Les 3 regles de securite de Brian Krebs

De 1995 à 2009, Brian Krebs était journaliste au Washington Post.  Spécialisé dans la sécurité informatique, il a écrit 1300 articles sur le blog Security Fix. Depuis il officie sur son site personnel KrebsOnSecurity. Après ces années de lecture des articles de Brian Krebs, j'ai pu mettre une voix sur l'auteur en écoutant le podcast Security Now #392.

En 2011, Brian a posté l'article "Kreb's 3 basic rules for online safety". Littéralement: les 3 règles de base pour la sécurité en ligne. Voici mon adaptation/traduction de ces 3 règles en français:

130226_briankrebs.jpg

If you didn’t go looking for it, don’t install it!

Si tu n’es pas allé le chercher, ne l’installe pas.
— Brian Krebs

Une grande partie des menaces en ligne reposent sur l'incitation de l'utilisateur a faire une action. Que ce soit cliquer sur un lien dans un email ou une pièce jointe, ou installer une application ou un plugin dans le navigateur.

Typiquement ces attaques prennent la forme d'une fenêtre pop-up qui alerte l'utilisateur d'un problème de sécurité. Ceci dans le but de lui faire installer un logiciel malveillant. Une autre type d'arnaque consiste a renvoyer l'utilisateur vers une video puis à lui proposer d'installer un codec spécial, un lecteur multimédia ou une application pour en voir le contenu.

Installez un programme ou un plugins pour votre navigateur si et seulement si vous êtes allé le chercher vous même. Et avant d'installer quoi que ce soit, pensez a vérifier que vous avez téléchargé le fichier chez l'éditeur. D'expérience, il n'est pas évident pour tout le monde que les mises à jour d'Adobe Reader se téléchargent chez Adobe.

Même si des sites comme Majorgeeks.com et Download.com revendiquent qu'ils filtrent les programmes proposés au téléchargement, renseignez vous sur ce que vous téléchargez. De la même manière qu'il ne vous viendrai pas à l'idée d'acheter quelque chose en ligne sans faire des recherches sur sa qualité ou ses performances, prenez quelques minutes pour trouver et lire les commentaires et les avis laissés par les utilisateurs.

De même évitez de répondre directement aux alertes par mail qui semblent venir de Facebook, LinkedIn, Twitter, votre opérateur téléphonique, votre banque ou tout autre organisme qui détient vos informations personnelles. Utilisez plutôt un favori dans votre navigateur.


If you installed it, update it.

Si tu l’as installé, tiens le à jour.
— Brian Krebs

Garder le système d'exploitation à jour est important, mais il est aussi impératif d'appliquer les correctifs sur les applications pour maintenir la sécurité de l'ordinateur. Les "méchants" attaquent constamment les failles présentes dans les logiciels les plus répandus, tel qu'Oracle Java, Adobe Reader, Adobe Flash et Apple Quicktime.

Les éditeurs de ces applications diffusent des mises à jour plusieurs fois par an, il est donc important de déployer ces mises à jour dès que possible. Certains de ces produits alertent l'utilisateur quand un correctif est disponible. Cependant ces alertes arrivent souvent plusieurs jours ou semaines après la sortie du correctif.

Il est déjà fastidieux de suivre les mises à jour des logiciels majeurs, mais c'est quasiment impossible de suivre tous les petits logiciels manuellement. Heureusement il existe des outils d'audit sécurité gratuits.

Secunia Personal Security Inspector (PSI) est probablement le plus efficace d'entre eux. Il scanne périodiquement l'ordinateur à la recherche de tous les logiciels installés et alerte l'utilisateur si une mise à jour de sécurité est disponible. La dernière version est capable d'appliquer automatiquement les correctifs.

FileHippo Update Checker quant à lui se limite aux logiciels les plus répandus.


If you no longer need it, remove it.

Si tu n’en as plus besoin, enlève le.
— Brian Krebs

Un ordinateur encombré est forcement ralenti. Malheureusement, un grand nombre de constructeurs livre leurs machines chargées de monceaux de logiciels plus inutiles les uns que les autres. Par dessus tout ça, l'utilisateur moyen installe au fil des mois des dizaines de programmes. Cet ensemble contribue a grignoter les performances de l'ordinateur. De plus de nombreux programmes s'installent dans la liste de démarrage, ralentissant d'autant le redémarrage de l'ordinateur. Rappelez vous aussi que plus vous avez de programmes, plus vous allez passer du temps à les maintenir à jour.

Par exemple, Oracle Java est un programme puissant très répandu sur les ordinateurs et les navigateurs. Il est inutile pour une grande majorité des internautes. C'est à l'heure actuelle la cible numéro un des attaques en ligne. En avril 2012, 600000 Macs ont été touchés par le virus troyen Flashback. En février 2013 des Macs de Facebook, d'Apple et de Microsoft ont été infectés alors que leur utilisateur visitait un site web.

Pour limiter la surface d'attaque présentée par Oracle Java, plusieurs options s'offrent à vous:

  • Si vous avez besoin de Java dans votre navigateur, désactivez le plugin Java dans votre navigateur principal. Et utilisez un autre navigateur pour visiter uniquement les sites nécessitant Java.
  • Si vous avez besoin de Java pour une application de bureau, désactivez le plugin Java de vos navigateurs.
  • Si vous n'avez pas besoin de Java, désinstallez le.