C’est sans doute pourquoi il est devenu un des principaux vecteurs d’attaque sur Internet. Nous allons donc voir dans ce tutoriel quelques détails sur le fonctionnement de ce service et quelques règles simples qui vous permettront d’éviter tous ces pièges!

Pourquoi les mails ne sont pas fiables

Comme je l’ai indiqué dans l’introduction, le service de mail a été pensé comme le courrier postal. Il y a donc un expéditeur, un ou des destinataires, des pièces jointes, un objet, un contenu … Bref, autant de termes qui se retrouvent dans le courrier classique. Mais il faut bien comprendre que tous ces éléments sont librement éditables par la personne qui envoie le mail ! C’est à dire que je peux envoyer un mail en remplissant ce que je veux dans l’expéditeur.

Tout comme je pourrai très bien vous envoyer une lettre avec l’entête de votre banque, je peux donc vous envoyer un mail avec l’adresse e-mail de votre banque en expéditeur.  On voit donc bien qu’il ne faut pas prendre pour argent comptant tout ce qui se présente dans vos mails.

Méfiez-vous dès l’instant où on vous demande de faire quelque chose

Si vous recevez une lettre de votre banque vous demandant de renvoyer un chèque par courrier à une adresse que vous ne connaissez pas, le faîtes-vous ? Le bon sens fait que vous allez prendre des renseignements (en passant à votre agence ou en téléphonant) qui vous confirmeront que c’est une arnaque. Mais avec les mails, les pièges peuvent être tellement subtils que beaucoup de gens ne se méfient pas.

Par exemple, je peux vous envoyer un mail en me faisant passer pour votre banque. Dans le texte, je prétexte n’importe quel problème informatique pour vous demandez de cliquer sur un lien.  Bien entendu, j’aurai pris soin de faire que cette page soit un clone du site de votre banque (ce n’est pas très compliqué à faire). Sur cette page je vous demande de saisir votre login et votre mot de passe. Une fois que vous l’avez saisi, je vous redirige vers le site réel de votre banque. Sauf qu’au passage, j’aurai pris soin d’enregistrer ce que vous avez saisi pour pouvoir m’en servir par la suite.

Phishing : ne cliquez pas sur un lien

Ce type d’attaque est extrêmement fréquente (plusieurs par semaine) envers les banques, les FAI… Elles ont été baptisées phishing. Comme vous l’aurez compris, le but est de vous faire cliquer sur un lien et de vous faire croire que vous allez arriver sur le vrai site Internet de la société. Il y a des règles (certaines assez complexes) pour reconnaître que le lien en question n’est pas une page du vrai site.

Mais le plus simple est en fait de ne pas cliquer. Là encore prenez d’autres sources d’informations. Allez sur le site de la société de vous même et saisissez votre login et votre mot de passe. Si aucun message venant confirmer ce que vous avez lu dans le mail n’apparaît, alors considérez le mail comme un piège. Ou alors appelez la société en question qui pourra vous dire si ce mail est un faux.

Scam : n’envoyez jamais d’argent

Le scam est un peu plus complexe à mettre en œuvre. Ici, on ne veut pas vous faire cliquer sur un lien, mais vous faire répondre. On vous expliquera qu’une personne a une somme d’argent importante à sa disposition mais qu’il lui faut de l’argent pour la récupérer. La personne se propose de partager le magot à condition que vous envoyiez les frais en question. Bien entendu, tout ceci est une arnaque et vous ne reverrez jamais votre mise. D’une manière générale, peu importe le prétexte, dès qu’on vous demande de l’argent c’est un piège.

Virus : encore et toujours les liens

De nos jours, beaucoup de virus se propagent par mail. Là encore on vous invite à aller sur une page Internet ou à télécharger un document (PDF, Office …). Ce mail peut venir d’une personne déjà infectée et qui vous a dans son carnet d’adresses. Donc même si le mail provient d’une personne connue, le risque est toujours là. La première chose à faire est d’avoir son système à jour ce qui permet d’éviter que de vieilles failles soient exploitées. Ensuite attendez peut être un jour ou deux avant de télécharger le fichier. Le temps que, si c’est virus, il soit reconnu par votre antivirus. Si vous allez lire vos mails sur un site et non pas en les rapatriant via un logiciel sur votre PC (Outlook, Thunderbird), vous éviterez certains virus car les boîtes mails scannent les pièces jointes. Mais cela n’aura aucun effet contre un lien piégé …

Comme nous l’avons vu, il existe de multiples pièges liés aux emails. Il faut donc éviter de faire confiance aux messages qui arrivent même si ils viennent d’une personne ou société connue. Tout ce qui arrive en anglais ou dans un français très approximatif est à considérer comme un piège. Voilà, j’espère que vous serez un peu mieux armé contre vos emails !

Cet article continue sur le chemin des communications entre ordinateurs. Nous avons vu dans l’article précédent comment les ordinateurs pouvaient se trouver les uns les autres avec une IP.

Nous allons donc maintenant étudier comment nous pouvons facilement retrouver un ordinateur sur Internet grâce au mécanisme de DNS et bien sûr, voir les risques que cela induit.

Les pages blanches d’Internet

Si on peut faire une analogie entre une adresse IP et une adresse postale, on peut aussi voir le DNS comme un annuaire. En effet, vous ne connaissez pas par coeur toutes les adresses des gens et entreprises que vous connaissez. Mais vous avez un moyen de les retrouver.

Sur Internet, c’est la même chose. Vous ne connaissez certainement aucune adresse IP Internet, vous ne connaissez que des noms associés. Par exemple, vous vous rappelez de www.google.fr mais pas 74.125.39.105. C’est grâce au service DNS qui associe les noms de domaine à des adresses IP.

Lorsque vous vous connectez à Internet, soit vous avez renseigné vous même l’adresse IP d’un DNS (il y a de moins en moins à le faire avec les box), soit votre ordinateur a récupéré automatiquement la ou les IP d’ordinateurs répondant à ce service. Souvent ils sont installés par votre fournisseur d’accès, ce qui permet de les joindre rapidement (car ils ne sont pas loin). Ensuite, les différents logiciels de votre ordinateur peuvent faire des requêtes pour avoir l’adresse IP correspondant à un domaine.

Mais il est possible de compromettre ce système

Mais quel rapport avec la sécurité alors ? Le problème est le fonctionnement même de ce service. En effet, prenons un annuaire téléphonique papier et imaginons que vous déménagiez en début d’année. Si je veux vous piéger et sachant que les annuaires papier ne sont redistribués qu’une fois par an, il me suffit de relouer l’appartement que vous quittez et de laisser votre nom sur la boîte aux lettres. Ainsi, toutes les lettres qui viendront à votre nom rentreront en ma possession.

Mais encore pire, si j’arrive à modifier les données du fournisseur de l’annuaire au moment où il imprime la version papier, alors dans tous les annuaires il y a aura une adresse dont j’aurai le contrôle jusqu’à une réédition. On voit donc que laisser fournir une donnée chez tout le monde comporte des dangers.

Un annuaire « d’origine » répliqué des milliers de fois

Pour le DNS, ces dangers se retrouvent aussi. En effet, il n’y a que quelques serveurs DNS (appelés « racines ») qui sont l’autorité et qui référencent tous les noms de domaines du monde. Ensuite, les DNS de votre fournisseur d’accès, lorsqu’ils ont fait une demande, stockent le résultat. Et pendant une durée variable (généralement quelques heures) ils ne referont pas de demande aux serveurs racines mais utiliseront la valeur qu’ils ont stockée.

Premier problème, si j’arrive à pirater le DNS de votre FAI, le DNS renverra la valeur que je veux à tous les abonnés. Cependant, les accès sont généralement bien faits et ces serveurs sont difficilement piratable. Je peux aussi attendre le moment où le DNS redemande l’IP d’un domaine à un serveur racine pour répondre à sa place. Là encore, des mécanismes de limitation ont du être mis en place pour éviter que n’importe qui puisse se faire passer pour le serveur racine, car il n’y a pas de mécanisme d’authentification.

Et ces « caches » (informations stockées pour éviter de les redemander juste après) sont aussi utilisés par votre ordinateur, puis encore par votre navigateur afin de ne pas refaire tout le temps des requêtes aux DNS de votre FAI.

Mais alors quelles solutions ?

Bref, ce protocole est loin d’être sûr malgré le fait qu’il est la pierre angulaire d’Internet. Néanmoins, à l’heure actuelle, il n’existe pas de solution simple pour éviter d’arriver sur une mauvaise adresse IP.

Une solution consiste à avoir sur son réseau interne un ordinateur pour héberger ce service. Il sera moins exposé que ceux de votre FAI ou d’autres DNS publics. Il faudra néanmoins configurer les ordinateurs pour qu’ils n’utilisent plus ceux de votre FAI.

Il existe une version sécurisée du protocole (DNSSEC) où tous les acteurs sont authentifiés de manière fiable. Mais il est complexe à mettre en œuvre et tarde à se répandre. Bref, il est déjà bon de savoir que la page qui s’affiche après que vous ayez tapé votre URL ne viendra pas forcément du site en question, même si les cas de piratage des caches DNS restent rares.

Je me lance donc dans la rédaction d’articles visant à répondre (de manière schématique) aux diverses questions qui pourrait vous venir lors de la lecture de termes techniques dans de futurs articles.

Nous commençons donc ici, avec le mécanisme des IP.

Votre adresse postale sur Internet

Pour résumer, IP est une sorte de mécanisme d’adresse. Dans le monde dans lequel nous vivons, nous sommes tous reliés les uns aux autres par des routes (rues, autoroutes …). Pour aller chez quelqu’un, il nous suffit de connaître son adresse.

Avec IP, c’est un peu la même chose avec les ordinateurs. Dès l’instant où plusieurs ordinateurs sont reliés ensemble (en réseau), ils doivent avoir une adresse pour se trouver les uns les autres. On parle donc d’adresse IP. C’est une suite de quatre nombres (on se limitera à IPv4 pour comprendre le concept) compris entre 0 et 254 séparés par des points.

Par exemple 74.125.39.106 est l’IP de Google. Si vous êtes sur Internet, c’est que vous avez aussi une IP afin que les sites puissent vous répondre. Ce protocole est donc indispensable pour toutes les communications Internet. Quand vous vous connectez à Internet (ou quand votre box se connecte), une IP vous est attribuée par votre fournisseur d’accès. Car bien évidemment, personne ne doit avoir la même adresse que quelqu’un d’autre !

Une adresse IP doit être unique

Ce problème qui paraît simple est en réalité plus compliqué qu’il n’y paraît. Par exemple, dans la vie réelle, il y a des cas de gens qui habitent dans un immeuble important et qui ont le même nom qu’un autre habitant de l’immeuble ! Cela reste assez rare heureusement mais pour Internet ça ne peut pas fonctionner. C’est pourquoi votre fournisseur ne peut pas vous attribuer une adresse au hasard. Il a une plage d’IP qui lui sont réservées. C’est à lui de vous donner une IP qui ne soit pas prise par quelqu’un d’autre.

Encore faut-il qu’il y en ait suffisamment !

Au départ, tous les ordinateurs connectés avaient une adresse sur Internet. Mais le problème, c’est que le nombre d’ordinateurs connectés a explosé et avec les règles d’attribution des IP (il y a des normes de plage assez contraignantes) le nombre d’IP disponibles n’allaient plus suffire ! Les personnes ayant en charge les règles d’attribution ont donc décidé de créer des plages spéciales qui sont réservées à un réseau privé. Si vous avez une box Internet, c’est elle qui va récupérer une IP internet et ensuite elle attribuera des IP privées à tous les PC qui se connectent à la box. C’est pourquoi vous pouvez connecter 10 PC sur votre réseau et n’avoir qu’une seule IP internet.

Pour les entreprises, ce sont ainsi des centaines de milliers d’IP Internet qui n’ont pas eu à être attribuées. Néanmoins, il y aura quand même une saturation des adresses d’ici quelques années et il faudra passer à la version supérieure du protocole (IPv6) qui permet un nombre énorme d’adresses.

Et notre problème commence ici : comment gérer tous ces logins / mots de passe ? Nous répondons tous à ce problème par de multiples façons et nous allons voir dans cet article différentes solutions et les problèmes qu’elles posent.

- Je laisse mon navigateur retenir mes mots de passe

C’est certainement la pire des solutions. On peut même considérer cette fonctionnalité gérée dans tous les principaux navigateurs Web comme une erreur de sécurité. En effet, vous pouvez à tout moment perdre l’intégralité des mots de passe :

• Une simple réinstallation de l’ordinateur aura raison de ces mots de passe.
• Si vous n’êtes pas chez vous, vous n’avez pas accès à vos services.
• Si quelqu’un utilise votre PC, il aura accès à tous vos sites.
• Vous ne saisissez pas les mots de passe, donc vous les oubliez.

- Je note mes mots de passe sur un papier à côté de mon ordinateur

On progresse un peu du point de vue de la sauvegarde des mots de passe. Vous êtes à l’abri des problèmes informatiques, mais il y a encore bon nombre de soucis :

• Vous devez faire confiance aux gens qui passent chez vous (n’importe qui peut recopier vos mots de passe).
• Là encore, si vous n’êtes pas chez vous, vos mots de passe ne sont pas là.
• Si vous ou quelqu’un d’autre perdez le papier (ménage, incendie, tasse de café renversée…), tout est perdu.

Bref, cette option est aussi à éviter, même si on peut supprimer certains des inconvénients en mettant le papier dans son portefeuille. Mais il suffit que l’encre s’efface avec le temps ou que le papier prenne la pluie pour tout perdre.

- Je ne note rien, mais je n’utilise qu’un seul mot de passe pour tous les sites

Vous éliminez les problèmes liés à la sauvegarde et au transport. Mais allons un peu plus loin en matière de sécurité. Le problème est que beaucoup de gens ont adopté cette solution. Par conséquent, si j’intercepte un login/mot de passe, il me suffira d’essayer différents services répandus pour les essayer. Cela est encore pire si je vous connais personnellement et que je connais certains de vos logins, comme vos emails par exemple (moyen par lequel certains sites amateurs vous renvoie votre mot de passe).

De plus, il y a de nombreux moyens pour intercepter votre mot de passe unique. Si vous êtes sur un PC non sûr (à savoir tous les autres PC que le vôtre, encore que …) :

• il se peut qu’un logiciel sur le PC enregistre toutes les touches du clavier (Keylogger).
• il se peut qu’on vous ait envoyé un mail qui contient un lien malicieux pour que vous saisissiez votre login/mot de passe sur une page qui les renverra par mail à quelqu’un (Phishing).
• il se peut que j’écoute tout ce qui passe sur le réseau et que vous saisissez vos informations sur une page non sécurisée (sniffing).
• il se peut que vous vous soyez inscrit(e) à un site qui retient votre mot de passe sans le « crypter ». Si quelqu’un vole la base du site, il aura votre mot de passe. Et même si le site crypte votre mot de passe, si il n’est pas assez complexe, il sera retrouvé sans problème.
• si vous vous loggez chez quelqu’un qui n’a pas désactivé la retenue des mots de passe dans son navigateur, alors il pourra retrouver votre mot de passe.

Bref, cette solution est en fait loin d’être sûre. Mais les problèmes sont tels qu’on ne peut pas tous les résoudre. Par exemple, on ne peut pas savoir si quelqu’un vole la base de données d’un site peu sécurisé qui n’a pas crypté votre mot de passe. On voit donc bien qu’il faut utiliser un mot de passe unique pour chaque site. Ainsi, même si un mot de passe est compromis, le reste est toujours sûr.

- Enfin la solution :

LastPass est un service Internet qui vous propose de stocker vos logins/mots de passe chez eux. Bien entendu, ils ne les voient que de façon cryptée. Il fonctionne sous forme de plugin que vous pouvez installé dans Firefox. Vous définissez un mot de passe à votre inscription (Attention : lire à la fin de ce post, pour le choix du mot de passe !) et votre compte est créé. Par la suite, à chaque fois que vous vous loggez sur un site, il vous proposera d’enregistrer le mot de passe. Profitez en pour le changer dans la foulée ! Seul votre mot de passe pourra décrypter les données stockées chez LastPass. Ce service répond à un maximum de contraintes :

• Vous pouvez générer des mots de passe de façon aléatoire pour vos sites (fini les mots de passe trop simples).
• Vous pouvez définir un temps d’inactivité à partir duquel le programme vous redemandera le mot de passe principal. Cela empêchera quelqu’un qui se sert de votre ordinateur de voir vos mots de passe.
• Vous pouvez vous loggez directement sur les sites ! Vous ne saisissez plus vos logins/mots de passe, sur quasiment tous les sites, vous cliquez sur le lien dans LastPass et l’application saisit vos logins et mots de passe pour vous. En plus du gain de temps appréciable, vous évitez les problèmes de keyloggers.
• Si vous n’êtes pas sur un PC de confiance ou sur un PC sur lequel vous n’avez pas le droit d’installer ce que vous voulez, vous pouvez vous loggez sur LastPass depuis une page web (sécurisée) sur laquelle un clavier virtuel vous sera proposé. Là encore, un keylogger ne verra rien (puisque vous cliquez à l’écran), de même qu’un sniffeur réseau puisque la page est en HTTPS.
• Il y a une extension disponible pour Firefox Portable ! Ainsi, il vous suffit d’installer Firefox Portable sur votre clé USB et avec LastPass vos mots de passe vous suivent sans rien installer sur le PC non sûr !
• Vous pouvez définir qu’il faut ressaisir le mot de passe principal pour débloquer un site. Par exemple, si vous vous éloignez de votre ordinateur et que quelqu’un en profite pour fouiner sur votre ordinateur juste après, il ne pourra pas accéder à votre compte bancaire.

Bref, après un effort de prise en main et de changement de mots de passe, vous surferez de manière la plus sécurisée qui soit ! Malgré tout, cela n’empêche pas les problèmes suivants :

• Si vous êtes sur un PC non sûr et que vous saisissez le mot de passe principal avec le clavier (et non pas en cliquant sur le clavier virtuel), votre mot de passe principal peut être compromis par un keylogger.
• Si vous utilisez LastPass avec un site qui ne propose pas le login sur une page HTTPS (il y en a encore pas mal), le mot de passe saisi par LastPass peut être intercepté par sniff réseau (ça reste quand même rare).
• Si vous utilisez un site qui s’est fait voler sa base de données, votre mot de passe peut être compromis. Si le site crypte les mots de passe, le mot de passe généré sera très difficile à casser.

De même, concernant votre mot de passe principal, ne choisissez pas un simple mot ! Pensez plutôt à une phrase (avec les mots tout attachés et les premières lettres en majuscules) avec si possible des chiffres. Par exemple (à ne pas utiliser bien sûr car ils sont connus de tous) :

• MonChatWhiskyEstNeEn2009
• JAiEuMonPermisDeConduireEn2000
• JAiEpouseMonCheriEn2005

Ce genre de « phrase de passe » est assez simple à mémoriser et elles contiennent bien plus de caractère qu’un mot ! De plus en mixant lettres minuscules, majuscules et chiffres ils prendront des années à être cassés de manière automatique. Mais n’oubliez pas cette phrase de passe car elle donne accès à tous vos mots de passe ! Par sécurité, vous pouvez la noter dans un premier temps avant de savoir la taper par cœur.

Voilà, vous n’avez plus d’excuses pour négliger l’accès à tous vos sites

Je profite de la remise en ligne de mon serveur @home pour mettre en place ce petit site.

Je ne sais pas encore si j’aurai beaucoup de temps à lui consacrer ni si il y aura beaucoup de messages, mais en tout cas, c’est là

Edit : Après quelques réflexions, j’ai décidé de parler de sécurité informatique. J’essaierai donc de proposer des méthodes simples pour que tout un chacun puisse se protéger des menaces qui rôdent à tous les coins de rue sur Internet !

A bientôt !