Sécurité des biens et des personnes – Audits Conseils

Mis à jour le 12 janvier 2019MichelHacking Éthique22CommentairesFacebook56TwitterEmailPlus d’options…5

Le hacking et les moyens de sécuriser son ordinateur se font de plus en plus populaires. Les personnes prennent de plus en plus conscience des risques, mais souvent les moyens de se protéger sont complètement erronés et pourtant bien ancrés dans la tête des internautes.

Dans l’article d’aujourd’hui je vais reprendre sous forme compilée les 5 grands mythes sur le Hacking avec les liens vers les articles qui en parlent.

Non seulement je vais donner ces 5 mythes mais aussi vous dire ce que vous devriez faire à la place.

Note: Je préviens une nouvelle fois les puristes que le terme “hacking” est volontairement utilisé dans le titre même si le mot “piratage” est plus adapté dans certain cas.

Mythe 1 : Il faut un bon antivirus ou passer sous Mac/Linux

Ce qu’on pense : “Si l’antivirus dit que tout est ok, c’est que tout est ok”. “De plus, je vais passer sous Linuxet je n’aurais plus de soucis avec les piratages”.

En réalité : Les éditeurs d’antivirus ont contribué malgré eux au développement de piratage faciles. En effet, l’antivirus ne détient pas la vérité absolue et ce n’est pas parce qu’il dit que tout est en ordre que c’est vraiment le cas. Le cas du phishing (ou hameçonnage) nous le prouve bien. J’en ai suffisamment parlé et je ne vais pas y revenir.

Pour le cas Mac et Linux, c’est la même chose, croire qu’on est en sécurité nous rend vulnérable, car on l’est peut-être un peu plus, mais on ne l’est toujours pas totalement.

Mythe 2 : Si je ne télécharge rien, il n’y a pas de risques

Ce qu’on pense : “J’utilise juste Internet pour Facebook et lire mes mails, je télécharge jamais rien donc j’ai pas de soucis à me faire”.

En réalité : Bien qu’un programme malveillant n’apparaît jamais par hasard sur votre ordinateur, il n’est tout de même pas nécessaire d’installer quoi que ce soit sur votre ordinateur pour vous pirater.

La preuve est la même que celle du mythe précédent : Les pages de phishing et tout autre moyen ne demandant pas de télécharger peuvent être utilisés pour pirater.

Mythe 3 : Si je vois le cadenas et httpS, je suis en sécurité

Ce qu’on pense : “On m’a dit que https voulait dire que mes données étaient sécurisées et que je pouvais donc acheter ou me connecter en toute confiance”.

En réalité : Cela demande de connaître plus précisément le fonctionnement de https. Ce dernier va chiffrer la communication entre votre ordinateur et le serveur hébergeant le site que vous visitez. Ainsi, si une personne intercepte votre trafic réseau, notamment avec Wireshark, elle pourra récupérer les données mais elle ne pourra pas les déchiffrer, contrairement à un site qui utilise http.

Par contre, si un programme espion se trouve sur votre ordinateur, ou si encore une fois vous êtes victime de hameçonnage, le cadenas et https ne servent absolument à rien.

Le programme espion récupère ce que vous tapez au clavier, il s’en moque donc que le trafic soit sécurisé du côté du réseau. La page de phishing quant à elle peut très bien être en https, mais le pirate est l’auteur du site et recevra donc vos informations sans aucun problème.« Non, vous n’êtes pas forcément en sécurité sur un site HTTPS »CLIQUEZ POUR TWEETER PARTAGER SUR FACEBOOK PARTAGER SUR LINKEDIN

Mythe 4 : Si un pirate a mon adresse IP il peut me pirater

Ce qu’on pense : “Il y a des pirates très très forts qui peuvent entrer dans mon ordinateur si jamais ils récupèrent mon adresse IP”.

En réalité : Cette fois, il s’agit de l’effet inverse, c’est-a-dire la peur systématique bien que justifiée d’être piraté.

En disposant de votre adresse IP, on peut au mieux vous localiser approximativement et vous surcharger de requêtes. Rien à voir avec le fait de se faire voler son mot de passe ou de se retrouver avec un “hacker dans son ordinateur” venu via votre IP.

Mythe 5 : On peut pirater un compte avec un seul programme

Ce qu’on pense : “Les vrais pirates utilisent des programmes spécialisés pour pirater des comptes”.

En réalité : Je pensais pourtant avoir bien insisté sur ce point, mais visiblement trop de personnes continuent à croire dur comme fer qu’il est possible de pirater avec un seul programme.

Je vais donc prendre le problème dans l’autre sens : Oui il est possible de pirater avec un programme, mais c’est vous qui allez être piraté au lieu de pirater quelqu’un d’autre. Ces programmes agissant comme des programmes de phishing.

Voir l’article: Comment un pirate peut hacker votre compte Facebook et comment vous en protéger.

Mieux comprendre comment se protéger

Note générale pour tous ceux (ou celles) qui seraient tombé(e)s ici en voulant hacker un compte Facebook, peu importe la raison :

Je commence par vous prévenir immédiatement : non seulement vous ne trouverez pas ce que vous cherchez ici, mais en plus il n’est PAS possible de trouver un mot de passe d’un compte à l’aide d’un outil à la demande.

Si l’on vous propose de hacker un compte en un clic en fournissant juste votre adresse e-mail ou un lien vers un profil, vous risquez de vous faire avoir ! Ce sont vos informations qui risquent d’être recueillies !

Vous tomberez d’ailleurs souvent sur “404 Not Found“, “Page indisponible pour une durée indéterminée” ou même le fameuse image GIF de la barre de chargement qui ne s’arrête jamais…

Ne téléchargez pas de programmes tout faits et ne donnez jamais votre propre mot de passe à qui que ce soit.

Internet regorge de tutoriels du type “Comment hacker un compte Facebook EXCLU” ou : “comment pirater un compte Facebook en 2 secondes !”. C’est simple, ne croyez aucun de ces tutoriels et surtout ne téléchargez aucun programme peu importe les “preuves” ou explications détaillées.

Puisque j’aime bien les preuves, je vais vous en donner une

Je me suis rendu sur ces sites dont je viens de parler. Si vous trouvez (à juste titre) que ce titre est “racoleur”, dites-vous que je vous évite de payer dans le vide, ou de VOUS faire pirater !

Voilà ce que vous demande un tel site avant de “pirater un compte” :

Et voici ce qu’il se passe lorsque vous payez une “offre”, un “abonnement” ou autre :

On tombe même sur un autre site avec une page prédéfinie. Peu importe le code obtenu, peu importe le nombre de fois où je clique, paye ou m’abonne, je tombe sur “404 Page introuvable” sur un site hébergé gratuitement.

Voyez par vous-même

Si l’envie de cliquer est plus forte que vous, vous n’avez qu’à observer les pages qui s’y trouvent, les mentions légales (si déjà il y en a) et l’orthographe. Souvent, ces pages n’existent même pas, le support non plus, des fois on lit même dans les “conditions” en tout petit que “aucun mot de passe ne sera récupéré” et qu’il ne s’agit que d’un “site de divertissement”.

Je vous propose également de systématiquement les signaler (internet–signalement.gouv.fr). La police sait traiter ces cas et vous aidera en cas de problème. Vous pouvez également joindre la brigade cybersécurité en ligne via le tchat sur le site de la gendarmerie.

Vous pouvez également signaler ces sites aux plateformes de micropaiement si vous êtes arnaqués :

Je m’adresse maintenant à tous les internautes qui souhaitent apprendre comment se défendre contre les cybermenaces. Effectivement, trop de comptes sont encore piratés d’une manière ou d’une autre, la preuve est là, vous êtes tous les jours très nombreux à me demander de l’aide pour récupérer votre compte Facebook.

Allons donc plus dans les détails et étudions un peu plus ces pirates avant d’apprendre concrètement à nous défendre.

Notre but est ici de ne plus tomber dans ces pièges et de bien sécuriser notre compte.

Comprendre comment un pirate peut hacker votre compte Facebook afin de vous en protéger

Démonstration des mécanismes de sécurité mis en place afin de constituer notre défense

Nous allons au fil de l’article déduire des points essentiels que vous devez absolument mettre en œuvre pour protéger votre compte.

Il est assez difficile de prédire ce que Facebook va faire (et c’est leur but) mais si un pirate se connecte à votre compte depuis un lieu et un ordinateur inhabituel, Facebook le détectera.

Ici par exemple, si on essaye de se connecter en se faisant passer pour un habitant du Texas qui utilise son téléphone mobile, la page suivante s’affiche :

Si une personne essayer d’accéder à votre compte même en ayant votre mot de passe elle sera probablement bloquée pour avoir accédé à votre compte à partir d’un lieu inconnu ! (loin de chez vous)

Facebook nous signale un accès suspect

Il arrive également que des étapes de vérification supplémentaires soient demandées à partir de là :

Facebook demandait (ça change souvent) une réponse à une question secrète ou encore d’identifier des amis du compte piraté :

En plus de ça, un e-mail est généralement envoyé (si l’option est activée dans les paramètres du compte) :

L’adresse IP du compte connecté est donc affichée avec d’autres informations d’identification.

Et enfin, si l’utilisateur a bien sécurisé son compte (on en reparlera à la fin de l’article), Facebook envoie un code par SMS, ce qui rend toute tentative inutile sans avoir le portable en question sous la main :

Point très intéressant qui en découle : Il est donc très important pour nous d’associer notre compte à notrenuméro de téléphone.

Et si maintenant vous croyez encore au programme qui peut hacker un compte Facebook en 3 secondes, j’espère que vous comprenez mieux que Facebook est quand même sécurisé et heureusement.

Facebook est sécurisé, certes, mais d’où viendrait donc le problème ?

Peut-on tout de même se faire pirater notre compte Facebook ?

Sous certaines conditions, notamment lorsque vous n’avez pas activé l’option code de sécurité par SMS ou tout autre option de récupération de compte (adresse de secours,). Pareil si le pirate habite très proche de vous ou s’est déjà connecté depuis votre propre ordinateur. Une nouvelle piste s’offre donc à nous dans le cas d’un piratage : le pirate n’habite peut-être pas si loin de chez vous, peut-être qu’il s’est même connecté à votre ordinateur dans le passé…

Dans le cas où votre compte a été piraté, le pirate ne sera pas non plus anonyme techniquement parlant, car les traces d’accès au compte peuvent quand même être enregistrées, on y reviendra.

Que peut-il faire s’il ne connaît pas notre mot de passe ?

Toujours selon les options activées sur Facebook, il est possible d’être averti par mail de tous messages, événements…etc.

À partir de ce moment, sécuriser son compte Facebook ne suffit plus, il faut également bien sécuriser son compte mail lié à Facebook. C’est un autre point IMPORTANT et à ne surtout, surtout pas négliger.« À partir de ce moment, sécuriser son compte Facebook ne suffit plus »CLIQUEZ POUR TWEETER PARTAGER SUR FACEBOOK PARTAGER SUR LINKEDIN

Voilà un exemple de conversation directement affichée dans un e-mail, visible sans même avoir besoin d’être connecté à Facebook :

Le pirate peut donc accéder à votre vie privée publiée à la base uniquement sur Facebook. Et cela en récupérant le mot de passe de l’adresse e-mail associée à votre compte.

L’adresse e-mail est donc très importante et je répète, il ne faut pas la négliger pour sécuriser correctement son compte, et cela explique pourquoi on peut vous avoir piraté “sans même être entré dans votre compte”. Comme quoi c’est bien possible. Je répète : l’adresse e-mail est une donnée très sensible à sécuriser comme si c’était vos clés de la maison !

Autres techniques de piratage dont il faut se protéger :

Les pages de Phishing :

Il s’agit de copier un site officiel pour récupérer votre mot de passe. J’en ai fait tout un article que je vous invite donc à consulter ici : Phishing Facebook, explications et contre-mesures.

Les Keyloggers :

Il s’agit de logiciels espions que vous risquez d’installer sur votre ordinateur si vous ne faites pas attention. Là encore, j’en parle dans cet article : Keyloggers, explications et contre-mesures.

Dans tous les cas, protégez-vous contre ces menaces mais aussi et surtout contre d’autres ruses psychologiques du type manipulation sociale. C’est encore un point important on on dit même que la plupart des piratages réussis sont issus d’une ruse et non pas d’une faille technique !

Le Blog Du Hacker vous aide pour sécuriser votre compte et votre vie privée, n’hésitez pas à publier un commentaire si vous avez un souci de sécurité.

Ce qu’il était possible de faire dans le passé

• Il est toujours possible pour un pirate de cliquer sur le fameux bouton “Mot de passe oublié” d’un compte. Seulement Facebook renforce énormément sa sécurité à ce niveau, il vous demandera donc éventuellement une réponse à une question secrète. Et surtout il faudra que 3 amis de ce compte communiquent des numéros de sécurité qu’il recevront sur leurs téléphones portables. Ces 3 amis sont visiblement maintenant choisis au hasard. Assurez-vous donc d’avoir et de choisir des amis de confiance.
• Pour supprimer un compte, une personne un peu glauque pouvait truquer un certificat de décès afin de demander Facebook de fermer un compte. Si ça vous arrive, contactez Facebook pour qu’il vous restitue votre compte, tout simplement. Même chose pour les usurpations d’identité ou autres dénis de service envers votre compte.
• Une technique assez vicieuse permettait de poster sur Facebook à la place d’un utilisateur. Il s’agissait d’envoyer un e-mail à une adresse spécifique. Le corps du message était posté comme si l’utilisateur venait de poster lui-même (pour cela pas d’inquiétude, ce n’est plus possible, mais je mentionne cela pour signaler encore une fois que la sécurité de votre compte Facebook va au delà de Facebook lui-même) :

Ne partagez donc jamais cette adresse secrète, ni votre numéro de téléphone, ni votre adresse e-mail, ni votre mot de passe ni toute autre information personnelle à un inconnu.

Encore d’autres techniques malveillantes expliquées par Facebook lui-même

Le piratage ne concerne pas uniquement le vol de mots de passe. Il existe des techniques permettant de voler des informations précises uniquement ou de vous faire exécuter des actions qui rapportent typiquement de l’argent à leurs auteurs.

Parmi ces techniques, on notera :

Le sharebaiting

source: mycommunitymanager

Les arnaqueurs utilisent le sharebaiting pour faire croire aux internautes qu’en partageant un contenu donné, ils recevront quelque chose en échange, par exemple il pourront regarder une vidéo. Si cela se produit, n’hésitez pas à le signaler (recommandations officielles).

Vous pouvez également observer vos sessions actives et votre historique personnel qui vous donnent beaucoup d’informations sur qui est connecté à votre compte à partir de quel endroit.

Le Self XSS

Il s’agit ici de vous faire croire que vous allez pirater une personne ou effectuer toutes sortes d’actions soi-disant géniales alors qu’en fait vous aller exécuter de votre propre gré du code malveillant qui vous sera nuisible.

On vous demande typiquement de copier/coller un certain code dans la barre d’adresse ou dans la console du navigateur pour exécuter ces actions.

Facebook prévient d’ailleurs qu’il s’agit d’une fonctionnalité de navigateur conçue pour les développeurs et qu’un code suspect pourra donner accès à votre compte Facebook.  :

Comment sécuriser son compte une fois pour toutes

Après avoir mieux compris comment un pirate peut hacker votre compte Facebook, nous allons voir comment le sécuriser pour de bon. J’ai déjà donné des pistes tout au long de mes explications précédentes, mais voici le résumé.

• Il vous faut activer les notifications de connexions et les approbations de connexions.
• Il vous faut choisir un mot de passe compliqué et unique (non utilisé autre part).
• Il vous faut faire attention à l’adresse e-mail (mot de passe compliqué et unique également) et au numéro de téléphone associés au compte.
• ll vous faut vérifier régulièrement les sessions actives.
• Équipez vous de logiciels de sécurité.
• Faites attention à ce que vous dites et faites en ligne !

Voici les paramètres optimaux à définir sur votre compte Facebook pour éviter bien des soucis (Compte -> Sécurité) :

Comme l’a très bien remarqué un internaute dans les commentaires, les “37 appareils reconnus” ici constituent une menace. Facebook ne lancera pas d’alerte de connexion suspecte pour ces appareils. Terminez donc les sessions des appareils que vous n’utilisez plus, ou pas souvent !

Autres conseils généraux à toujours avoir en tête

• Changez régulièrement tous vos mots de passe (y compris de l’adresse e-mail) et restez vigilant.
• Ne donnez jamais votre mot de passe, ni à votre ami, ni à vos proches (sans avoir vérifié l’authenticité de la demande).
• Sachez reconnaître et contrer des techniques de manipulation visant à récupérer votre mot de passe.
• Gardez un antivirus à jour sur votre ordinateur, qui lui-même doit être à jour.
• Continuez à vous informer sur la sécurité informatique afin de toujours mieux naviguer de façon sécurisée.
• Suivez les dernières recommandations de sécurité auprès de Facebook directement.

Que faire si j’ai été piraté et comment récupérer mon compte ?

Vous lisez cet article trop tard ? Si le mal est fait, il est plus difficile de se remettre sur pied, mais nous allons essayer ensemble.

Commencez par analyser votre PC, connectez-vous à un endroit sûr pour changer les mots de passe que vous pouvez encore changer.

PS: cela ne sert à rien de changer un mot de passe le plus vite possible, si un logiciel espion est présent sur votre ordinateur, il récupérera le nouveau mot de passe aussitôt, et vous perdrez votre temps !

Facebook a prévu des procédures pour récupérer votre compte, voici le lien : https://www.facebook.com/help/131719720300233

Vous pourrez habituellement récupérer votre compte grâce à des identifications spécifiques liées à vos amis(on en parlait plus haut), grâce à votre numéro de téléphone (on en parlait également)…etc.

N’oubliez pas que vous pouvez toujours contacter Facebook pour leur expliquer un problème si jamais la situation s’envenime. Voilà comment contacter Facebook et obtenir de l’aide  : https://www.facebook.com/help/220217228006012

Vous pouvez également vous faire aider de vos amis en leur demandant de signaler votre compte comme étant piraté. Voici d’ailleurs une preuve que signaler le compte piraté avec ses amis fonctionne :

Merci d’avoir lu jusqu’au bout. Prenez vraiment votre sécurité au sérieux.