Protégez votre vie numérique

La sécurité de nos PC et de nos réseaux est une thématique récurrente qui nous concerne tous. On a beau être prudent, le "tout online" et les régulières failles de sécurité dont on entend parler font peur. Même s'il n'y a rien eu de majeur depuis le crack de WPA2 en 2017 (si ce n'est l'arrivée tout doucement de WPA3, par exemple sur le Samsung Galaxy 1O) ou des failles impliquant des CPU qui ont fait les choux gras des journaux l'an passé, Meltdown et Spectre, il vaut mieux être prudent. Pas question ici de vous dire de mettre Windows 10 à jour (on n'a pas vraiment le choix, de toute façon), d'installer un antivirus, de favoriser le WPA au WEP et de ne pas utiliser votre date de naissance comme mot de passe. Ce dossier vous aide à aller plus loin en renforçant la sécurité de votre réseau (firewall, Wi-Fi, paramètres IP.. .). Aussi à comprendre et utiliser Windows Hello pour renforcer la sécurité tout en apportant plus de confort. Nous évoquerons longuement les mots de passe, histoire d'en utiliser de meilleurs, de détecter ceux qui seraient compromis via une base de données hackée et, comprendre et mettre en place là 2FA (2 Form Authentification) puis pour simplifier tout ça, l'usage de gestionnaires de mot de passe performants comme LastPass ou Dashlane. Nous ferons également le point sur les méthodes d'authentification, notamment les solutions d'identification biométriques. Nous verrons également comment renforcer la sécurité de vos données en activant le chiffrement de SSD et HDD, sans impact sur les performances et faire un audit de votre sécurité depuis Internet (êtes-vous vulnérable depuis l'extérieur ?).

Ajoutons qu'en tant qu'expert technique de la famille, vous êtes probablement son prescripteur. Ou peut-être à votre bureau dans le cas d'une petite entreprise. Ne négligez surtout pas les failles béantes de sécurité qui peuvent exister chez ces personnes qui comptent sur vous, en particulier chez celles qui utilisent encore du vieux matériel qui n'est plus à jour et bien plus vulnérable.

Une étude d'Avast, certes un peu âgée (en 2015), réalisée en plein Paris et portant sur plus de 7500 réseaux Wi-Fi analysés montre que 36,5% des réseaux ne sont même pas protégés et que 61,5% utilisaient encore une protection WEP que n'importe quel hacker digne de ce nom sait contourner en quelques minutes ! Une aberration quand on sait que le WPA2 est né il y a déjà 13 ans et que vous l'utilisez probablement vous-même depuis des années. Le but de ce dossier n'est pas de rendre votre PC et vos données invulnérables à 100%, car si un hacker de talent vous a identifié et cherche à tout prix à vous nuire, vous aurez beaucoup de mal à lui résister. Mais sorti des films, ce genre de cas n'existe pour ainsi dire pas. Ce qui compte, c'est d'adopter de bonnes habitudes sécuritaires au quotidien pour éviter de compromettre vos informations sensibles et, quand bien même un de vos mots de passe se retrouverait dans la nature, que vos comptes restent protégés.

Sécuriser son réseau

Avec l'avènement des appareils mobiles et autres objets connectés, chaque foyer possède désormais un véritable petit réseau qui est autant sujet aux problèmes de sécurité que les entreprises. Du wi-Fi au partage des fichiers, il s'agit d'avoir maintenant les bons réflexes face à de potentielles difficultés.

Lorsque l'on parle de sécurité réseau, le premier terme qui nous vient à l'esprit est sans doute le Firewall ou pare-feu. Cet outil, qu'il soit intégré au système d'exploitation, dans un routeur ou sous la forme d'une application, permet de protéger un système d'intrusion de l'extérieur; mais aussi évite les fuites internes vers l'extérieur. Chaque routeur ou box permettant l'accès lnternet à un réseau lnternet possède forcément un pare-feu intégré : par défaut, il interdira toutes entrées provenant d'lnternet vers l'intérieur du réseau domestique et laissera passer tout le trafic initié depuis l'intérieur du LAN. Si ce fonctionnement est satisfaisant pour 95% de la population, il faut savoir que l'utilisation d'une application nécessitant l'accès depuis lnternet comme un serveur de jeu en ligne hébergé chez soi ou la console d'administration d'une application devra faire l'objet d'une configuration spécifique qui dépendra du port d'écoute de ladite application. Si un serveur de jeu situé sur un PC dont l'lP est 192.168.1.65 et utilise le port 14500, il faudra spécifier au routeur ou la box d'ouvrir le 14500 sur l'lP publique accessible depuis lnternet et de rediriger tout le trafic vers l'lP interne située sur le PC du lAN. Pour brouiller les pistes, nous vous conseillons de ne pas utiliser les ports par défaut des applications. Par exemple, un site web HTTP fonctionne par défaut sur le port 80 qui est sujet à beaucoup d'attaques automatiques. En positionnant par exemple le port externe sur 15085, le serveur web interne ne sera pas sujet à ces attaques et sera potentiellement plus en sécurité.

Si Ie Firewall des boxes est souvent transparent pour les utilisateurs, il n'en va pas de même avec celui de Windows, qui n'est pas spécialement intuitif à configurer. Dans un premier temps, il va devoir être nécessaire de savoir comment l'activer ou le désactiver simplement. Depuis le Panneau de configuration / Système et sécurité / Pare-feu Windows Defender; il suffit de se rendre dans la section Activer ou désactiver le Pare-feu Windows Defender. Pratique pour agir rapidement en cas de problèmes. Que faire quand une application ne semble pas accéder à lnternet ou au réseau ? Un bon réflexe est de jeter un oeil sur les paramètres avancés du Pare-feu, et notamment dans les Règles de trafic sortant et entrant. Chaque application réseau tournant sous Windows digne de ce nom se retrouve dans ces deux listes qui autorisent ou interdisent son trafic réseau. En cas de problèmes, nous vous conseillons dans un premier temps de désactiver totalement le firewall. Si le problème n'est plus présent, il faudra alors modifier la ou les règles associées à l'application, ou supprimer tout simplement les lignes incriminées jusqu'à aller à la réinstallation du logiciel.

Wi-Fi, le mauvais génie

Même si l'invention du Wi-Fi a permis sans conteste une démocratisation des appareils mobiles, il est toutefois associé avec les failles de sécurité les plus importantes dans le monde du réseau, de par la qualité médiocre de ses protocoles, mais aussi par son caractère intrinsèque : vu qu'il n'est pas possible d'empêcher la propagation des signaux électromagnétiques sans utiliser de matériau spécifique, ceux-ci traversent allègrement les murs et peuvent être donc être captés par n'importe qui. ll est certes possible de rendre invisible un réseau Wifi en ne diffusant pas son nom, mais cette défense est inefficace, car il sera détecté par le plus simple analyseur de trames sans fils. ll est aussi possible de n'autoriser que certains appareils à se connecter en spécifiant l'adresse MAC de ceux-ci dans le routeur sans-fil. Une adresse MAC étant unique, la solution pourrait sembler idéale quoique peu pratique, mais il existe malheureusement des outils pour « spoofer » u.. adresse, c'est-à-dire usurper l'identité d'un appareil sur un réseau. Pour résoudre ces problèmes de sécurité, l'organisme IEEE responsable de la mise en place des protocoles réseau a mis au point au fil des années la norme 802.1X qui regroupe de nombreux mécanismes d'authentification et de sécurité. C'est ainsi qu'en 1999 naît le protocole WEP (Wireless Equivalent Piracy) qui fut vite déclaré obsolète en 2004 car peu fiable et sujet à de nombreuses failles de sécurité qui permettaient de découvrir en quelques secondes le mot de passe de protection. Autant dire qu'il est aujourd'hui impératif de changer tous appareils n'étant compatibles qu'avec ce protocole qui est à bannir. Successeur du WEP, le WPA (Wi-Fi Protected Access) puis le WPA2 fonctionnent sur le même principe : rentrer un code pour accéder et encrypter les données entre l'appareil et le point d'accès. Malheureusement, de nombreuses failles ont été récemment trouvées ces dernières années, et notamment l'une rendant le mot de passe sensible à l'attaque de type « Brute Force » qui se contente d'utiliser des combinaisons de caractères jusqu'à ce que le bon code soit trouvé. Ratifié en 2018, le protocole WPA3 tarde à prendre la relève malgré les caractéristiques alléchantes sur le papier, avec notamment un chiffrement unique pour chaque utilisateur et même si le point d'accès est ouvert. En attendant, comment sécuriser sa connexion Wifi de la meilleure manière sans verser dans l'extrême ? Il faudra obligatoirement choisir le protocole WPA2 et surtout une clef dont la longueur de carac­tère sera au moins supérieure à dix caractères de différents types : majuscules, minuscules, chiffres et caractères spéciaux. Nul besoin de faire compliqué : il suffit de prendre par exemple la phrase "LecodeWifidelamaisonestlepointcardinalnord45 !" et le tour est joué ! Aussi, il faudra penser à désactiver tous les mécanismes de facilitation d'au­thentification de type WPS (Wi-Fi Protected Setup) permettant par exemple de s'authentifier avec un simple code PIN. En effet, ces protocoles sont de plus en plus souvent sujets à des failles de vulnérabilités.

Les applications, le nerf de la guerre

Un autre aspect de la sécurité réseau à ne pas négliger provient tout simplement des applications en elles-mêmes : on a beau avoir un réseau verrouillé et bien paramétré, si un logiciel ne se comporte pas correctement ce dernier n'y pourra rien. Dans un premier temps, il est conseillé de ne pas sortir des sentiers battus en n'utilisant que les applications les plus connues et si possible opensources, l'accès au code permettant de déceler rapidement d'éventuels problèmes de conception de communication réseau. Enfin, il faudra toujours privilégier les communications SSL, TLS ou SSH, qui sont des protocoles d'encryption connus et reconnus et qui ont l'avantage de chiffrer les données entre les applications.

Enfin, pour les réseaux locaux un peu plus évolués et notamment en entreprise, une attention particulière devra être effectuée sur la sécurité des partages réseau sous Windows. En effet, il est tellement plus facile de partager un dossier avec les droits d'accès totaux pour tout le monde ! Pourtant, il suffira d'un petit malin qui arrivera à se brancher sur le réseau filaire ou Wi-Fi pour qu'il accède à toutes les données partagées ! Ces paramétrages ont toujours été compliqués sous Windows, y compris dans sa dernière mouture. Pour vérifier tous les lecteurs partagés sur un PC, il suffit de se rendre dans « Gestion de l'ordinateur » à partir du menu Démarrer, Dossiers partagés, et Partages. Ici, une liste de tous les partages est alors disponible, y compris les partages système à ne surtout pas modifier reconnaissables par le caractère $ à la fin du nom de partage. A l'aide du bouton droit de la souris, on peut alors désactiver simplement le partage ou accéder aux propriétés et sur l'onglet Autorisations du partage gérer finement les utilisateurs et leurs droits.

Windows Hello et authentification biométrique

Avec Windows 10, Microsoft a introduit Windows Hello comme moteur d'authentification. Si Ia firme américaine nous propose toujours de nous identifier avec un mot de Passe, il est maintenant possible d'utiliser un simple code PIN comme des solutions biométriques basées sur de la reconnaissance faciale et la lecture d'empreintes digitales. AIors que les anciens ne jurent toujours que par leurs fameux mots de passe, Peut-on faire confiance aux technologies geeks modernes Pour protéger nos données ? Jusqu'à I'arrivée de Windows 10, les possesseurs devaient passer par des applications ou des pilotes tiers Pour utiliser une authentification biométrique. Windows Hello simplifie ces fonctions en proposant un framework universel accessible plus facilement Par les constructeurs qui doivent toutefois respecter certaines normes de conception pour Ieurs matériels, à savoir les caméras et les lecteurs d'empreintes digitales. Quelles sont les caractéristiques à retenir sur le matériel Pour bénéficier de Windows Hello ? Tout d'abord, il faut savoir que tous les Portables actuellement commercialisés dotés d'une webcam et d'un lecteur d'empreinte sont obligatoirement compatibles avec Windows 10. Et heureusement, on ne voit pas comment il pourrait en être autrement ! Pour les PC classiques, il faudra se doter de matériel récent et estampillé Windows Hello, comme la caméra Logitech Brio. Mais Ie choix du type de matériel compatible ne s'arrête pas qu'aux simples webcams. ll existe par exemple des bracelets Bluetooth intégrant un lecteur d'empreinte digitale, comme le Nymi Band, ou de simples clefs USB permettant l'authentification de son possesseur une fois branchées. La société RSA a par ailleurs développé une double authentification à base de smartphone compatible Windows Hello. Enfin, pour terminer avec les multiples exemples de possibilité qui démontrent que Windows Hello est une solution ouverte, il existe des lecteurs NFC permettant une authentification par badge. Dernièrement, Windows Hello s'est vu octroyer la certification FlDO2, qui est I'un des systèmes d'authentification matérielle les plus répandus dans le monde. De quoi s'agit- il concrètement? Un appareil de la taille d'une clef USB intégrant un capteur d'empreinte digitale permet de s'authentifier sur de très nombreuses applications et sites web au travers d'une API simplifiée qui est une plateforme de communication de développement. Cantonné à son environnement Microsoft, on voit que Windows Hello attire de plus en plus d'acteurs du domaine.

Mise en place

Concrètement, comment configurer Windows Hello sur son Windows 10 ? Dans un premier temps, il faudra introduire un code PIN : ouvrez Paramètres, cliquez sur Comptes puis sur options de connexion. Ensuite, sélectionnez l'option Code PIN. Cliquez sur Ajouter et choisissez un code PIN. Pourquoi cette opération ? Si en cas de problèmes, par exemple une défaillance matérielle, l'authentification biométrique n'est plus possible, il restera toujours ce fameux code PIN pour s'authentifier. Une fois ceci fait, il est alors possible de configurer Windows Hello en fonction du matériel à votre disposition. Si l'on dispose d'une caméra compatible et que l'on désire utiliser la reconnaissance faciale, rien de plus simple : Cliquez sur l'option Configurer sous Visage et prenez une photo. A noter, il est possible aussi de prendre des photos de ses profils gauche et droite pour déverrouiller encore plus rapidement Windows. Concernant la sécurité, que vaut la solution d'authentification de Microsoft ? Si le cœur du système est véritablement stable et performant, comme dans toutes les autres solutions biométriques, la reconnaissance faciale pose toujours un problème et peut souvent être détournée par une photo. Les premières versions de Windows 10 n'étaient pas exemptes de cette faille, les hackers ont utilisé le système Near-lnfrared (IR) qui a été choisi par Microsoft pour authentifier des visages même avec des conditions d'éclairage médiocres. Avec la version 1709 (Fa// Creator Update), Microsoft a rajouté une fonction dite anti spoofing (anti-usurpation d'identité), mais encore faut-il qu'elle soit activée, car elle est considérée comme une option. On peut donc dire à ce jour que Windows Hello est sécurisé, même s'il ne faut pas oublier que les menaces peuvent toujours provenir d'éléments externes comme des failles sur des pilotes de matériel ou les systèmes tiers d'authentification. Chacun décidera donc en connaissance de cause d'utiliser ou non les systèmes biométriques, en sachant que de toute manière un système traditionnel par mot de passe n'est pas non plus inviolable. A noter pour les défenseurs des droits privés, toutes les informations biométriques sont strictement conservées sur chaque appareil et ne sont donc pas envoyées sur les serveurs de Microsoft. Il faudra donc refaire le paramétrage pour chaque appareil doté de Windows 1O. Windows Hello se veut donc une petite révolution pour ouvrir sa session Windows , mais cela ne s'arrêtera sans doute pas là : quelques applications utilisent cette fonctionnalité embarquée de l'OS pour gérer leurs propres authentifications comme Dropbox. Avec son système, Microsoft a annoncé vouloir tuer les mots de passe. De notre côté, nous pensons qu'il a encore une belle vie devant lui, même s'il est indéniable que de sérieux progrès ont été effectués dans le domaine biométrique, notamment dans la lecture d'empreinte digitale.

Mon mot de passe/email a-t-il été piraté ?

Par un doux mélange de facilité et de flemme, on a tendance à utiliser des mots de passe trop simples et ne jamais en changer sur une majorité de sites et services. Le risque ? Si un seul des sites/service sur lequel vous vous identifiez est piraté, essayez d'imaginer le nombre d'endroits où le détendeur de vos identifiants pourrait se loguer ! Un simple forum de seconde zone, rarement mis à jour et administré par des amateurs se fait hacker et un pirate pourrait alors s'identifier sur votre compte Google ou votre compte Microsoft si les identifiants sont les mêmes ! D'où l'importance d'activer dès que possible la double authentification, comme nous le voyons après, sur les sites les plus importants. Et vérifier si son email ou son mot de passe est déjà compromis ou non !

551 millions de passwords compromis

Vous ne vous sentez pas concerné ? Pourtant, des sites et des forums sont compromis tous les jours. On trouve des bases de données de mot d'emails et de mots de passe facilement sur le net. Parfois même gratuitement comme comme celle partagée sur Mega il y a quelques mois et qui pèse 87.Go et contient 772 millions d'adresses email et plus de 21 millions de mots de passe ! Sur le site (bienveillant) haveibeenpwned.com, dont on reparle un peu plus loin, on peut en télécharger une de 11 Go qui comprenant 550 millions de mots de passe compromis ! Et n'allez pas croire que seuls les petits sites mal sécurisés sont victimes de piratage, au contraire. Pour un hacker mal intentionné (un pirate quoi), il est bien plus lucratif de récupérer les comptes par centaines de milliers d'une grande entreprise (et le challenge technique plus excitant). Si vous avez bonne mémoire, on annonçait déjà une faille de sécurité majeure chez MySpace (alors leader du blog) en 2008 qui a exposé pas moins de 360 millions de comptes avec, notamment, les 10 premiers caractères du mot de passe en clair ! En octobre 2013, Adobe s'est fait voler pas moins de 152 millions de comptes, inclus nom d'utilisateur, mot de passe chiffré et indice de mot de passe, le chiffrement des mots de passe ayant été rapidement contourné par la suite ! En mai 2016, c'était au tour de Linkdyn d'être au centre de la controverse avec pas moins de 164 millions d'adresses email et mot de passe mis en vente au marché noir (le hack datant pourtant de 2012). Et il existe de nombreux exemples du genre ! Même les joueurs sur consoles ne sont pas à l'abri, rappelez-vous l'attaque chez Sony qui, en 2011, a exposé pas moins de 77 millions d'utilisateurs. Toutes les intrusions ne sont pas aussi lourdes de conséquences les unes que les autres (parfois, aucun mot de passe n'est exposé, par exemple,)mais si vous êtes du genre à ne jamais changer de mot de passe, il y a de fortes chances pour que ce dernier apparaisse déjà dans une base de données qui circule sur le net.

Il y a quelques années, suite à l'intrusion chez Adobe qui avait fait grand bruit, le spécialiste de la sécurité et directeur régional chez Microsoft Troy Hunt a mis en ligne le site haveibeenpwned.com que nous vous avions présenté dans notre précédent dossier dédié à la sécurité (HM94)Ce nom de domaine amusant qui peut se traduire par me suis-je fait avoir ? a pour but d'aider tout un chacun à savoir si ses adresses email et ses mots de passe faisaient partie des listing volés et en vente sur le darkweb. Et vous risquez d'avoir des sueurs froides ! L'adresse email personnelle de votre serviteur, testée sur haveibeenpwned.com, ressort dans 11 intrusions, y compris de grands noms comme Adobe, Dropbox ou KickStarter ! Ça démontre, s'il y a encore des sceptiques, l'intérêt d'avoir un mot de passe différente unique pour chaque site ! Pour les mots de passe, on se rend compte que les plus courts (6 lettres et chiffres par exemple) sont presque tous compromis, mais ça ne veut pas forcément dire qu'il est associé à votre email, un autre internaute ayant pu utiliser le même mot de passe. Nos tests montrent également que les mots de passe les plus longs et sans facilité de découverte ( touches contiguës par exemple) que la sécurité est bien au rendez-vous (mots de passe qui n'apparaissent pas comme compromis).

2FA, la double authentification

Depuis quelques années, pour lutter face aux vols massifs de comptes par des hackers possédant de véritables bases de données d'emails et de mots de passe, les différents sites et services requérant une identification ont mis en place des méthodes de double authentification. Pour ceux qui n'auraient jamais pris le temps de se pencher sur la question, il s'agit de réclamer deux méthodes d'authentification pour renforcer la sécurité, la première étant généralement votre mot de passe et la seconde dépendante d'un objet en votre possession, par exemple votre smartphone sur lequel est envoyé un SMS ou s'exécute une application dédiée, ce qui complique largement la vie d'un pirate qui serait déjà en possession de votre login et mot de passe. Également connue sous l'acronyme 2FA (de l'anglais 2 factor authentification), la double authentification ou authentification à double facteur est à activer partout où c'est possible et en particulier sur les sites et services importants, ceux qui concernent votre argent et vos données personnelles pour éviter le vol d'identité. Microsoft, Google, Facebook, Steam, l'ensemble des sites et services majeurs (et pas que) proposent cette option de sécurité qu'on peut qualifier d'essentielle.

Faut-il éviter les SMS ?

Il existe de multiples méthodes d'authentification double facteur. Les plus populaires sont la réception d'un code par email, par SMS ou via une application dédiée comme Google Authenticator ou Authy sur votre smartphone. Nous recommandons vivement cette dernière solution, car outre qu'elle fonctionne même en l'absence de réseau mobile, c'est la plus sécurisante. En effet, elle génère un code valable quelques secondes uniquement et basée sur une clé qui vous est spécifique. Notre préférence se porte sur Authy qui, par rapport au célèbre Google Authenticator, est verrouillable par code PIN (c' est une sécurité de plus si vous égarez votre smartphone). En revanche, la réception d'un code par SMS n'est pas totalement sécurisée, car le protocole SS7 utilisé par les prestataires mobiles est vieux et plein de failles. Pour quelqu'un disposant d'un matériel pour hacker le SS7 (c'est peu probable, ça vaut des millions) ou ayant un accès direct au réseau (de nombreux techniciens chez SFR, Orange et consorts), intercepter un SMS n'est pas si compliqué qu'on pourrait le penser. Il y a d'ailleurs eu suffisamment de cas de figure (des comptes en banque se sont ainsi fait pirater, plus d'infos pour les anglophones sur ARS Technica) pour que, depuis juillet 2017, Google ait revu sa méthode de 2FA pour se débarrasser du SMS. Le mail est plus sécurisant, mais si vous avez le moindre doute quant au fait que votre BAL puisse être compromise, évitez de vous en servir. L'authentification à double facteur peut prendre d'autres formes, vous vous en servez d'ailleurs depuis des années sans le savoir avec vos cartes bancaires et le fameux code à 3 chiffres qui est au dos. Ainsi, si un commerçant mal intentionné repère votre numéro de carte bleu et le code que vous tapez sur son terminal, il ne pourra pas s'en servir pour payer en ligne sur les sites réclamant le code de sécurité qui impose d'avoir la carte à sa disposition.

Bien stocker ses clés de récupération

La double authentification, c'est bien, mais jouez de prudence en stockant à l'abri les méthodes de récupération. En effet, imaginez que vous changiez de numéro de smartphone sans avoir mis à jour l'authentification à deux facteurs par SMS de votre compte Microsoft, vous ne recevrez jamais le code attendu ! Les éditeurs proposent pour cela de multiplier les facteurs secondaires par prudence, mais ils délivrent aussi des clés de récupération qui permettront de débloquer votre compte en cas de problème. De même, lorsque vous associez un compte avec une application générant des codes, pensez bien à sauvegarder le QR-Code afin de pouvoir récupérer ce compte si jamais vous changez de smartphone. Si par malheur vous perdiez quand même ces codes de secours, il faut alors passer par le SAV qui vous demandera de prouver votre identité de plusieurs manières afin de vous débloquer.

Installer un gestionnaire de mots de passe

La rédac a beau jeu de vous conseiller des mots de passe complexes et uniques à chaque site ou service, ce n'est pas elle qui devra s'en souvenir et les saisir à chaque fois ! Pour suivre nos conseils à la lettre sans se prendre la tête, installez un gestionnaire de mots de passe. Ce sont des applications pratiques et sécurisantes à la fois. Comme le nom l'indique, ces logiciels sont dédiés au stockage des mots de passe, ils sont eux-mêmes protégés par un mot de passe qu'on appelle le mot de passe maître (master password). Ainsi, vous n'avez plus qu'à mémoriser un seul mot de passe complexe, le gestionnaire gérant lui­ même les dizaines voire les centaines d'autres mots de passe de votre quotidien qui peuvent alors devenir très complexes (longs, avec des caractères alphanumériques, des majuscules et minuscules, etc). De plus, ils offrent de nombreuses options de confort comme la saisie automatique des mots de passe sur les sites Web, le remplissage de formulaire et la synchronisation des mots de passe entre vos appareils (PC et smartphones). Après un tour de marché exhaustif et de multiples tests, nous sommes en mesure de vous conseiller deux gestionnaires de mot de passe très performants, un gratuit, l'autre payant : LastPass (lastpass.com/fr) et Dashlane Premium (40 € par an, dashlane.com/fr).

Garantir la sécurité

Vu l'importance des données qu'on s'apprête à confier au gestionnaire de mot de passe, sa propre sécurité apparaît comme essentielle. Le fonctionnement de LastPass et Dashlane en la matière est globalement similaire. Le premier principe de base, qui est d'importance : le mot de passe maître n'est pas stocké sur les serveurs de ces derniers et ne transite jamais par Internet. Chez Dashlane, il n'est même pas stocké localement sur votre PC, sauf si vous en faites la demande dans les options (pour automatiser le login sur un PC assemblé qui ne sort jamais de chez vous par exemple). Même quand vous le saisissez, pour accéder à votre coffre-fort, ce n'est pas ce master password qui est communiqué aux serveurs, mais seulement un hash, c'est-à-dire une sorte de version chiffrée d'autorisation ; pour en savoir plus, voici un très bon article en français pour comprendre les hashs : blog.emsisoft.com/ fr/6799/qu-est-ce-qu-un-hash. Votre coffre-fort justement, celui qui contient tous vos login/mot de passe et autres données privées, est bel et bien stocké sur les serveurs de LastPass ou Dashlane, du moins si vous utilisez la fonction de synchronisation entre appareils, c'est si pratique. Mais ces serveurs utilisent les meilleurs systèmes de chiffrement et de sécurité qui soit (AES-256 avec SHA- 256 PBKDF2, à vos souhaits). Même les échanges, entre votre PC et leurs serveurs, qui sont en HTTPS exclusivement, n'exploitent que des données chiffrées en AES-256 et sécurisées par une clé unique à votre appareil. Vous serez sans doute rassuré d'apprendre que, alors que nous assistions à une formation sur la sécurité numérique donnée dans une agence bancaire de la Société Générale, Dashlane était recommandé comme solution à recommander à ses clients par l'entreprise spécialisée intervenant ce jour-là. Dashlane publie d'ailleurs un dossier technique complet expliquant ses méthodes de sécurisation (en anglais) à l'adresse https://www.dashlane.com/download/Dashlane_SecurityWhitePaper_October2018.pdf et vous pourrez en apprendre d'avantage au sujet de celle de LastPass sur https://support.logmeininc.com/lastpass (en anglais aussi).

A la découverte de LastPass

Lastpass prend la forme, sur PC, d'une extension pour navigateur. Elle existe pour Chrome, Firefox, Edge et Opera, ainsi que Safari sur Mac. Son rôle premier est bien sûr le stockage de vos données d'identification (noms d'utilisateurs et mots de passe), site par site, mais le coffre-fort (vault) peut également stocker des notes personnelles, vos coordonnées postales (adresses), vos moyens de paiements (cartes et comptes bancaires), des documents d'identités et même les mots de passe Wi-Fi. On trouve aussi des fonctions supplémentaires comme la génération de mots de passe si vous êtes en panne d'inspiration et le remplissage automatique, que ce soit des logins/mots de passe quand il faut s'authentifier sur un site ou les formulaires à remplir, par exemple pour créer un compte et payer sur un site marchand ; selon nos tests, ça fonctionne très bien, peu importe la technologie du site (HTML 5, Java... ), nous n'avons quasiment pas rencontré d'incompatibilité. En revanche, ça ne fonctionne pas en dehors du browser (dans une popup Windows ou d'application par exemple), d'ailleurs ça ne permet pas de s'authentifier sous Windows. LastPass est surtout le seul (des bons gestionnaires de mot de passe) à proposer la synchronisation entre plusieurs appareils dans sa version gratuite, depuis 2016. C'est d'autant plus pratique que LastPass existe aussi sous la forme d'une app pour Android, iOS et même Windows Mobile. La version gratuite propose aussi la 2FA, dont plusieurs variantes existent, il y a même une App LastPass Authenticator des fois que vous n'ayez pas adopté celle de Google ou Authy qui sont les plus populaires. Enfin, LastPass évalue votre sécurité globale en affichant des statistiques sur les doublons de mot de passe.

Ce qu'apporte Dashlane Prenium

Dashlane offre peu ou prou les mêmes fonctionnalités que Lastpass, sauf que la synchronisation entre appareils et le stockage de plus de 50 mots de passe réclament l'abonnement payant, baptisé Premium. Mais à quoi bon payer 40 € par an quand LastPass fait tout ça gratuitement et que même LastPass Premium est à 36 $ par an, soit 32 €) ? Les versions premium offrent quelques fonctionnalités intéressantes. Notamment le partage de' mot de passe et le(s) tiers de confiance ; ces deux fonctions s'adressent exclusivement à d'autres abonnés. Ça vous permet de confier l'accès à un site à un proche avec votre compte sans avoir à lui donner le mot de passe. Ainsi, si l'accès n'est que temporaire, il suffit de supprimer le partage, vous n'aurez pas à changer le mot de passe par la suite. Quant au tiers de confiance, c'est une solution pour donner un accès intégral à votre coffre­ fort. A notre époque du tout numérique, y compris pour les impôts, la sécu ou la retraite, c'est une sécurité en cas de pépin grave (accident ou, pire, décès) LastPass Premium et DashLane Premium proposent d'ailleurs de personnaliser le temps avant de donner l'accès au tiers de confiance, pour éviter que celui-ci ne puisse consulter votre coffre-fort quand bon lui semble. Dans la pratique , le tiers de confiance déclaré dans ces logiciels doit faire une demande d'accès dont vous recevez notification par email et via l'application . En l'absence de réponse de votre part (refus) dans le laps de temps que vous aurez défini (par exemple 2 ou 3 jours), alors il gagne l'accès. Par rapport à LastPass, DashLane existe sous la forme d'une véritable application sur ordi. Pour Windows, MacOS et même Linux. Celle-ci offre une meilleure ergonomie globale, il est d'ailleurs possible de s'authentifier avec Windows Hello ; pour taper un simple pin à 4 chiffres par exemple plutôt que votre mot de passe maître qui se doit d'être complexe. Bien que des extensions existent façon LastPass, l'application principale fonctionnera automatiquement dans vos multiples browsers. La principale fonctionnalité qui distingue Dashlane Premium est le changeur de mot de passe automatique, à l'unité et même en lot. Si un de vos comptes est compromis suite à une attaque, vous n'avez qu'à cliquer sur un bouton dans Dashlane qui s' en occupe tout seul ! Et pour les maniaques de la sécurité qui n'aiment pas que leurs mots de passe restent trop longtemps les mêmes, vous pouvez automatiser cette tâche pour remplacer ceux-ci sur des dizaines de sites d'un coup ! Nous avons essayé sur de nombreux ténors comme Facebook, Microsoft, Amazon ou eBay, c'est une vraie merveille. On termine par le fait que Dashlane pousse encore plus loin la surveillance, ce qui se traduit de plusieurs manières. Pour commencer, l'audit de votre sécurité est plus poussé. Notamment, en plus des doublons, l'application indique le nombre de mots de passe compromis pour vous inciter à les changer. Dashlane scrute en permanence l'activité du Dark Web et vous envoie, si vous le souhaitez, des bulletins de sécurité. D'expérience, ce n'est pas intrusif du tout, mais en cas de piratage majeur d'une grande entreprise chez qui vous avez un compte, vous serez prévenu. Signalons aussi que Dashlane Premium comprend un accès VPN. Le débit de quelques Mb/s seulement ne permet pas de s'en servir 24h/24, mais c'est une sécurité pour surfer depuis un réseau Wi-Fi public , à l'aéroport par exemple.

Auditer son réseau de manière autonome

Que faire en cas d'anomalie réseau et notamment en cas de perte de bande passante ? Windows bénéficie par défaut de plusieurs outils pour établir un premier diagnostic pour éventuellement aller plus loin avec la distribution Kali Linux. Pare-feu, antivirus et autres outils de protection ... tous ces outils ont véritablement progressé avec le temps, mais se révèlent parfois inefficaces à la vue des technologies mutantes employées par les personnes malveillantes ou libertaires. Difficile alors de faire 100% confiance à ces logiciels ! On se retrouve alors quelque peu désemparé face à un comportement erratique de sa machine malgré toutes ces protections. Il existe toutefois des outils intégrés à Windows pour obtenir un début de diagnostic et surtout savoir si une personne malveillante a agi sur son PC. Concernant le réseau, il est possible d'utiliser le très méconnu, mais fort bien élaboré Moniteur de ressources que l'on pourra trouver dans le menu Démarrer. Mis de côté les données concernant CPU, mémoire et disque, l'onglet Réseau offre une véritable cartographie en temps réel de l'activité de chaque application, incluant ports entrants, sortants et vitesse de transmission. On pourra alors rapidement classer les applications selon leur consommation de bande passante, mais aussi savoir avec quel serveur elles communiquent. Par exemple, un processus nommé étrangement et communicant avec beaucoup d'hôtes pourrait s'apparenter à un virus responsable d'attaques en masse. Il sera alors nécessaire d'ouvrir le gestionnaire de tâche et d'arrêter le processus avant de trouver un moyen de l'éradiquer. Le panneau situé au plus bas de la console liste les applications se trouvant en mode écoute. On pourra par exemple retrouver les applications de P2P, les serveurs web ou de jeu en ligne, mais également et malheureusement les fameux botnets responsables des attaques DDoS d'envergure.

Partages de fichier

A propos des partages des fichiers sous Windows, saviez -vous qu'il était possible en temps réel de savoir qui accède à ceux-ci ? Grâce à l'application Gestion de l'ordinateur, il est possible de visualiser qui est actuellement connecté à l'ordinateur et même quels sont les fichiers actuellement en consultation. Un clic droit sur la session ou le fichier permettra instantanément de couper la connexion le cas échéant. Toujours dans la même application, !'Observateur d’événement se révélera utile notamment dans les sections Systèmes et Sécurité pour effectuer des premiers diagnostics. Enfin, pour les plus aventureux d'entre nous et disposant d'une machine secondaire, Kali est la distribution Linux la plus complète permettant de réaliser de nombreux audits et de tests de pénétration sur n'importe quel système. Doté d'une interface graphique à la Windows, Kali embarque une centaine d'outils plus ou moins intuitifs à utiliser, et même des applications afin de tester la sécurisation de son réseau Wi-Fi. Certes, son utilisation n'est pas destinée aux débutants, mais son fonctionnement en mode LiveCD permettra de tester tranquillement les fonctions, et notamment à l'aide du site communautaire français kali-linux.fr qui dispose de nombreux articles et autres tutoriels.

Chiffrer son SSD/HDD

Pour lutter contre le piratage des données à même son ordinateur, à domicil, au bureau ou plus vraisemblablement en déplacement sur son laptop, n'hésitez pas à activer le chiffrement. Il s'agit de rendre vos documents illisibles quand bien même ils seraient interceptés, c'est une sécurisation particulièrement efficace qui n'est pas sans rappeler les échanges sur le Web via les sites HTTPS. Lire un document chiffré requiert la clé de déchiffrement qui peut prendre la forme d'un mot de passe, d'une clé USB ou encore d'une puce à même votre PC.

Le chiffrement consiste à rendre la compréhension d'un fichier impossible sauf aux personnes en possession de la clé de déchiffrement. Logiquement, le déchiffrement est l'étape inverse, celle qui consiste, en possession de la clé de chiffrement, à rendre compréhensible le contenu d'un document. Si cryptage n'existe pas, le décryptage défini quant à lui l'opération visant à rendre lisible un document chiffré sans être en possession de la clé de déchiffrement. En anglais, on parle de "breaking" (cassage) pour évoquer le décryptage.

Pas besoin d'être un mathématicien expert pour chiffrer vos fichiers, de nombreux logiciels s'en chargent pour vous ! Par exemple, le célèbre logiciel de compression 7-zip (gratuit, 7-zip.org) propose une option de chiffrement AES 256 bits (une des méthodes les plus efficaces) ! Faites un clic droit sur le ou les fichiers sélectionnés que vous désirez chiffrer et, dans le sous­ menu 7-zip, choisissez Ajouter à l'archive. Dans la fenêtre qui apparaît, en bas à droite, entrez un mot de passe et validez. Vous pouvez ainsi envoyer les données chiffrées sans crainte par email à votre contact puis l'appeler ou lui envoyer un SMS contenant la clé de déchiffrement, en l'occurrence le mot de passe. Vous pouvez aussi protéger des documents ou répertoires à même votre ordinateur (c'est­ à-dire en interdire la consultation sans taper un mot de passe) avec un logiciel tel que Veracrypt (gratuit, veracrypt.fr) dont nous vous avons déjà parlé et qui nous sert parfois de benchmark CPU. Ce dernier autorise notamment la création d'un volume chiffré, de la capacité de votre choix, dans lequel n'importe quel fichier que vous stockez est automatiquement chiffré), c'est très simple. Il est amusant de constater que VeraCrypt génère une clé basée sur les mouvements aléatoires que vous faites avec votre souris pendant la génération du volume, autant dire que c'est impossible à reproduire par hasard.

Bitlocker

Si vous utilisez une version Professionnel (ou Entreprise) de Windows, vous avez également la possibilité d'utiliser Bitlocker, l'outil de chiffrement de Microsoft qui peut chiffrer tous vos disques durs et SSD. Il propose trois modes différents, les deux premiers requérant une puce TPM (lire plus loin). En mode Transparent, vous n'avez pas à vous authentifier, vous n'intervenez jamais, contrairement au mode User authentification qui réclame que vous tapiez un mot de passe ou que vous branchiez une clé USB spécialement créée pour accéder à vos données. Le troisième mode, USB-Key, fonctionne sans puce TPM, mais réclame du coup la présence d'une clé USB en permanence contenant la clé de déchiffrement (avant le chargement de l'OS donc). A ceux qui se demandent quel peut être l'intérêt de chiffrer un disque dur sans réclamer de mot de passe, ça sert à éviter qu'un pirate qui brancherait votre disque dur dans son PC puisse en lire le contenu, sans vous encombrer d'un login quand vous êtes chez vous, à l'abri. Le chiffrement requiert une certaine puissance et en particulier avec des algorithmes très complexes (Bitlocker est par défaut en AES 128 bits, mais on peut monter en AES 256 bits), ça se ressent à l'usage, le PC est moins réactif. Chiffrer un petit fichier Word ou Excel ne prend pas plus de quelques dixièmes de secondes, mais si vous déplacez des photos ou de gros fichiers, vous remarquerez que la copie est moins rapide que d'habitude. Pour y pallier, rien de tel que le chiffrement matériel. De plus en plus de solutions de stockage proposent un chiffrement matériel natif, en particulier des SSD et des clés USB, mais également quelques disques durs (généralement les gammes entreprise). On parle alors de SED, pour Self Encryption Drive. L'avantage de ces derniers est l'utilisation de matériel spécifique pour chiffrer ce qui évite de solliciter le CPU de votre PC incapable de profiter des pleines performances du lecteur. Selon les marques, les procédures d'activation et les modes proposés changent. Il est souvent possible d'avoir l'équivalent du mode transparent de bitlocker, c'est à dire un chiffrement invisible qui offre comme sécurité l'impossibilité pour quiconque brancherait votre disque dur (par exemple en cas d'envoi en garantie ou après revente) de lire vos données. Mais pour les appareils nomades, vous pouvez toujours opter pour un déverrouillage par mot de passe. Les SSD que nous recommandons actuellement, par exemple les Crucial MX500 et Samsung 860 Evo, permettent le chiffrement, accéléré matériellement. Précisons que certains SSD peuvent gérer seuls le chiffrement matériel, d'autres sont "compatibles" , mais réclament un logiciel tiers, par exemple Bitlocker de Microsoft, qui par défaut exploite l'accélération matérielle quand il y en a une. Certains SED exploitent, comme Bitlocker, la puce TPM si votre PC en possède une. TPM (Trusted Platforme Module) est un standard cryptographique intégrant une puce dédiée au chiffrement stockant la clé apparue il y a un peu plus de 10 ans. Quelques certaines cartes mères et des laptops en sont munis d'origine, mais c'est assez rare et finalement un peu dangereux, car si la carte mère tombe en panne, vous ne pourrez plus récupérer vos données. En revanche, la majorité des cartes mères modernes ont un header TPM sur lequel vous pouvez brancher un module TPM (5 à 20 €) et que vous pourrez transférer sur une prochaine carte mère en cas de panne ou d'upgrade !

Une solution de chiffrement qui se base sur TPM est bénéfique à la fois pour les performances (pas d'impact sur votre CPU) et la sécurité (impossible de déchiffrer les données sur un autre ordinateur alors que c'est encore possible en volant une clé USB contenant la clé). Nous avons d'ailleurs réalisé quelques tests pour la rédaction de ces pages. En l'occurrence, nous avons benché un SSD Intel 760p de 512 Go puis un SSD Samsung 960 EVO sans puis avec le chiffrement activé. Chez Samsung, on peut activer le chiffrement matériel à même l'outil maison, Samsung Magician, mais il ne s'agit que du support de celle-ci, car elle se fait via un logiciel tiers, non fourni. Par exemple via Bitlocke,r que nous avons utilisé avec les deux SSD. Dans le cas d'Intel, l'outil SSD Toolbox n'évoque pas le chiffrement, la fonction est toujours activée dans son firmware. Note : Bitlocker a imposé le formatage pour le Samsung, mais pas pour !'Intel ; mais il vaut mieux sauvegarder ses données malgré tout. Dans les deux cas, le résultat est là, nous n'avons noté aucun ralentissement sur le PC de test, c'est imperceptible. Mais il vaut mieux être prudent et ne pas faire confiance aveuglement au chiffrement matériel des SSD qui n'est pas toujours bien implémenté par les constructeurs. Par exemple, le Crucial MX300 n'a pas de mot de passe maître, ce qui signifie que le chiffrement ne protège rien du tout ! Les mises à jour de firmware servent à ça, encore faut-il qu'elles sortent.

Surfer incognito

Il arrive très souvent que l'on éprouve le besoin de surfer pour avoir par exemple une information précise à un instant T, sans que l'on soit dans son foyer voir pire, sur un appareil étranger comme un PC d'un espace public Internet. Alors que la chasse aux données privées est lancée par les géants du web pour monétiser l'utilisateur, difficile de se fier à des connexions Internet inconnues et encore moins à des navigateurs susceptibles d'enregistrer des éléments privés comme des historiques de connexion. Il existe néanmoins quelques bons réflexes et outils à utiliser que l'on se trouve dans un environnement étranger ou pour simplement éviter d'être pisté sur les sites que nous consultons.

Quelles sont les bonnes pratiques à utiliser lorsque l'on utilise un PC inconnu avec une connexion Internet étrangère ? Tout d'abord, il faudra se méfier de la salubrité du système d'exploitation : un Windows peut contenir des virus dont les fameux keyloggers capables de capturer tout ce qui est frappé au clavier et à la souris. Nous vous déconseillons donc de taper des informations sensibles comme un numéro de carte bancaire ou un mot de passe important. Autre conseil primordial, mais souvent oublié par habitude : l'utilisation de la navigation privée ou incognito des navigateurs récents. Accessible généralement depuis le menu de l'application, ce mode permettra non seulement de ne pas avoir accès aux données des sessions de surf précédentes, mais aussi de supprimer automatiquement historiques, cookies, et autres traces personnelles laissées ici et là dans le navigateur. Une fois ces considérations effectuées, il s'agira d'être vigilant sur la qualité et la respectabilité des sites visités, tout en gardant un œil sur la barre de navigation . Il faudra d'une part s'assurer que l'adresse du site (ou URL) soit conforme avec les pages qui s'affichent, et surtout privilégier les connexions sécurisées SSL intégrées au protocole HTTPS en veillant à ce que le cadenas vert soit toujours présent lors de la navigation.

Quid des connexions Wifi gratuites et autres hotspots disponibles dans les salles de réunions ou les hôtels ? Il faut savoir que derrière ces connexions se cachent des serveurs qui enregistrent chaque faits et gestes de ses utilisateurs. Exit donc le côté incognito ! Pire, alors que l'on pense se trouver être protégé par un point d'accès Wifi protégé par mot de passe, il faut savoir que toute personne possédant celui-ci sera à même de sniffer chaque utilisateur du hotspot, c'est-à­ dire littéralement aspirer toutes les données transitant chez tout un chacun. Nous vous déconseillons fortement donc d'utiliser ces points d'accès partagés, même lorsqu'ils vous semblent sécurisés. A la place, si vous n'êtes pas en pleine cambrousse ou situé dans le sous-sol d'un bâtiment, nous vous conseillons d'utiliser la fonction partage de données de votre smartphone afin de bénéficier de votre propre connexion Internet qui ne sera peut-être pas transcendante par rapport au débit d'une fibre optique 1 gpbs, mais qui aura l'avantage d'être totalement sécurisée.

VPN : pas que pour les pirates

De plus en plus en vogue, les VPN (Virtual Private Network) sont une technique basée sur des protocoles de chiffrement qui permettent de se connecter de manière sécurisée d'un point A à un point B sur un même réseau, et donc potentiellement Internet. Autrement dit, à partir d'une connexion classique et en utilisant un VPN, il est possible de faire croire à un site distant que son visiteur vient d'un tout autre endroit différent. Ce service est actuellement de plus en plus utilisé, car il permet notamment aux pirates chevronnés de faciliter le téléchargement illégal d'œuvres protégées en minimisant le risque de se faire pincer par HADOPI. Toutefois, on ne peut pas limiter l'usage d'un VPN simplement à une pratique interdite. Il permet de passer les limitations géographiques des IP attribuées à un pays, mais surtout de cacher son adresse IP domestique au reste d'Internet et d'éviter les potentielles attaques de l'extérieur. Toutefois, l'utilisation d'un VPN possède plusieurs inconvénients : d'une part, les performances réseau peuvent se retrouver dégradées surtout dans l'utilisation d'une fibre FTTH à très haut débit. Les mécanismes d'encryption demandant beaucoup de ressources, le débit peut se retrouver rapidement bridé, d'autant plus si le serveur VPN ne dispose pas non plus de beaucoup de bande passante. Il faut aussi savoir que même si les données sont cryptées entre le client et le serveur, elles sortiront en clair de ce dernier : cela peut poser problème si le fournisseur de VPN n'est pas de confiance. Quels sont justement les fournisseurs à privilégier parmi les plusieurs dizaines du marché ? Il faut savoir tout d'abord qu'il existe des VPN gratuits, tels que HydeMyAss !, CyberGhost, ou Hotspot Shield. Que nous réserve cette gratuité ? Le volume de donnée est limité (entre 300 et 500 Mo/ jour), des pages de publicité sont généralement présentes, mais on observe surtout une forte lenteur lors des sessions de surf, de l'ordre de quelques ko par seconde en moyenne. Ces services sont donc destinés à des besoins plus que ponctuels, mais peuvent rendre service. Du côté des payants, on observe plusieurs mastodontes dont les réputations ne sont plus à prouver tels que NordVPN, Freedom-lP, ExpressVPN, ou HydeMyAss ! dans sa version payante. En fonction du temps d'abonnement choisi et des offres, les tarifs oscillent entre 3 et 8 euros par mois pour un nombre plus ou moins important d'appareils qui peut diminuer si on installe le client VPN directement sur son routeur. Le prix peut sembler excessif si on le rajoute à son abonnement classique, mais le rapport qualité/prix reste excellent pour le service rendu. Il est également possible d'installer et d'utiliser un serveur VPN chez soi, mais pour une toute autre utilité : dans un environnement inconnu comme un point d'accès Wifi public non sécurisé, l'utilisation d'un VPN domestique permettra d'encrypter ses données et de surfer en toute sécurité comme si nous étions à la maison.

De la bonne utilisation du navigateur

Surfer incognito, c'est aussi naviguer sur Internet en évitant de laisser des traces chez les différents sites que l'on visite. Pourquoi se soucier de laisser de telles empreintes ? Il faut savoir que la majorité des sites web gratuits reposent sur un modèle économique basé sur la publicité. Ainsi, des mouchards sous la forme de code appelés Cookies ou Trackers vont analyser la navigation des internautes au gré des visites des différents sites... ce qui va conduire par exemple à se retrouver avec des publicités ciblées qui seront étudiées en fonction de l'historique de sa navigation. Certes, l'idée peut sembler pratique et ingénieuse, mais on ne peut ressentir parfois le sentiment désagréable d'être épié et analysé. Pour éviter cet état de fait, il existe des extensions de navigateur, qui sont littéralement des petits programmes qui vont améliorer la navigation sur Internet. Attention : certains cookies sont très pratiques pour le confort de la navigation, les bannir totalement reviendrait à se priver d'une expérience utilisateur optimale. Ainsi il existe plusieurs extensions disponibles pour les principaux navigateurs utilisés comme Chrome ou Firefox. La première se nomme uBlock Origin et se charge de filtrer le contenu des pages web afin d'en bloquer certains éléments et donc en particulier les bannières de publicités. L'extension tire sa force notamment de sa faible consommation en ressources mémoire par rapport à ses concurrents, mais aussi par l'intermédiaire d'une forte communauté responsable des listes contenant les noms des sites à bloquer. L'autre extension que nous conseillons d'installer se nomme Ghostery, qui est plutôt spécialisée dans le traitement des trackers et autre mouchards plutôt que la publicité en elle-même. Ghostery classe les mauvais cookies en cinq catégories : analytique pour les mesures d'audience, balise pour les simples suivis, confidentialité, publicité, et enfin widgets qui correspondent souvent aux boutons de partage de réseaux sociaux comme Facebook ou Twitter. Ces deux extensions sont très intuitives et seront même transparentes une fois installées pour les utilisateurs peu férus d'informatique. Pour les autres, il est tout à fait possible de se diriger vers des navigateurs alternatifs dédiés au respect de la vie privée. Assez peu utilisés, ils sont pourtant basés sur Firefox ou Chromium, la version opensource de Chrome. Tor, bien connu des utilisateurs du Darknet, permet bien entendu d'accéder à celui-ci, mais aussi aux sites classiques d'Internet par une transmission chiffrée sur différents relais. Attention cependant, l'utilisation d'un tel système pourrait vous mettre dans le même panier que les criminels et autres contrebandiers, ce qui s'avérerait plus que fâcheux. Cerise sur le gâteau, Tor dispose d'un module noscript qui s'apparentera à neutraliser tout code javascript sur les sites web . A n'utiliser qu'en cas d'urgence, car la majorité des sites nécessitent ce langage de programmation. Autre navigateur, Epic Browser basé sur Chromium reprend le meilleur des extensions de protection de vie privée de manière extrêmement bien packagée et transparente. Par exemple, les connexions cryptées HTTPS seront automatiquement sélectionnées lorsqu'elles sont disponibles et les cookies et autres fichiers seront automatiquement supprimés après chaque fermeture du navigateur.

Lorsque l'on parle de surf, on pense obligatoirement dans les premiers temps aux moteurs de recherche et notamment le plus célèbre d'entre eux : Google. S'i l excelle dans ses résultats, c'est malheureusement aussi le cas dans la traque aux informations personnelles. Doit-on forcément se plier à l'utilisation du moteur de recherche du géant du web ? Difficile lorsque l'on a ses petites habitudes, mais nous vous conseillons pendant quelques jours d'utiliser des solutions alte rnatives . Pour commencer, Qwant, le leader français des moteurs de recherche, a fait de son cheval de bataille le combat pour la protection de la vie privée. Les résultats de recherche sont de plus en plus pertinents avec le temps et seule une publicité non gênante et surtout non ciblée permet à Qwant de tirer des ressources financières. Outre atlantique, DuckDuckGo prône également la lutte pour le respect des droits privés et reste le leader alternatif dans ce domaine. Enfin Framabee, de l'association Framasoft dont le but est notamment de dégoogliser Internet propose un metacrawler, à savoir d'interroger plusieurs moteurs de recherche simultanément tout en ne conservant bien évidemment aucune trace de ses recherches.

DNS : une alternative à ne pas négliger

Autre astuce à mettre sur le compte de la sécurité et de la tranquillité de ses sessions de surf : l'utilisation de serveurs DNS alternatifs. Le DNS (Domain Name System) est un protocole sur lequel il faudra toujours compter sur Internet. En effet, il est responsable de convertir les adresses IP en noms compréhensibles par tout à chacun. Chaque fournisseur d'accès Internet se doit donc de proposer obligatoirement ce type de serveur, et celui-ci n'est parfois pas spécialement en la faveur de la sécurité des utilisateurs : d'une part les requêtes au serveur se font le plus souvent de manière totalement transparente et non cryptée sur le réseau, et d'autres part les fournisseurs d ' accès gardent les traces des demandes effectuées pour chaque internaute.

Heureusement , il existe des serveurs DNS alternatifs et totalement gratuits ! Pour bénéficier d'un serveur ONS sécurisé, il faudra non seulement en sélectionner un parmi les dizaines disponibles sur Internet, mais aussi mettre en place le protocole d'encryption DNS, à savoir DNSCrypt. Malheureusement, ce protocole n'est pas nativement disponible sous Windows 10 : fort heureusement, il existe un petit outil nommé Simple DNSCrypt qui permet de manière simple et transparente d'activer le support de ce protocole. Concernant le choix du serveur DNS proprement dit, il faudra qu' il soit bien évidemment compatible avec DNSCrypt, mais également respectueux de la vie privée d'autrui. Il n'existe malheureusement pas de serveurs parfaits : lorsqu'encryptage et anonymisation sont aux rendez-vous, les performances n'y sont pas. Nous vous conseillons l'utilisation d'Open DNS qui a l'avantage d'être compatible DNSCrypt, propose le blocage des sites de malwares et/ou interdit aux moins de 18 ans, et annonce qu'ils ne gardent des traces des évènements que quelques heures pour des raisons de maintenance.