Différences entre les versions de « Sur Internet aussi sortez couvert - Adrian Gaudebert »

Titre : Sur Internet aussi sortez couvert !

Intervenant : Adrian Gaudebert

Lieu : 18èmes Journées du Logiciel Libre - Lyon

Date : Avril 2017

Durée : 1 h 01 min 52

Visionner la vidéo

[Support de la présentation]

Licence de la transcription : Verbatim

Statut : Transcrit MO

Description

Quand on n’y connait rien, il est parfois difficile de naviguer en sécurité sur le Web. Quels sont les dangers les plus courants ? Comment savoir si l’on est en sécurité ou pas ? Protéger ses comptes, créer de bons mots de passe, détecter les arnaques, identifier une connexion sécurisée… Au travers d’exemples et de conseils, nous vous aiderons à sécuriser vos données et à protéger votre vie en ligne.

Cette conférence s’adresse au grand public. Afin que les enjeux des solutions proposées soient bien compris, on expliquera de manière accessible les principes fondamentaux de l’Internet et du Web. Chaque gros mot (terme technique, acronyme… ) sera clarifié. Vous ressortirez de la conférence avec des clés pour mieux vous protéger sur le réseau Internet.

Parce que, n’oubliez pas, sur Internet comme dans la vie, il faut sortir couvert !

Transcription

Parfait. En introduction les Schoko-Bons qui sont ici sont une forme de récompense pour toutes les questions pertinentes que vous allez poser. Une question pertinente = un Schoko-Bon. L’objectif étant que vous ne me laissiez pas atteindre la fin de ma conf parce que je n’ai pas fini mes slides. D’accord ! Donc je compte sur vous ! En plus c’est traître, ils m’ont laissé déborder, il n’y a personne après moi.

Bonjour. On va parler d’Internet et d’utilisation d’Internet, comment faire pour que sur Internet on puisse surfer sans problème, sans se faire arnaquer, sans perdre ses données, etc. On va voir un peu tout ce qu’il y a comme problèmes qu’on peut avoir sur Internet.

Je m’appelle Adrian. Premier disclaimer, je suis employé par Mozilla, que vous connaissez peut-être, c’est l’entreprise qui fait Firefox, le navigateur, donc il est possible que je sois un petit biaisé dans mes opinions. Mais je vous assure que je fais tout ça avec bonne foi et que ce que je vous dis, j’y crois, fondamentalement.

Internet, c’est un truc vachement cool, c’est un outil fantastique et hyper complexe qui permet de faire plein de trucs, mais c’est aussi un outil, comme tous les outils complexes, qui peut s’avérer dangereux si on ne fait pas attention à ce qu’on fait.

Il y a une analogie que j’aime bien faire et qui est un petit peu tirée par les cheveux mais que je vais vous faire quand même : aujourd’hui on vous donne des ordinateurs, on vous donne des téléphones portables, on vous donne des accès à Internet et on vous dit : « Allez-y, c’est cool ! Utilisez Internet, c’est top ! » Je trouve que c’est un petit peu comme si on vous filait une bagnole et qu’on vous dise : « Allez-y c’est cool ! Voilà ! Les pédales ça marche comme ça, le levier de vitesse c’est bien, et hop, c’est bon ! Roulez jeunesse ! » Bon ! En vrai si on faisait ça il y aurait des vrais problèmes sur la route, on aurait des accidents tout le temps, etc. On ne peut pas juste prendre une voiture, apprendre comment marchent les pédales et les leviers, etc., et partir sur la route avec. Il y a un minimum de formation, il y a un permis de conduire, il y a un code de la route, etc.

Tout ça, ça n’existe pas pour Internet aujourd’hui. Il n’y a pas de formation, il n’y a pas de permis d’aller sur le Net, etc. Je pense que c’est un problème, personnellement, et malheureusement, tant que ça n’existe pas, eh bien il faut que des gens le fassent en fait, se réapproprient ça. C’est exactement ce que moi j’essaye de faire aujourd’hui, c’est ce que font pas mal de gens, notamment aux JDLL, aux Expériences numériques qui ont lieu ici aussi, de temps en temps.

On va parler d’Internet, on va parler des divers problèmes qu’on peut avoir sur Internet et je vais essayer de vous montrer comment on peut s’en prévenir, en fait. On va parler un petit peu de sécurité, la sécurité de vos données notamment. On va parler un petit peu des arnaques. Si vous n’avez pas à lire ici il y a marqué : « Les impôts veulent rembourser un trop perçu. Je ne vois pas où est le problème ? ! » Et quelqu’un qui répond : « Le problème c’est qu’on n’en paye pas, Raymond ! » Et on va parler de vie privée, gros sujet, vous avez peut-être vu, il y a pas de confs sur ce sujet-là notamment pendant les JDLL.

Première petite chose, ça va être bordélique comme conf, je vous préviens tout de suite ; j’espère qu’il y a une logique, mais s’il n’y en a pas ce n’est pas grave. Et deuxième l’important c’est que vous compreniez ce que je dis donc n’hésitez pas à m’interrompre, les Schoko-Bons sont là pour ça. Toutes les questions sont pertinentes, en fait. Je vois qu’il y a des gens qui sont un petit peu connaisseurs dans la salle, des gens qui sont bien meilleurs que moi dans les sujets sur lesquels je vais parler. C’est une conf grand public. Je vais dire des choses qui ne sont pas forcément vraies, je parlais à toi Stéphanie, ne me reprenez pas sur le coup, gardez ça pour après. Par contre, les autres, s’il y a un truc que vous ne comprenez pas, j’emploie un terme technique qui ne vous revient pas, arrêtez-moi, je prendrai le temps d’expliquer, c’est ça qui est important.

Première petite chose. On parle beaucoup d’Internet et du Web et on utilise les termes, on intervertit un peu les termes comme ça comme ça nous chante. Internet et le Web ce n’est pas la même chose. J’ai un petit jeu, je me souviens avant j’avais fait un petit Questions pour un champion, mais j’ai oublié de le faire ce coup-ci, c’est dommage. Qui connaît la distinction entre Internet et le Web dans la salle, levez la main. Si vous savez qu’il y a une distinction déjà dans un premier temps et laquelle elle est ? D’accord, c’est déjà pas mal.

Alors Internet c’est un réseau. Internet ce sont des machines qui communiquent entre elles. Le Web, c’est une application qui utilise ce réseau. En fait il y a plein d’applications qui utilisent le réseau internet. Quand vous faites du Skype part exemple, c’est une application, ce qu’on appelle de voix sur IP, qui utilise le réseau internet. Quand vous envoyez de e-mails, ça peut se passer via le Web, mais ça reste une application complètement séparée.

Donc Internet, j’y reviens plus tard comment ça marche tout ça.

Le Web ça s’accède visa un navigateur. Vous utilisez tous ce navigateur, je suis sûr ; si ce n’est pas le cas, changez.

Public : Pourquoi changer ?

Adrian : Pourquoi changer ? Excellente question. Bravo ! Premier Schoko-Bon. Ça c’est Firefox, très beau logo, [complètement bleu, pourquoi est-ce que, merci, ouais sûrement, impec]. Firefox donc par la fondation Mozilla. Pourquoi changer pour Firefox. Firefox c’est aujourd’hui le seul navigateur un petit peu sérieux et en compétition directe avec les autres gros navigateurs du marché que vous connaissez peut-être à savoir Chrome et Edge, anciennement Internet Explorer, le petit « e » bleu qui est livré avec Windows. C’est le seul qui est libre et qui est développé par une fondation à but non lucratif. Mozilla est une entreprise, mais entièrement détenue par une fondation américaine à but non lucratif. Donc on n’a pas d’actionnaires, on ne travaille pour revendre vos données, etc. On est vraiment une entreprise qui est respectueuse des utilisateurs.

Techniquement il y a très peu de différences aujourd’hui, entre les trois gros qui sont Firefox, Chrome et Edge, si ce n’est des préférences personnelles et vraiment le cœur du problème se situe sur la question du respect de votre vie privée en tant qu’utilisateur.

Public : Donc si le mien ce n’est pas Chrome et qu’il fait la même chose ?

Adrian : Très bien, mais dans ce cas tu n’es peut-être pas à ta place dans cette conférence. Pour télécharger Firefox, très simplement, vous allez sur mozilla.org ; ça ressemble à ça, vous avez un petit bouton — je ne suis même pas allé vérifier, si ça se trouve ça ne ressemble plus du tout à ça, mais ce n’est pas grave. Téléchargez Firefox depuis le site de Mozilla. Il y a énormément de sites qui proposent de télécharger Firefox ; il vaut mieux le prendre depuis le site de Mozilla, parce que souvent ce sont des sites qui vous rajoutent des trucs pas gentils avec.

Public : Je peux le prendre depuis mes dépôts ?

Adrian : Oui. J’avais dit que c’était interdit les questions comme ça !

Firefox c’est la première brique qui permet d’accéder au Web. Je vous en parle pour ça parce que dans la suite de la conférence je vais vous recommander des extensions que vous pourrez installer dans votre Firefox pour sécuriser votre navigation.

On va commencer à parler de dangers.

Le premier des dangers qu’il y a sur Internet, c’est que vous avez des données, vous avez un ensemble de données et vous avez un ensemble de valeurs, même. Quand vous allez sur Internet vous avez une identité déjà, premièrement. Vous avez une adresse e-mail, vous avez un compte Facebook, vous avez un ensemble de données qui constituent une ou plusieurs identités qui vous sont propres.

La première chose qui peut vous arriver c’est que vous vous fassiez voler votre identité, donc que quelqu’un vous la vole, se fasse passer pour vous auprès de vos amis, de vos proches, etc., et en profitent pour acquérir des données, acquérir des choses personnelles, etc.

Vous avez des données bancaires évidemment, vous utilisez votre Carte Bleue en ligne. Quand vous utilisez votre Carte Bleue en ligne, les serveurs, les sites sur lesquels vous l’utilisez, stockent ces données bancaires. Si des gens arrivent à les récupérer, paf, ils peuvent payer des choses, s’acheter des choses avec votre argent à vous.

Et puis vous avez tout un ensemble de données personnelles : vos photos, où vous partez en vacances, la géolocalisation de votre téléphone qui vous suit globalement partout, etc., qui sont aussi des données qui sont importantes et qu’on peut exploiter pour vous faire du mal par exemple.

Parmi toutes ces données personnelles, il y en a une que je voulais mettre en valeur, c’est ce qu’on appelle le graphe social, parce qu’elle est souvent négligée. Le graphe social, ce sont les gens avec qui vous interagissez, ce sont les gens qui vous entourent. Typiquement, sur Facebook, c’est votre liste d’amis. Ça, ça a énormément de valeur, parce que même si vous vous n’avez rien à cacher, les gens que vous fréquentez eux ont peut-être intérêt à ce qu’on ne sache pas que vous êtes amis, que vous échangez des choses. Vous pouvez tout à fait vous retrouver également à fréquenter des gens, sans savoir que, par exemple, ils ont une activité terroriste, que ce sont des criminels, etc. Donc le graphe social c’est vachement important dans qui vous êtes et pas forcément sans que vous le sachiez.

09’ 22

Le mot de passe ?

Premier levier pour se sécuriser sur Internet. On va parler de mot de passe.

Vous connaissez cette scène ? Ou pas ? Ça vous parle ou pas ? C’est dans Harry Potter c’est le portrait de la grosse dame, qui demande les mots de passe.

Le mot de passe, c’est généralement le truc sur lequel les attaques sont les plus faciles, parce qu’une fois qu’on a piqué votre mot de passe, on a accès à vos données, on peut faire à peu près tout ce qu’on veut dessus. La pire chose qui puisse m’arriver, moi personnellement aujourd’hui, dans ma vie en ligne, c’est qu’on me pique le mot de passe de mon adresse e-mail, à partir de laquelle on peut récupérer absolument tout le reste de mes données.

Il y a un moyen très simple de ne pas trop se faire piquer son mot de passe, c’est de faire des bons mots de passe et de respecter quelques règles.

• La première c’est de ne rien mettre de personnel dans votre mot de passe. Pas de trucs qui soient trop faciles à deviner notamment pour des gens qui vous connaissent ou qui peuvent accéder à des données vous concernant.
• Deuxième chose, changer régulièrement. Ça c’est un truc qu’on conseille souvent ; je ne suis pas forcément d’accord avec ça. Parce qu’à partir du moment où vous avez un bon mot de passe, et que vous n’utilisez pas le même mot de passe sur chacun des sites sur lesquels vous êtes, changer hyper régulièrement ce n’est pas forcément très intéressant. Changer ça reste bien, une fois de temps en temps, tous les deux/trois ans.
• Cacher les copies. Il y a malheureusement beaucoup de gens qui, comme ils oublient leurs mots de passe, les écrivent dans un petit carnet par exemple ; peut-être que vous faites ça. Idéalement il ne faut pas le faire, du tout. Si vous ne pouvez pas vous souvenir de vos mots de passe, il y a des solutions pour faire ça, je ne vais malheureusement pas en parler aujourd’hui, mais les managers de mots de passe, j’ai oublié le terme technique, si tu peux me le redire, les gestionnaires de mots de passe, voilà. Il y a pas mal de logiciels qu’on appelle des gestionnaires de mots de passe, qui remplacent le petit carnet, sauf que c’est bien plus sécurisé que d’avoir un carnet posé sur son bureau.
Public : Ils sont protégés quand même par un mot de passe. Adrian : Ils sont protégés par un mot de passe, mais du coup il n’y a qu’un mot de passe à retenir, c’est quand même plus rapide. Public : Si on l’oublie, on perd tout. Adrian : Si vous oubliez le mot de passe principal, oui effectivement, là c’est plus difficile. On va revenir dessus.
• Des caractères spéciaux dans les mots de passe c’est vachement bien, essayez de faire des mots de passe un peu compliqués. [Je n’aurais pas dû mettre ça là, j’aurais dû mettre ça après].
• Ça c’est plus important : un mot de passe c’est CONFIDENTIEL : on ne partage pas un mot de passe, même avec sa moitié, même avec ses parents, même avec sa petite sœur qu’on adore. Un mot de passe ça doit rester le vôtre, unique, tout le temps et ça ne doit pas changer.
Public : Donc si on le partage sans faire exprès, on le change derrière ! Adrian : Ouais, toujours. Si vous avez un doute, changez de mot de passe, toujours.

Phrase de passe

On parle de mot de passe, en fait on devrait arrêter un petit peu de parler de mot de passe c’est au singulier, ça implique qu’il y a un seul mot et, finalement, il faudrait qu’on commence à parler de phrase de passe. Plutôt que d’écrire des mots, écrivez des phrases, avec des espaces au milieu. J’ai quelques exemples de mots de passe qui sont à peu près sécurisés. Ça c’est à peu sécurisé [journées desl0g1c13ls kool], d’après un site en particulier. Il y a des caractères spéciaux, des espaces, des chiffres à la place des lettres et des mots qui n’existent pas dans le dictionnaire. Ça c’est juste parce que ça me fait rire [mer ou é donk ornikarre?]. En fait, l’intérêt des phrases de passe c’est que ça vous permet de faire des trucs assez mnémotechniques : mais où et donc or ni car, journées des logiciels libres, par exemple, et le dernier c’est mon préféré j’avais un ami, mais il est parti [J’avé zun ami maizilé parti]. Oui !

Public : On peut mettre des espaces ?

Adrian : Oui absolument. Il y a des sites qui refusent les espaces. Si vous tombez sur un site qui refuse les espaces, je vous encourage à ne pas utiliser ce site, ça veut dire qu’il est très mal codé et que ce n’est pas bien du tout. Schoko-Bon ; c’est pour vous, Hop ! Pardon ! Je suis très mauvais lanceur.

Public : Des phrases. Des fois tu n’as pas le choix.

Adrian : Oui bien sûr.

Public : Inaudible qui est fait pour mettre des trucs, eh bien du coup, tu ne peux pas faire de phrase, ni d’espaces. Ils t’obligent à ne mettre que des chiffres.

Adrian : Voilà. Des fois tu ne peux pas le faire. Les sites bancaires, notamment, généralement n’utilisent que des chiffres pour le faire.

Public : Tout à l’heure vous avez dit que ces mots de passe sont sécurisés. Ça veut dire que je vais utiliser les trois que vous avez montrés-là et comme ça je sais que c’est sécurisé ?

Adrian : Oui. Absolument.

Public : Même si ce n’est pas moi qui les ai mis ?

Adrian : Ils sont publics, ils sont disponibles sur des slides, n’utilisez pas ces mots de passe-là. Ce sont des exemples.

Public : Ils ne sont pas sécurisés.

Adrian : Ceux-ci ne sont pas confidentiels, exactement, absolument.

Il y a des outils qui vous permettent de vérifier à quel point un mot de passe est.... Oui, je vous écoute.

Public : On donne le mot de passe au site !

Adrian : Il ne faut pas donner le mot de passe en particulier, mais c’est un très bon moyen de vérifier à quel point une structure de mot de passe est bonne. Ça c’est un très bon outil [[1] pour voir que si vous tapez votre mot de passe aujourd’hui. Tiens ! On va faire un petit sondage. Qui parmi vous a plus d’un mot de passe ? Ça c’est déjà super. Qui parmi vous utilise des mots de passe de plus de 8 caractères ? Ce n’est pas mal, un petit peu moins, mais c’est déjà bien. Très bien. Qui parmi vous utilise déjà des phrases de passe. OK, super ! Eh bien les autres vous savez ce qui reste à faire !

Ça c’est juste un outil pour vérifier, pour voir, si vous mettez toto dedans, cracker un mot de passe comme toto ça prend un pouillème de seconde pour un ordinateur aujourd’hui. Ça c’est un screenshot que j’ai fait, je en sais plus ce que c’était celui-là, mais je sais que j’ai testé tout à l’heure le dernier là, celui-là, il m’a dit que ça prenait à peu près 500 trillions d’années ou un truc comme ça. C’est un site qui n’a pas vocation à dire exactement ce que ça fait mais c’est un bon indicateur pour voir à quel point un mot de passe, aujourd’hui ; un mot de passe trop simple va être très facilement crackable, un mot de passe comme ça, vas-y !

Public : Tu sais ce qui existe comme méthode de ??? forte pour le craker ?

Adrian : Celui-là, non !

Public : Est-ce que ça prend en compte les divers dictionnaires et tout ça ?

Adrian : Ça prend en compte le résultat de dictionnaires, ça je suis à peu sûr et après ça prend aussi les ??? par entropie. Donc ça a aussi calculé l’entropie.

Public : OK ! Sur les modes d’attaque actuels.

Adrian : À priori. Évidemment, ça, ça utilise, c’est un outil qui est valide au vu des technologies qu’on a aujourd’hui. Il est possible que dans un an, dans dix ans, on ait des découvertes des technologies qu’on n’imagine pas aujourd’hui et qui vont rendre ça complètement obsolète, qui vont faire que les mots de passe ne vont plus du tout être sécurisés.

16’ 05

Arnaques en ligne

Deuxième vecteur d’attaque, les arnaques en ligne