Sujets

Une base solide : Sécurisation des comptes et des appareils

Sécurité des dispositifs

Dernière mise à jour : Juillet 2022

Outre les comptes, il est essentiel de garder tous les appareils (ordinateurs, téléphones, clés USB, disques durs externes, etc.) bien protégés. Cette protection commence par une vigilance quant au type d'appareils que votre organisation et votre personnel achètent et utilisent. Les vendeurs ou fabricants auxquels vous faites confiance doivent justifier du respect des normes mondiales en matière de développement sécurisé de dispositifs matériels (téléphones et ordinateurs, par exemple). Tous les appareils que vous achetez doivent être fabriqués par des entreprises de confiance qui n'ont pas intérêt à remettre des données et des informations à un adversaire potentiel. Il est important de noter que le gouvernement chinois exige des entreprises chinoises qu'elles fournissent des données au gouvernement central. Par conséquent, malgré l'omniprésence et la présence à bas prix de smartphones comme le Huawei ou le ZTE, il convient de les éviter. Bien que le coût d'un matériel bon marché puisse être très attrayant pour une organisation, les risques de sécurité potentiels pour les organisations qui défendent la démocratie, les droits de l'homme ou la responsabilisation devraient vous orienter vers d'autres options de dispositifs, car cet accès aux données a contribué à faciliter le ciblage de certaines personnes et communautés par le gouvernement chinois et d'autres gouvernements.

Vos adversaires peuvent compromettre la sécurité de vos appareils (et de tout ce que vous faites à partir de ces appareils) en obtenant un accès physique ou un accès « à distance » à votre appareil.

Sécurité des appareils et société civile

cyber Photo

Certains des logiciels malveillants les plus avancés au monde ont été développés et déployés dans le monde entier pour cibler les organisations de la société civile et les défenseurs des droits de l'homme. En Inde, par exemple, Amnesty International a signalé qu'au moins neuf défenseurs des droits humains ont été visés en 2020 par des logiciels espions (un type de logiciel malveillant) sur leurs appareils mobiles et leurs ordinateurs. Le logiciel espion a été diffusé par le biais d'une série de courriels d'hameçonnage contenant des liens vers des fichiers infectés partagés via Firefox Send (un programme de partage de fichiers abandonné depuis). Pour les cibles qui ont ouvert les fichiers, leurs appareils ont été infectés par un logiciel qui enregistrait les sons, interceptait les frappes au clavier et les messages, et les plaçait ainsi sous la surveillance totale des attaquants. Ces attaques, qui visent fréquemment les groupes de la société civile et leur personnel, sont malheureusement un moyen courant pour les attaquants d'obtenir un accès « à distance » à un appareil.

Accès physique à l'appareil par perte ou vol

Pour éviter toute compromission physique, il est essentiel de sécuriser physiquement vos appareils. En bref, ne facilitez pas la tâche d'un adversaire qui pourrait vous voler ou même vous enlever temporairement votre appareil. Gardez les appareils sous clé s'ils sont laissés à la maison ou au bureau. Gardez-les sur vous si vous pensez que c'est plus sûr. Cela signifie bien sûr que la sécurité des appareils passe en partie par la sécurité physique de vos espaces de travail (que ce soit dans un bureau ou à la maison). Vous devrez installer des serrures solides, des caméras de sécurité ou d'autres systèmes de surveillance, surtout si votre organisation court un risque élevé. Rappelez au personnel qu'il doit traiter les appareils de la même manière qu'il traiterait une grosse pile d’argent, sans les laisser traîner sans surveillance ou sans protection.

Que se passe-t-il si un appareil est volé ?

Afin de limiter l'impact si quelqu'un parvenait à voler un appareil, ou même s'il n'y accédait que pour une courte période, veillez à obliger l'utilisation de mots de passe ou de codes d'accès forts sur les ordinateurs et les téléphones de chacun. Les mêmes conseils de mot de passe que ceux de la section Mots de passe de ce manuel s'appliquent à un mot de passe fort pour un ordinateur ou un portable. Lorsqu'il s'agit de verrouiller votre téléphone, utilisez des codes d'au moins six à huit chiffres et évitez d'utiliser des « combinaisons de glissement » pour déverrouiller l'écran. Pour obtenir des conseils supplémentaires sur les verrouillages d'écran, consultez le Data Detox Kit de Tactical Tech. Avec un code d'accès fort en place, l'activation de Face ID ou du déverrouillage par empreinte digitale peut convenir, mais veillez à le désactiver (tout en laissant votre code d'accès fort en place) avant toute activité à haut risque, comme lors de manifestations ou de passages de frontières, si vous et votre personnel craignez de vous faire confisquer votre appareil par les autorités.

Si les appareils fournis par l'organisation disposent d'une fonction pour trouver votre appareil, telle que Localiser pour iPhone ou Localiser mon appareil pour Android, envisagez de demander au personnel de l'activer. Incitez le personnel à utiliser ces fonctionnalités sur leurs appareils personnels également. Lorsque ces fonctionnalités sont activées, le propriétaire de l'appareil (ou un contact de confiance) peut localiser l'appareil ou effacer à distance son contenu en cas de vol, de perte ou de confiscation. Pour les iPhones, vous pouvez également configurer l'appareil pour qu'il s'efface automatiquement après plusieurs tentatives de connexion infructueuses. Ces fonctionnalités de gestion des appareils deviennent d'une importance capitale pour une organisation lorsqu'un appareil contenant des informations sensibles est perdu ou tombe entre de mauvaises mains.

Qu'en est-il du chiffrement des appareils ?

Il est important d'utiliser le chiffrement (cryptage), qui consiste à brouiller les données pour les rendre illisibles et inutilisables, sur tous les appareils, notamment les ordinateurs et les smartphones. Si possible, vous devez configurer tous les appareils de votre organisation avec un procédé appelé chiffrement intégral du disque. Le chiffrement intégral du disque permet de chiffrer l'intégralité d'un appareil, de sorte qu'un adversaire, s'il devait le voler physiquement, serait incapable d'en extraire le contenu sans connaître le mot de passe ou la clé que vous avez utilisés pour le chiffrer.

De nombreux smartphones et ordinateurs modernes permettent de réaliser un chiffrement intégral de leur disque. Les appareils Apple tels que les iPhones et les iPads, de manière assez pratique, activent le chiffrement intégral du disque lorsque vous définissez un code d'accès normal pour l'appareil. Les ordinateurs Apple utilisant macOS sont dotés d'une fonction appelée FileVault que vous pouvez activer pour un chiffrement intégral du disque.

Les ordinateurs Windows dotés de licences pro, entreprise ou éducation disposent d'une fonction appelée BitLocker que vous pouvez activer pour un chiffrement intégral du disque. Vous pouvez activer BitLocker en suivant ces instructions de Microsoft, qui peuvent devoir être préalablement activées par l'administrateur de votre organisation. Si le personnel ne dispose que d'une licence domestique pour ses ordinateurs Windows, BitLocker n'est pas disponible. Toutefois, il est toujours possible d'activer le chiffrement intégral du disque en allant dans « Mise à jour et sécurité » > « Chiffrement du périphérique » dans les paramètres du système d'exploitation Windows.

Sur les appareils Android, à partir de la version 9.0, le chiffrement des fichiers est activé par défaut. Le chiffrement basé sur les fichiers d'Android fonctionne différemment du chiffrement intégral du disque, mais offre néanmoins une sécurité solide. Si vous utilisez un téléphone Android relativement récent et que vous avez défini un code d'accès, le chiffrement basé sur les fichiers devrait être activé. Cependant, il est bon de vérifier vos paramètres pour en être sûr, surtout si votre téléphone a plus de deux ans. Pour vérifier, allez dans Paramètres > Sécurité sur votre appareil Android. Dans les paramètres de sécurité, vous devriez voir une sous-section intitulée « Chiffrement » ou « Chiffrement et informations d'identification », qui indiquera si votre téléphone est chiffré et, dans le cas contraire, vous permettra d'activer le chiffrement.

Pour les ordinateurs (qu'il s'agisse de Windows ou de Mac), il est particulièrement important de conserver les clés de chiffrement (appelées clés de récupération) dans un endroit sûr. Ces « clés de récupération » sont, dans la plupart des cas, essentiellement des mots de passe longs ou des phrases de passe. Si vous oubliez le mot de passe de votre appareil habituel ou si un événement inattendu se produit (comme une panne de l'appareil), les clés de récupération sont le seul moyen pour récupérer vos données chiffrées et, si nécessaire, les déplacer vers un nouvel appareil. Par conséquent, lorsque vous activez le chiffrement intégral du disque, veillez à enregistrer ces clés ou mots de passe dans un endroit sûr, comme un compte en nuage sécurisé ou le gestionnaire de mots de passe de votre organisation.

Accès à distance aux appareils (également connu sous le nom de piratage)

Outre la sécurité physique des appareils, il est important de les préserver des logiciels malveillants. Security-in-a-Box de Tactical Tech donne une description utile de ce qu'est un logiciel malveillant et pourquoi il est important de les éviter, qui est légèrement adaptée dans le reste de cette section.

Comprendre et éviter les logiciels malveillants 

Il existe de nombreuses méthodes de classification des malwares (terme désignant un logiciel malveillant). Les virus, les logiciels espions, les vers, les chevaux de Troie, les rootkits, les rançongiciels et les cryptojackers sont tous des types de logiciels malveillants. Certains types de logiciels malveillants se propagent sur l'internet par le biais de courriels, de messages texte, de pages web malveillantes et d'autres moyens. Certains se propagent par le biais de dispositifs tels que des clés USB qui sont utilisées pour échanger et voler des données. Et, alors que certains logiciels malveillants exigent qu'une cible peu méfiante commette une erreur, d'autres peuvent infecter silencieusement des systèmes vulnérables sans que vous fassiez quoi que ce soit de mal. 

Outre les logiciels malveillants classiques, qui sont diffusés à grande échelle et visent le grand public, les logiciels malveillants ciblés sont généralement utilisés pour interférer avec un individu, une organisation ou un réseau particulier ou l'espionner. Les criminels ordinaires utilisent ces techniques, mais aussi les services militaires et de renseignement, les terroristes, les harceleurs en ligne, les conjoints violents et les acteurs politiques véreux.

Quel que soit leur nom, quelle que soit la manière dont ils sont distribués, les logiciels malveillants peuvent ruiner les ordinateurs, voler et détruire des données, mettre des organisations en faillite, porter atteinte à la vie privée et mettre les utilisateurs en danger. En bref, les logiciels malveillants sont vraiment dangereux. Cependant, il existe quelques mesures simples que votre organisation peut prendre pour se protéger contre cette menace courante.

Un outil anti-malware peut-il nous protéger ?

Les outils anti-malware ne sont malheureusement pas une solution complète. Cependant, c'est une très bonne idée d'utiliser quelques outils de base gratuits comme point de départ. Les logiciels malveillants évoluent si rapidement et les nouveaux risques sont si fréquents dans le monde réel que le recours à un tel outil ne peut suffire à vous défendre.

Si vous utilisez Windows vous devriez jeter un coup d'œil à la version intégrée de Windows Defender. Les ordinateurs Mac et Linux ne sont pas équipés d'un logiciel anti-malware intégré, pas plus que les appareils Android et iOS. Vous pouvez installer un outil réputé et gratuit comme Bitdefender ou Malwarebytes pour ces appareils (ainsi que pour les ordinateurs Windows).  Mais ne vous appuyez pas là-dessus comme seule ligne de défense car ils passeront certainement à côté de certaines des nouvelles attaques les plus ciblées et les plus dangereuses.

En outre, veillez à ne télécharger que des outils anti-malware ou anti-virus bien réputés provenant de sources légitimes (telles que les sites Web mentionnés ci-dessus). Malheureusement, il existe de nombreuses versions falsifiées ou compromises d'outils anti-malware qui font beaucoup plus de mal que de bien.

Si vous utilisez Bitdefender ou un autre outil anti-malware au sein de votre organisation, veillez à ne pas exécuter deux de ces outils en même temps. Beaucoup d'entre eux identifient le comportement d'un autre programme anti-malware comme suspect et l'empêchent de s'exécuter, ce qui entraîne un dysfonctionnement des deux programmes. Bitdefender ou d'autres programmes anti logiciels malveillants réputés peuvent être mis à jour gratuitement et le programme intégré Windows Defender reçoit les mises à jour en même temps que votre ordinateur. Veillez à ce que votre logiciel anti-malware se mette à jour régulièrement (certaines versions d'essai de logiciels commerciaux livrés avec un ordinateur sont désactivées après l'expiration de la période d'essai, ce qui les rend plus dangereux qu'utiles). De nouveaux logiciels malveillants sont créés et diffusés chaque jour, et votre ordinateur deviendra rapidement encore plus vulnérable si vous ne vous tenez pas au courant des nouvelles techniques de lutte contre les logiciels malveillants et de leurs évolutions. Si possible, vous devez configurer votre logiciel pour qu'il installe automatiquement les mises à jour. Si votre outil anti logiciels malveillants dispose d'une fonction optionnelle « Toujours actif », vous devriez l'activer et envisager d'analyser occasionnellement tous les fichiers de votre ordinateur. 

Maintenir les appareils à jour

Les mises à jour sont essentielles. Utilisez la dernière version du système d'exploitation de votre appareil (Windows, Mac, Android, iOS, etc.) et maintenez-le à jour. Maintenez également à jour les autres logiciels, votre navigateur et ses éventuels plugins. Installez les mises à jour dès qu'elles sont disponibles, idéalement en activant les mises à jour automatiques. Plus le système d'exploitation d'un appareil est à jour, moins il est vulnérable. Considérez les mises à jour comme un pansement sur une plaie ouverte : elles permettent de colmater une brèche et réduisent considérablement les risques d'infection. Désinstallez également les logiciels que vous n'utilisez plus. Les logiciels obsolètes présentent souvent des problèmes de sécurité. Vous avez peut-être installé un outil qui n'est plus mis à jour par le développeur, ce qui le rend plus vulnérable aux pirates.

Les logiciels malveillants dans le monde réel : Les mises à jour sont essentielles

Malware photo

En 2017, les attaques via le ransomware WannaCry ont infecté des millions d'appareils dans le monde entier, mettant hors service des hôpitaux, des entités gouvernementales, de grandes et petites organisations et des entreprises dans des dizaines de pays. Pourquoi l'attaque a-t-elle été si efficace ? En raison de systèmes d'exploitation Windows obsolètes et non corrigés, dont beaucoup étaient initialement piratés. Une grande partie des dommages (humains et financiers) aurait pu être évitée grâce à de meilleures pratiques de mise à jour automatisée et à l'utilisation de systèmes d'exploitation légitimes.

Faites attention aux clés USB

Soyez prudent lorsque vous ouvrez des fichiers qui vous sont envoyés en pièces jointes, par des liens de téléchargement ou par tout autre moyen. Réfléchissez également à deux fois avant d'insérer des supports amovibles comme des clés USB, des cartes mémoire flash, des DVD et des CD dans votre ordinateur, car ils peuvent être un vecteur de logiciels malveillants. Les clés USB qui ont été partagées un certain temps sont très susceptibles de contenir des virus. Pour connaître les autres options permettant de partager des fichiers en toute sécurité au sein de votre organisation, consultez la section Partage de fichiers du manuel.

Soyez également prudent quant aux autres appareils auxquels vous vous connectez via Bluetooth. Vous pouvez synchroniser votre téléphone ou votre ordinateur avec une enceinte Bluetooth reconnue et fiable pour écouter votre musique préférée, mais faites attention à ne pas établir de connexion avec des appareils que vous ne reconnaissez pas ou à ne pas accepter de requêtes de ces appareils. N'autorisez les connexions qu'avec des appareils de confiance et n'oubliez pas de désactiver la fonction Bluetooth lorsqu'elle n'est pas utilisée.

Soyez intelligent lorsque vous naviguez

N'acceptez et n'exécutez jamais d'applications provenant de sites Web que vous ne connaissez pas et auxquels vous ne faites pas confiance. Plutôt que d'accepter une « mise à jour » proposée dans une fenêtre contextuelle du navigateur, par exemple, vérifiez les mises à jour sur le site web officiel de l'application concernée. Comme évoqué dans la section Hameçonnage du manuel, il est essentiel de rester vigilant lorsque vous naviguez sur des sites web. Vérifiez la destination d'un lien (en le survolant) avant de cliquer et jetez un coup d'œil à l'adresse du site web après avoir suivi un lien et assurez-vous qu'elle semble appropriée avant de saisir des informations sensibles comme votre mot de passe. Ne cliquez pas sur les messages d'erreur ou les avertissements et faites attention aux fenêtres du navigateur qui s'affichent automatiquement et lisez-les attentivement au lieu de cliquer simplement sur Oui ou OK. 

Qu'en est-il des smartphones ?

Comme pour les ordinateurs, maintenez le système d'exploitation et les applications de votre téléphone à jour, et activez les mises à jour automatiques. Installez uniquement des logiciels provenant de sources officielles ou de confiance, comme le Play Store de Google et l'App Store d'Apple (ou F-droid, une boutique d'applications à code source ouvert pour Android). Les applications peuvent contenir des logiciels malveillants tout en semblant fonctionner normalement. Vous ne saurez donc pas toujours si l'une d'entre elles est affectée par un logiciel malveillant. Assurez-vous également que vous téléchargez la version légitime d'une application. En particulier sur les appareils Android, il existe des versions « fausses » d'applications populaires. Assurez-vous donc qu'une application est créée par la bonne société ou le bon développeur, qu'elle a de bonnes évaluations et qu'elle a le nombre de téléchargements attendus (par exemple, une fausse version de WhatsApp pourrait n'avoir que quelques milliers de téléchargements, mais la vraie version en compte plus de cinq milliards). Faites attention aux autorisations que vos applications demandent. Si elles vous semblent excessives (comme une calculatrice demandant l'accès à votre appareil photo ou Angry Birds demandant l'accès à votre localisation, par exemple), refusez la demande ou désinstallez l'application. Désinstaller les applications que vous n'utilisez plus peut également contribuer à protéger votre smartphone ou votre tablette. Les développeurs vendent parfois la propriété de leurs applications à d'autres personnes. Ces nouveaux propriétaires peuvent essayer de gagner de l'argent en ajoutant un code malveillant.

Les logiciels malveillants dans le monde réel : Applications mobiles malveillantes

iphone Screen

Depuis des années, des pirates de différents pays utilisent de fausses applications dans la boutique Google Play pour diffuser des logiciels malveillants. Un cas particulier visant des utilisateurs au Vietnam a été révélé en avril 2020. Cette campagne d'espionnage utilisait de fausses applications, censées aider les utilisateurs à trouver les bars à proximité ou à rechercher des informations sur les églises locales. Une fois installées par des utilisateurs Android non informés, les applications malveillantes collectent des journaux d'appels, des données de localisation et des informations sur les contacts et les messages texte. Ce n'est qu'une des nombreuses raisons pour lesquelles il faut faire attention aux applications que vous téléchargez sur vos appareils.

Économisez de l'argent et augmentez la sécurité de vos appareils en utilisant Tails pour votre organisation

Une option très sûre dont la mise en place nécessite un peu de compétences techniques est le système d'exploitation Tails. Ce système d'exploitation portable est gratuit et vous pouvez le démarrer directement à partir d'une clé USB, sans avoir besoin de recourir à des systèmes d'exploitation Windows ou Mac sous licence. Tails est également une bonne option pour les personnes qui présentent un risque extrêmement élevé, car il intègre un large éventail de fonctions de renforcement de la confidentialité. Ces fonctionnalités incluent l'intégration de Tor (abordée ci-dessous) afin de sécuriser votre trafic web et l'effacement complet de la mémoire à chaque fois que vous éteignez le système d'exploitation. Ces fonctions vous permettent essentiellement de repartir à zéro chaque fois que vous redémarrez votre ordinateur. Tails dispose également d'un mode de persistance, qui vous permet de sauvegarder des fichiers et des paramètres importants sur plusieurs sessions si vous le souhaitez.

Qubes OS est une autre option de système d'exploitation gratuit et sécurisé. Bien qu'il ne s'agisse pas de l'option la plus simple pour les utilisateurs non spécialisés, Qubes est conçu pour limiter la menace des logiciels malveillants et constitue une autre option à envisager pour les utilisateurs plus avancés et à haut risque de votre organisation, surtout si le coût des licences pose problème. 

Que faire si nous n'avons pas les moyens d'acheter un logiciel payant ?

Il peut être coûteux d'acheter des versions sous licence de logiciels populaires comme Microsoft Office (Word, Powerpoint, Excel) pour l'ensemble de votre organisation, mais un budget limité n'est pas une excuse pour télécharger des versions pirates de logiciels ou ne pas les maintenir à jour. Ce n'est pas une affaire de moralité, c'est une affaire de sécurité. Les logiciels piratés contiennent souvent des logiciels malveillants et ne peuvent pas être patchés pour combler les failles de sécurité.

Si vous n'avez pas les moyens de vous procurer les logiciels dont votre organisation a besoin, il existe un large éventail d'excellents logiciels libres et gratuits comme LibreOffice (une alternative aux applications standard de Microsoft Office) ou GIMP (une alternative à Photoshop) qui peuvent répondre à vos besoins. Pensez également à vous enregistrer par le biais de Tech Soup, une organisation qui offre des remises importantes sur des logiciels populaires pour les organisations à but non lucratif.

Même si vous avez les moyens d'acheter des logiciels et des applications légitimes, votre appareil est toujours en danger si le système d'exploitation sous-jacent n'est pas légitime. Par conséquent, si votre organisation ne peut pas se permettre de payer des licences Windows, envisagez des alternatives moins coûteuses comme les Chromebooks, qui constituent une excellente option, facile à sécuriser, si votre organisation travaille principalement dans le nuage. Si vous utilisez Google Docs ou Microsoft 365, vous n'avez pas besoin de recourir à de nombreuses applications de bureau : les éditeurs de documents et de feuilles de calcul gratuits intégrés au navigateur suffisent amplement à la plupart des besoins.

Une autre option, si votre personnel dispose des compétences techniques nécessaires, consiste à installer un système d'exploitation gratuit basé sur Linux (une alternative open source aux systèmes d'exploitation Windows et Mac) sur chaque ordinateur. Ubuntu est une option Linux populaire et assez conviviale. Quel que soit le système d'exploitation choisi, veillez à ce qu'une personne de l'organisation soit chargée de vérifier régulièrement que le personnel a installé les dernières mises à jour.

Lorsque vous optez pour un nouvel outil ou un nouveau système, réfléchissez à la manière dont votre organisation peut le prendre en charge techniquement et financièrement sur le long terme. Posez-vous des questions comme : Pouvez-vous vous permettre et conserver le personnel nécessaire pour l'entretenir en toute sécurité ? Pouvez-vous payer pour des abonnements récurrents ? Avez-vous accès à des réductions auprès de groupes comme TechSoup, déjà mentionné ? En répondant à ces questions, vous pouvez vous assurer que vos stratégies logicielles et technologiques seront plus efficaces au fil du temps.

Assurer la sécurité des appareils

  • Formez le personnel aux risques liés aux logiciels malveillants et aux meilleures pratiques pour les éviter.
    • Prévoyez des directives concernant la connexion de périphériques externes, le clic sur des liens, le téléchargement de fichiers et d'applications, et la vérification des autorisations des logiciels et des applications.
  • Exigez que les appareils, les logiciels et les applications soient constamment mis à jour.
    • Activez les mises à jour automatiques lorsque cela est possible.
  • Assurez-vous que tous les appareils utilisent des logiciels sous licence.
    • Si le coût est prohibitif, optez pour une solution sans frais.
  • Exigez la protection par mot de passe de tous les appareils de l'organisation, y compris les appareils mobiles personnels qui sont utilisés pour des communications liées au travail.
  • Activez le chiffrement intégral du disque sur les périphériques.
  • Rappelez fréquemment au personnel de sécuriser physiquement leurs appareils et gérez la sécurité de votre bureau avec des serrures appropriées ainsi que des moyens de sécuriser les ordinateurs.
  • Ne partagez pas de fichiers à l'aide de clés USB et ne branchez pas de clés USB sur vos ordinateurs.
    • Utilisez plutôt d'autres options de partage de fichiers sécurisés.