera le cas dans 30 secondes.
La session de l’an dernier par les mêmes personnes étaient “Le virus est mort. Vive les malwares !”.
Introduction
Les accès internet sont désormais ubiquitaires. 85% des internautes font leurs comptes en ligne, et 70% des gens pensent acheter sur internet pour Noël.
L’idée de la session est de donner des arguments pour faire prendre les réflexes sur la sécurité.
Résumé des conclusions semestrielles de Microsoft : de plus en plus, les attaques proviennent des applications tierces (Flash, Quicktime, etc.) et non plus du navigateur lui-même, vu que l’effort de sécurisation qui a été fait a bien blindé les applications standards.
Note : ZoomIt est en téléchargement sur Microsoft.com
Tendances
Les chevaux de troie sont encore en augmentation. Les malwares les plus diffusés ne sont pas du tout les plus médiatisés. Or ce sont eux qui seront utilisés comme vecteurs dans le futur. Les attaques de fishing ont explosé grâce aux réseaux sociaux.
Sécurité = Comportement + Technologie.
Attention aux données qu’on met sur les réseaux sociaux, qui ne sont pas nécessairement privées, mais qui peuvent être utiles pour retrouver un mot de passe (nom de l’animal domestique, date de naissance, etc.)
Le reste des conseils porte sur les réseaux sociaux. Vu que personnellement, je préfère ne pas les utiliser du tout, et que je ne les connais pas, je ne vais pas reprendre tout, mais ça relève surtout du bon sens. Par exemple, ne pas informer tout le monde qu’on part en vacances pendant 3 mois pour ne pas tenter les cambrioleurs. De mon point de vue, le plus simple est de considérer simplement que ce que vous affichez sur Facebook ou autre est tout simplement public. Et vous n’iriez pas mettre une affichette chez votre boulanger pour dire que vous partez en vacances…
Finalement, ce que je trouve le plus gênant est la difficulté de purger les caches des moteurs de recherche. Si encore on pouvait à un moment fermer son compte de réseau social et qu’il ne restait rien, ça serait déjà pas mal. Mais le fait que Google garde le cache fait que l’information reste disponible.
Conseils
123people.fr est un aggrégateur de données personnelles, sous forme de moteur de recherche. Amazon rend par exemple publiques les données des wish lists, ou en tout cas les rendaient publiques aux USA.
Pour des choix de mots de passe, on peut utiliser des positions géométriques sur le clavier, ou bien les premières lettres d’une phrase, etc.
Pour les questions secrètes, ça vaut le coup de répondre avec des réponses fausses, mais dont on se rappelle bien sûr.
Autres attaques
On est aujourd’hui à 4% de mails légitimes renvoyés sur Exchange (statistiques Microsoft).
Les certificats étendus font apparaître la barre de navigation en vert dans le navigateur.
Attention aux URL courtes, car on ne sait pas sur quoi elle pointe. Il existe par contre des plugins pour voir l’adresse complète avant d’aller dessus.
ScareWare : voir ddanchev.blogspot.com
Conclusion
Session franchement portée sur l’humour, les intervenants ayant l’air de bien se connaître. Par contre, pour le contenu, ce sont les recommandations standards. Evidemment, un peu plus de profondeur que pour du grand public, mais des gens qui se tiennent au courant des problématiques de sécurité sur internet n’apprendront pas grand chose.
