Quels logiciels pour se protéger sur internet ?

un gestionnaire de mot de passe n’a pas vocation a être baladé , sauf s’il est en cloud , mais avec une authentification à 2 facteurs.

Ensuite, faire varier ses mots de passe d’un site à l’autre évite que le jour où il est "volé", l’attaquant n’accède au reste.. sans faire du brute force.

De plus, quand vous avez un gestionnaire de mot de passe, vous n’avez plus à vous soucier d’avoir un mot de passe différent sur chaque site, car l’outil génère un mot de passe aléatoire fort pour vous : vous n’avez même plus à le connaitre : une simple sélection sur le bon champ et votre mot de passe est renseigné : il vous suffit donc d’en connaitre un seul.

C’est pour cela que beaucoup de puristes préfèrent la solution Keepass , c’est une solution libre (donc pas dépendant d’un éditeur), hors-ligne (donc pas dépendant d’un site) mais qu’on peut quand même synchroniser via le cloud si on veut l’avoir sur plusieurs appareil (si le cloud choisi est indisponible, vous aurez quand même accès à vos mot de passe, mais juste plus de synchro pour les derniers mots de passe créés).

Pour ce qui est du risque entre un mot de passe maitre vs un mot de passe identique :
- Le mot de passe maitre n’est entré que sur un seul site, voir aucun dans le cas d’une solution hors ligne, il a donc peu de chance d’être compromis
- Le mot de passe identique sur tous les sites est entré sur tous les sites, donc beaucoup de chance que l’un d’entre eux soit compromis un jour ou l’autre, et donc plus de chance que tous vs comptes soient compromis.

De plus le niveau de sécurité de votre gestionnaire de mot de passe sera plus élevé que celui de la majorité des sites que vous fréquentez (qui sont donc plus susceptibles individuellement d’être compromis en plus d’être plus nombreux)

Deb67, le 08/02/2021 a écrit :

Pourrait-on m’expliquer la logique consistant à déconseiller un mot de passe commun à beaucoup de sites, et ensuite à conseiller un regroupement des mots de passe sous un même mot de passe maître ?
Il est clair que la révélation de ce dernier est au moins aussi grave que le comportement déconseillé au départ !

Il y a une logique pratique derrière. Il est plus simple pour l’utilisateur de retenir un seul mot de passe, fut-il long de 15 lettres/chiffres symboles, que 200 mots de passes à la difficulté disparate (parfois nulle pour certains).
Bien évidemment, tous ces sites vont vous recommander fortement d’avoir un mot de passe maître fort, suffisamment en tout cas pour ne pas être brut-forcé. C’est sûr que si un mdp maître repose sur du p@ssw0rd ou @z€rtyuiop on est mal barré….

Par ailleurs, plusieurs logiciels proposent à la place du MDP maitre, soit du 2FA (authentification deux facteurs), soit de la biométrique sur smartphone (reconnaissance faciale/digitale)

C’est très exagéré.

Il faut surtout installer le moins de choses possibles sur son ordinateur et ne pas cliquer sur des liens bizarres.

Non pour les logiciels :  la dernière version de Chrome n’est pas installable par exemple.

C’est toujours intéressant de savoir comment des pros font.

Et comme anti-virus vous utilisez Windows Defender ?
Ou bien vous en avez un plus puissant ?

Certains employés m’ont dit que dans leur entreprise ils utilisent un anti-virus plus puissant et plus pro que Windows Defender. Je ne me souviens plus de son nom, mais il est payant et assez cher.

Pour mon usage j’utilise Windows Defender.
Par le passé j’utilisais Avast en mode payant, puis en mode gratuit. Mais comme normalement Windows Defender utilise moins de ressources du PC je suis passé a celui-ci.

Les logiciels de pare-feu aussi, je me suis amusé avec, mais comme je manquais de temps et qu’ils étaient plutôt compliqués a utiliser et a paramétrer j’ai laissé tomber.
Toujours le ratio gains / temps passés , surtout comparé a ce qui est automatisable.

InvestisseurHeureux a écrit :

Avec du bon vieux code bien robuste qui a fait ses preuves : je mets au défi quiconque de hacker le forum hormis un éventuel DoS.

A votre place je  ne mettrais personne au défi sur ce genre de sujet. Si un pirate est motivé et qu’il a du temps, même s’il n’y a rien à gagner il pourrait relever le chalenge et vous causer de sérieux problèmes…

Plusieurs points :

- En sécurité informatique le premier item à considérer est le cout d’opportunité, désolé de dire cela mais votre forum n’a aucun interêt financier pour personne il n’y a ni rancon ni énormément de données perso à en tirer

- Les commentaires que je vois, avec tout le respect qui est le mien, ce n’est pas la manière dont on raisonne en sécurité

- Les systemes cités sout bourrés de failles, sans système de défense la plupart sont même peut etre compromis, et le fait qu’il ne se soit jamais rien "passé" ne veut rien dire. Comment pourriez vous même savoir ne vous être pas fait "avoir" ?

- Ce qui est recommandé c’est d’avoir simplement un OS maintenu pour windows, minimum windows 10 qui est toujours maintenu pour le moment mais plus pour longtemps et ensuite windows 11. Et ce avec les dernières mises à jour de sécurité. De ce que je sais windows defender a progressé mais l’idéal est d’avoir un EDR (endpoint detection and response), parmi les meilleurs : Carbon Black de VmWare (plutot entreprise) et Sentinel One. Mais un bon antivirus retail fera aussi l’affaire, il suffit juste d’aller voir les comparatifs.

Sous mac OS ou linux c’est différent on peut s’en passer si les droits ne sont pas mis n’importe comment et si on éxécute pas n’importe quoi en root car les sytèmes sont moins visés mais attention mac OS l’est de plus en plus.

Bonnes pratiques recommandées pour diminuer le risque à 99,9% pour un cout dérisoire :

- Un antivirus qui se respecte
- Un gestionnaire de mots de passe, et surtout pas celui de Chrome ou intégré à windows (ex. PcloudPass pour 150/200 euros a vie)
- un OS avec les dernières maj de sécurité
- un firewall correctement configuré pour l’accès internet, même s’ils sont très moyens la plupart de ceux intégrés aux box suffiront à l’immense majorité des gens. Si vous êtes potentiellement une "cible", i.e. RSSI de votre boite, bossant dans un secteur potentiellement visé il faudra un poil mieux pour être serein

Je ne comprends sincérement pas les discours qui incitent volontairement à ne pas avoir des OS mis à jour ou récents sachant que ca ne coute rien et ca diminue énormément le risque mais bon

Le souci de la sécurité info ce n’est pas de dire "il ne m’est jamais rien arrivé et j’ai toujours fait comme ca" c’est de penser "je vais être plutot parano pour écraser le risque à 0 avec un cout qui est très faible en face de ce que ca pourrait me couter si un cygne noir se produit"

Dernière modification par jackpearson (30/06/2024 10h09)

Je me permets d’exposer mon point de vue après avoir passé mes 40 années professionnelles dans ce milieu:

doubletrouble a écrit :

La plupart des gens étant désormais derrière une box controlée par leur FAI, en admettant que le routeur ne soit pas compromis la surface d’attaque se réduit en pratique au navigateur et au client e-mail.

Tout à fait exact, c’est maintenant le cas de tous les particuliers et de tous les professionnels. Et pourtant cf ci-dessous …

doubletrouble a écrit :

Si l’utilisateur ne clique pas sur n’importe quel lien et ne télécharge pas n’importe quoi

Cette hypothèse n’est jamais valide, car l’erreur finit toujours par arriver un jour, on trouve couramment un chiffre de 80% des attaques/compromissions passant par ce canal (voir en particulier l’étude cybersécurité IBM 2023 sur ce sujet)
Ce risque est peut être mieux maitrisé si sur votre connexion internet, vous êtes seul, raisonnable, et techniquement compétent. Mais  les environnements multi-utilisateurs, c’est autre chose.

Pensez aux accès internet personnels familiaux avec enfants, ados, adultes inconscients, personnes agées, … ou professionnels avec stagiaires, consultants, sous traitants, employé génération XYZ exigeant de surfer sur tous les réseaux sociaux, techniciens trop sûr d’eux même …

doubletrouble a écrit :

A partir du moment où ils sont bien à jour*, la probabilité de se faire hacker devient très faible

C’est un faux sentiment de sécurité, car cf ci-dessus, l’utilisateur lambda finira toujours par cliquer sur un mauvais lien, et la publication puis l’application des corrections est par définition toujours en retard par rapport à l’exploitation d’une vulnérabilité du type "Zero Day". Alors pour les nouvelles vulnérabilités concernant des systèmes qui ne sont plus patchables, comme XP, W7, …. c’est un régal pour les attaquants… Donc cela finira par arriver un jour, et je dirai même que la probabilité augmente pour les anciens OS bien répandus et encore connectés.

En résumé et conclusion,

Oui, la sécurité informatique c’est contraignant, rébarbatif, chronophage, couteux et donc pas motivant (Un peu comme la mécanique automobile pour la plupart des gens)

Mais la catastrophe finira toujours par arriver, plus vite pour ceux qui n’ont rien préparé, mais moins vite pour les autres. Dire que cela n’arrivera probablement pas, c’est au minimum dangereux, au pire inconscient si l’on est un professionnel.

De bonnes sauvegardes testées (sur des environnement non connectés) et un plan de DRP activé régulièrement sont la seule solution ultime pour ne pas couler son business quand l’incident sera arrivé.  Pour ceux qui auront accumulé manque d’entretien, manque de sauvegardes et finalement incident, la vie sera difficile (il circule un chiffre non vérifié de 40% de faillites post incident cybersécurité) …

Mouarf, et le lendemain de mon post on a cette panne massive, mondiale, due à CrowdStrike. Je n’avais pas envisagé le cas où l’antivirus met lui-même la machine en carafe, mais c’est désormais chose faite.

Bonjour,

Au sujet du Cloud, comme les très populaires Google Drive et OneDrive.

Mettez-vous vos informations de trades, du portefeuille et financières sur le Cloud ?
Via des captures d’écran ou autres ?

Je suis en train de réfléchir au niveau de la confidentialité.
Meme s’il est vrai que les captures d’écran sur le Cloud c’est pratique et rapide pour sauvegarder.

Actuellement, pour avoir le dossier Impôts annuel accessible rapidement, je mets sur Google Drive mes Relevés annuels d’IB et de mes autres courtiers, donc Google Drive connait au final mes positions et ce que je fais.

En supposition :

Peut être que tant que les portefeuilles ne sont pas trop grands cela passe sous les radars, mais je n’en suis pas si sure que cela, et je ne verrais pas une entreprise financière mettre ce genre d’infos sur des Clouds populaires.

Peut être aussi que la majorité des américains et des gens mettent ce genre d’infos sur le Cloud, donc cela serait plus ou moins noyé dans la masse, et assez classique comme informations, en tout cas pour les américains.

Il est sure que celui qui n’a dans ses portefeuilles que des ETFs et des titres très connus avec sa technique DCA, il n’a pas grand chose a cacher et de secret.
Mais celui qui jongle avec des positions et les Options par exemple, il a davantage de raisons a vouloir la confidentialité. Notamment toute sa strategie et ses tactiques / positions.

Ainsi des avis, des infos ?

Comment gérez-vous cela ?

Oui j’ai deja Cryptomator, il est bien.

Faudrait que je revois le Process pour les sauvegardes, car il est entre autres tellement facile, pratique et rapide de faire des captures d’écran.
Le nombre de fois où le temps d’y penser et la capture d’écran d’un des portefeuilles ou de la position était déjà téléchargée dans le Cloud.
Et je me suis dit ah mince encore raté pour la confidentialité.

Donc, du style désactiver temporairement le téléchargement vers le Cloud, le temps de prendre la capture d’écran est de la mettre dans un autre dossier confidentiel a sauvegarder.