Quels logiciels pour se protéger sur internet ?

ZeBonder a écrit :

Pour se faire passer pour vous, le pirate n’a d’autre choix que de venir physiquement voler le boitier.

Bonjour,

en fait pas vraiment, car le malware s’utilise comme un "man-in-the-middle" donc la session est valide vu que le client vient de rentrer son one time password…
Wikipedia

Effectivement comme le précise banyuls, ce sont des groupes mafieux très organisés et avec de gros moyens car les enjeux sont colossaux.
A titre d’infos aussi, un exploit 0-day c’est 5k à 250k€ sur le marché noir des pays de l’est. Soit pas grand chose à la vue du gain.
Prix du 0 day

A titre de stats pour donner un ordre d’idée:
100M de personnes reçoivent un spam / phishing (100 millions ca se trouve sans pb)
1% clic (1% d’idiots) => 1M
1% de ces 1% ne se rend compte de rien pendant tout le process et va jusqu’au bout (1% de crétins) => 100k 10k personnes

vu les stats c’est plus que plausible.

+> vous virez 100€ => jackpot de 1M€

+> vous prenez ne serait-ce que 1000€ (beaucoup pour une personne physique mais pas énorme en terme de risk / client d’un point de vue bancaire) => jackpot de 10M€

Setanta

Message édité par l’équipe de modération (17/12/2015 02h11) :
- correction du chiffre incohérent dans les calcul (10k de "crétins", et par 100k)

ZeBonder a écrit :

…., il y a certaines informations qui apparaissent sur l’écran, il doit les saisir dans son token pour avoir un OTP de signature. ….

Rien n’empêche un malware qui à infecté le navigateur et qui donc se met entre vous et la banque en ligne (d’où le nom d’attaque "man in the browser") de vous faire croire que vous êtes sur la version officiel du site. A ce moment quelque soit les éléments de sécurité mis en place (OTP, code à l’écran à saisir sur son boitier,…) vous vous ferez piéger.
La seule sécurité, c’est la vigilance de l’utilisateur.
Quand vous vous connectez à votre banque en ligne, il n’est pas normal que l’on vous demande de saisir un OTP sans une raison valide (par ex: ajout de d’IBAN pour virement)

ZeBonder, relisait mes messages, je ne fais que me répéter avec ce dernier message.

Ce que dit Setana est juste, cependant la réalité concernant les pourcentages de personnes qui cliquent sur les liens est bien pire que les chiffres qu’il donne, c’est affligeant comment les gens sont inattentifs….. (expérience professionnelle qui parle)

Si le malware est au milieu, il n’a pas besoin de connaître le code ni l’OTP puisqu’il fait passerelle entre le site de la banque et l’utilisateur !

L’un et l’autre croyant échanger ensemble de manière légale et protégée. C’est la base du principe man-in-the-middle.

@banyuls, j’ai volontairement mis des pourcentages très bas pour montrer déjà à quel point c’est jackpot. Evidemment plus il y a de personnes à tomber dans le panneau, plus le jackpot grimpe exponentiellement !

Setanta

Bonjour à tous,

File décidément très intéressante, bien que petit à petit de plus en plus technique.

Je dirai même légèrement angoissante… au vue de certains articles.

Personne n’a parlé d’un petit logiciel qui s’appelle KeySrambler. Gratuit ou peu cher à ma connaissance, il permet de crypter directement le clavier lorsque vous tapez…

Je vous le recommande en plus des autres outils de protections déjà cités.

Stibbons a écrit :

La sécurité doit être dans la tête

Entièrement d’accord, d’où l’importance de sensibiliser les personnes.
C’est ce qui est fait en entreprise, du moins dans les banques.

Stibbons a écrit :

pas dans les outils

Non, vous êtes trop catégorique. Les outils de sécurité sont aussi vitaux (par ex : système d’exploitation et antivirus à jour)

Stibbons a écrit :

- au moment où la page technique s’affiche, le faux site ne peut pas afficher le dernier chiffre du numéro de téléphone car celui ci ne l’a pas encore.

Oui, cependant je ne suis pas sûr que toutes les banques en ligne utilisant un code de validation par téléphone portable, précisent le dernier chiffre du n° de portable

Stibbons a écrit :

- le faux site ne peut pas avoir le certificat https donc pareil, alame dans la tête, quelque chose ne va pas on ferme tout

Malheureusement non car l’ordinateur étant infecté vous ne verrez rien…
Pour être exact, il ne s’agit pas d’un faux site mais d’une injection de code dans le navigateur internet de l’ordinateur infecté au moment où vous êtes sur le vrai site. Donc si vous cliquez sur le petit cadenas pour vérifier la validité de celui ci, tout apparaitra ok.

Cependant il existe un moyen d’éviter de tomber dans le panneau.
Quand vous décidez d’ajouter via votre banque en ligne, un nouveau compte bancaire (par ex celui de votre frère) pour effectuer un virement alors la banque vous enverra un code d’activation via SMS dans une phrase du genre :
"vous avez ajouté l’IBAN xxxxxxxxxxxxxxx4595, voici le code d’activation 1246"
Il est très important de vérifier que l’IBAN du compte que vous souhaitez ajouter se termine bien par les chiffres donné dans le SMS.
A contrario, quand votre banque en ligne vous demande de donner le code fraichement reçu sur votre téléphone portable, vérifier bien ce qui est écrit dans le SMS. Si le SMS parle d’ajout de compte bancaire alors que sur votre ordinateur il était question de vérifications de sécurité, vous vous arrêtez là et vous savez que votre ordinateur est infecté

Miguel a écrit :

Un sujet d’actualité.
La Sécurité sur Internet, quels logiciels utilisez vous pour vous protéger?

J’ai parcouru rapidement la discussion sans trouver vraiment de réponse, se protéger contre quoi?
Je me demande ce que pourrait faire un hacker qui obtiendrait mes codes d’accès, si il souhaite s’enrichir? Il pourrait:
- faire un virement vers son propre compte
- utiliser les fonds se trouvant sur mon compte pour faire monter le cours d’une petite capitalisation illiquide

Concernant le premier risque, beaucoup de banques ou courtiers proposent de limiter montant maximum journalier des virements sortants (cela peut-être embêtant pour ceux qui transfèrent régulièrement des montants importants) ou de restreindre les virements sortants à un seul compte ce qui limite le risque.  Si il souhaite changer cela, il faut en plus de pirater l’ordinateur falsifier une signature.

Concernant le deuxième risque, en-dessous d’un certain montant (combien?), pas trop de risque.  Pour les montants plus importants, une répartition sur 2 brokers devrait permettre de doubler le temps de travail du hacker.  Pour ceux qui ne traitent que des grosses capitalisations, il existe peut être des brokers qui permettent de restreindre les transactions aux grosses capitalisations pour lesquelles un particulier ne peut vraisemblablement pas influencer le cours.  Je ne me suis pas trop renseigner sur ce point pour le moment.

Ensuite, si le hacker n’a qu’un désir de nuisance, il devient un peu plus dur de se protéger.  Voyez-vous d’autres manières pour le hacker de s’enrichir?

Bonsoir !

Un peu de paranoïa géo-politique : Kaspersky (antivirus) interdit aux USA : Kaspersky interdit

Rien de mystérieux : l’absense ou la présence du "petit cadenas" n’est en rien un indicateur de sécurité du site.

Le protocole https permet de crypter les échanges entre votre navigateur et le serveur qui héberge le site.

C’est très important dès lorsqu’il y a une notion de transaction (connexion à un compte  avec login / mot de passe, paiement en ligne,…). Vos informations peuvent en effet être interceptées si elles ne sont pas cryptées.

Mais pour un simple site comme celui que vous évoquez, le "petit cadenas" n’apporte aucun avantage (et même des invonvenients : le https augmentant les temps de réponse par rapport au http).

Bonjour,

Oui HTTPS permet de :
- chiffrer la communication entre le client (le navigateur) et le serveur web (prévention du "man in the middle")
- de s’assurer, via la délivrance du certificat serveur par un tiers de confiance, que le serveur distant est bien celui qu’il prétend
Ainsi HTTPS permet de s’assurer de la bonne communication client / serveur.

Mais HTTPS ne présume en rien de la bonne sécurité du site / de l’application.

Ainsi un site en HTTPS est tout aussi attaquable qu’un site en HTTP.

Je recommande à tout le monde cette extension de navigateur qui force le navigateur à utiliser https partout où c’est possible. HTTPS Everywhere | Electronic Frontier Foundation

Rappelons par ailleurs qu’un des acteurs qui peut trafiquer les pages web entre le serveur et votre navigateur est tout simplement… votre FAI. Certains se permettent de modifier les pages pour y insérer des publicités.

Il n’y a strictement aucune raison de préférer http à https dans tous les cas. Il est d’ailleurs probable que les navigateurs ne permettent bientôt plus la consultation de ressources en http (déjà, les sites https avec un certificat trop faible niveau chiffrement sont mis à l’écart).

Dav26 a écrit :

J’utilise aujourd’hui le logiciel LastPass en version gratuite,

Je ne connais aucunement LastPass, mais après quelques clics l’interface m’a l’air correcte et on dirait qu’il y a également des plugins sur Chrome pour l’autocomplétion. Par contre, pas mal de security breaches listés sur wikipedia LastPass - Wikipedia

Pour ma part j’ai Kaspersky password manager, 10€ l’an et fournit les mêmes services (la version gratuite ne permet que de stocker une vingtaine de champs soit rien du tout). Si j’avais su qu’un tel logiciel gratuit existait j’aurais peut-être utilisé LastPass

Je recommande également KeePass que j’utilise depuis plusieurs années : qui a l’avantage d’être gratuit et open source.

Couplé à une solution de cloud sécurisé (Tresorit) j’ai accès à ma base de donnée KeePass sur tous mes appareils (PC fixe, PC portable pro, iPhone, iPad, etc…).

Il y a des extensions pour le remplissage automatique des mots de passe dans votre navigateur (par exemple Kee pour Firefox).

Pourrait-on m’expliquer la logique consistant à déconseiller un mot de passe commun à beaucoup de sites, et ensuite à conseiller un regroupement des mots de passe sous un même mot de passe maître ?
Il est clair que la révélation de ce dernier est au moins aussi grave que le comportement déconseillé au départ !