Qu’est ce qu’un #bon mot de passe ?

Un mot de passe efficace =

1. Plus de 8 caractères
2.  sans lien avec son détenteur
3. MAJUSCULES
4. ponctuation
5. chiffres
6. unique pour chaque site (si possible)

Au travers de conférences ou de formations, Denis JACOPINI vous propose de vous sensibiliser, responsable de la stratégie de l’entreprise qui DOIT désormais intégrer le risque informatique comme un fléau à combattre et à enrayer plutôt qu’une fatalité.
Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : https://twitter.com/cnil/status/545603180487131136

6 conseils pour #éviter la contamination du réseau par des ransomwares

Cette étude montre, en effet, qu’en termes d’importance, les APT (techniques complexes d’intrusion réseau) sont en tête des préoccupations : 19,7% des managers interrogés les estiment difficiles à gérer.

Les ransomware arrivent en seconde position (13,7%) avec les rootkits. Ces derniers préoccupent plus les DSI que les menaces 0-day.

Le Spear Phishing (des e-mails soigneusement préparés, destinés à des individus spécifiques au sein de l’entreprise) sont mentionnées par à peu près 13% des personnes interrogées. Reste qu’il s’agit là d’une des techniques les plus utilisées pour pénétrer la sécurité de l’entreprise et diffuser des malwares.

Quant aux incidents générés par le BYOD (Bring Your Own Device, l’utilisation de son appareil personnel dans le cadre du travail) et aux vulnérabilités zero-day, ils semblent moins inquiétants, puisque 11,3% des personnes interrogées voient le BYOD comme un risque potentiel pour leur entreprise, tandis que 10,3% des managers pensent que les attaques zero-day sont sources de menaces pour la sécurité de leur entreprise.

BitDefender fait donc 6 recommandations pour que les entreprises puissent limiter les risques d’infection :

1. Mettre en garde les employés contre les nouvelles menaces et leur expliquer comment déceler un e-mail de spear phishing et d’autres attaques d’ingénierie sociale.
2. Installer, configurer et maintenir à jour la solution de sécurité de l’entreprise.
3. Bloquer l’exécution de certains programmes vecteurs d’infections, comme par exemple des logiciels de téléchargement illégal ou de P2P au bureau.
4. Utiliser un pare-feu pour bloquer les connections entrantes vers des services qui n’ont pas lieu d’être publiquement accessibles via Internet.
5. S’assurer que les utilisateurs aient les droits les plus faibles possible pour accomplir leurs missions. Lorsqu’une application requiert des droits d’administrateur, il faut être certain que l’application soit légitime.
6. Activer la restauration système afin de retrouver les versions précédentes des fichiers qui ont été chiffrés, une fois que la désinfection a eu lieu.

Contactez-nous

Denis JACOPINI
formateur n°93 84 03041 84

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.itrmobiles.com/index.php/articles/157764/6-conseils-eviter-contamination-reseau-ransomwares.html

Piratage de votre boite mail, quelles peuvent être les conséquences sur votre vie personnelle

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

#HTTP/2 : une évolution importante du protocole du web, notamment pour les mobiles

Le protocole HTTP, support historique du web avec le langage HTML, a été inventé par Tim Berners-Lee il y a maintenant 20 ans. On a récemment parlé de son évolution HTTP/2, notamment dans le contexte d’un possible chiffrement systématique des échanges entre navigateurs et serveurs, après les affaires d’écoutes illégales des communications Internet révélées par Edward Snowden. Pour autant, cette amélioration à venir de HTTP va bien au-delà et pourrait constituer une étape de progrès importante pour le web, notamment depuis les mobiles.

Vous avez peut-être lu récemment des articles sur HTTP/2, dans le contexte d’une volonté de sécurisation accrue des échanges de données sur le web. Mais comme l’explique #Mark Notthingham, responsable du groupe de travail HTTP/2 à l’IETF – #Internet Engineering Task Force – les attentes de la communauté du web vont au-delà, et les évolutions prévues sont plus larges.

Mark Notthingham, responsable du groupe de travail HTTP/2 à l’IETF

Car cela fait maintenant 20 ans que le protocole HTTP – #HyperText Transfer Protocol – a été inventé, et depuis les versions HTTP/1.0 en mai 1996 et #HTTP/1.1 en janvier 1997 il n’a plus évolué. Dans le même temps l’Internet s’est diffusé massivement dans le grand public et en entreprise, et en moins de deux décennies on est passé de connexions téléphoniques à 56 kb/s à des dizaines de Mb/s sur des liaisons DSL ou fibre optique, et la part du trafic Internet réalisés par des smartphones, tablettes et terminaux mobiles de toute sortes a explosé.

Afin de pallier les limitations de HTTP, Google a mené ses propres travaux, dévoilant #SPDY en 2012. Cette proposition visait essentiellement à réduire le temps de chargement des pages web en priorisant les contenus nécessaires à leur affichage et en multiplexant leur transfert au sein d’une seule connexion TCP. Ces travaux ont inspiré l’IETF qui a repris cette approche dans un cadre plus global d’amélioration des performances du web.

Faisons donc le point sur les axes d’évolution du protocole HTTP, en listant les principaux apports techniques de HTTP/2.

Conserver les mêmes API
La compatibilité ascendante est primordiale, compte tenu de nombre colossal de services qui ont été développées au-dessus du protocole HTTP : on ne saurait exiger des développeurs de logiciels utilisant HTTP qu’ils retouchent leur code, parfois embarqué dans des systèmes matériels, pour l’adapter. Les mêmes méthodes (GET, PUT, POST etc), les mêmes entêtes et les mêmes statuts et code d’erreur (le fameux 404 et tous les autres) seront conservés inchangés, et il suffira de remplacer une bibliothèque de fonctions HTTP/1.1 par une bibliothèque HTTP/2 pour que le logiciel qui l’utilise soit compatible.

Rendre les requêtes moins coûteuses
HTTP est un protocole coûteux en ressources réseaux, notamment parce que les entêtes de messages sont verbeux. C’est pénalisant pour l’échange de courtes informations, et ça l’est encore plus pour les mobiles : même si les débits ont été fortement accrus avec la 3G puis la 4G, tout ce qui contribue à optimiser la bande passante des réseaux mobiles et bénéfique. Pour cela, http va utiliser un mécanisme de « multiplexage » qui permettra l’échange de plusieurs messages simultanément, et non plus séquentiellement. De surcroît, les entêtes seront systématiquement compressés.

Optimiser les connexions TCP avec les serveurs
Alors qu’aujourd’hui HTTP permet d’ouvrir plusieurs connexions TCP parallèles et simultanées vers un serveur, ce qui peut créer de la congestion sur le réseau, HTTP/2 permettra de regrouper les échanges avec un même serveur au sein d’une seule et même connexion TCP. Là encore, ce sera bénéfique pour les réseaux mobiles.

Pré-remplir le cache des navigateurs
Un mécanisme de « cache pushing » permettra à un serveur d’envoyer des informations à un client pour un usage ultérieur. Ainsi il ne sera plus nécessaire à un navigateur web de demander d’abord le contenu d’une page HTML, puis les feuilles de style CSS référencées par la page : le serveur pourra envoyer le HTML et les CSS d’un seul coup, évitant un dialogue inutile entre le navigateur et le serveur. Le logiciel client pourra évidemment débrayer ce mécanisme si nécessaire.

Interrompre une connexion TCP sans la fermer
Avec HTTP, si un logiciel client envoie une requête et décide de ne plus attendre la réponse, la seule façon de préserve la bande passante est de fermer la connexion TCP. Il n’y a aucune façon de la récupérer si cela s’avère nécessaire plus tard.

Avec HTTP/2, un logiciel client pourra maintenir active une connexion TCP même s’il abandonne un échange en cours à la suite d’une action de l’utilisateur, ce qui rendra moins coûteuse en ressources réseaux une éventuelle reprise du dialogue ultérieurement.

Faciliter le chiffrement des échanges
C’est là le point qui a le plus attiré l’attention sur HTTP/2, et qui n’a peut-être pas été bien compris : la nouvelle version du protocole ne rendra pas obligatoire l’utilisation du chiffrement #TLS, sur lequel repose le chiffrement #SSL entre sites web et navigateurs. En revanche, ses performances accrues réduiront l’impact négatif du chiffrement sur la rapidité de réponse d’un site telle que la perçoivent les utilisateurs.

En rendant le chiffrement des communications plus performant, HTTP/2 pourra contribuer à rendre le web plus sûr pour ses utilisateurs, tant vis-à-vis de la cybercriminalité que d’États qui, on le voit aujourd’hui, n’hésitent pas à espionner massivement les internautes de toutes nationalités. Pour autant, au regard des moyens technologiques colossaux dont s’est dotée la NSA, il ne faudrait pas croire en une sécurité absolue d’un tel chiffrement…

Pour autant, HTTP/2 n’est pas magique
On l’a vu, HTTP/2 apporte de nombreuses évolutions positives. Mais il n’aura pas d’impact magique sur les sites web : afin d’en tirer le meilleur, les évolutions des navigateurs web, et aussi des logiciels serveurs web, devront être faites en prenant en compte différents scénarios d’usage. En effet, s’ils sont mal utilisés, des mécanismes tels que le pré-remplissage du cache du navigateur ou le maintien de sessions TCP inactives pourraient aller à l’encontre du but recherché : l’amélioration globale de la performance du web.

Et ensuite, HTTP/3 ?
HTTP existe depuis 20 ans : sa simplicité et sa versatilité ont permis l’incroyable développement du web que l’on connaît aujourd’hui. Le développement de HTTP/2 a été très compliqué, notamment parce qu’un grand nombre de matériels ont été conçus dans l’idée que HTTP ne changerait jamais. Une fois la transition de HTTP à HTTP/2 lancée, les choses seront différentes, et de futures nouvelles versions pourront être introduites plus facilement.

Parmi des évolutions déjà envisagées, certaines n’ont pas été intégrées dans HTTP/2 pour ne pas retarder encore sa sortie. Sont notamment prévus l’envoi au client de certificats TLS et d’entrées DNS. Des problèmes non encore résolus par HTTP/2 pourront l’être dans une version future, mais cela devrait être marginal, car la communauté est confiante dans HTTP/2, au vu des premiers tests de déploiement déjà réalisés. L’objectif de tous est maintenant qu’il sorte rapidement et commence à être déployé.

Les résultats des travaux de l’IETF sur les spécifications techniques de HTTP/2 sont publics. Le draft 10 (http://tools.ietf.org/html/draft-ietf-httpbis-http2-10) peut être consulté et va être discuté durant une période de 6 mois prenant fin en août 2014.

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.zdnet.fr/actualites/http-2-une-evolution-importante-du-protocole-du-web-notamment-pour-les-mobiles-39798198.htm

par Pierre Col

Recommandations de la CNIL sur les mot de passe (Délibération n° 2017-012 du 19 janvier 2017)

PHRASE2PASSE : UN OUTIL POUR ACCOMPAGNER LES UTILISATEURS

Pour aider les utilisateurs à choisir un mot de passe robuste et un moyen mnémotechnique, la CNIL a développé un outil pour générer un mot de passe à partir d’une phrase.
Le code de cet outil est disponible sous la forme d’une extension logicielle en javascript, afin que vous puissiez l’intégrer dans vos applications.

>Télécharger l’extension

Texte officiel

> Délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe

…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

#Hotspot Shield le #logiciel VPN pour Windows MacOs IOS Android Apple Samsung pour accéder de manière sécurisée à un Wifi public

Il peut ainsi, en fonction des données qu’il récupère, accéder à toutes les informations qui sortent et qui entrent de votre ordinateur (le protocole tcp/ip n’étant pas protégé par défaut).

LA SOLUTION ?

Utiliser une connexion Wifi qui sera cryptée au moyen d’un logiciel VPN (ce ctyptage n’a aucun rapport avec les clés Wifi) .

La connexion Wifi ainsi créée étant crypté, toutes les informations qui véhiculeront (identifiants, adresses email, mots de passe, numéros de cartes bancaires…) seront illisibles pour tous les pirates qui seront connectés sur le mêle point d’accès wifi.

Vous pouvez certes partager la connexion 3G ou 4G de votre smartphone, mais l’utilisation d’un logiciel VPN est recommandé.

Un logiciel « VPN » (Virtual Private Network) est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais elle est du coup sécurisée.

Nous utilisons régulièrement un logiciel VPN #HotSpotShield. C’est un logiciel qui coûte  moins de 25 euros et qui vous rendra les connections Wifi publiques sécurisées.

HotSpot Shield existe pour Windows pour protéger par un logiciel VPN les connexions Wifi des ordinateurs assemblés, Acer, Asus, IBM, Dell ;

HotSpot Shield existe aussi pour MacOs X Lion pour protéger par un logiciel VPN les connexions Wifi des ordinateurs Apple ;

HotSpot Shield existe aussi pour Android pour protéger par un logiciel VPN les connexions Wifi des smartphones Samsung, HTC, Archos, LG, Acer, Wiko, Sony, Asus, Alcatel, ZTE… ;

Enfin, HotSpot Shield existe aussi pour IOs pour protéger par un logiciel VPN les connexions Wifi des smartphones Apple.

Téléchargez et testez gratuitement HotSpot Shield

Réagissez à cet article

Denis JACOPINI interviewé par une journaliste de Ouest France

Avec les smartphones ou ordinateurs portables d’aujourd’hui, se connecter au réseau wifi d’une gare ou d’un hôtel, quand on est en déplacement, est devenu presque banal. À l’étranger, c’est même la solution la plus simple pour surfer sur internet et relever ses e-mails, sans risquer d’exorbitants frais de « roaming » (coûts de connexion au réseau mobile local, facturés ensuite par l’opérateur français).

Résultat, on a tendance à surfer sur ces réseaux wifi avec la même insouciance qu’à la maison, sans aucune précaution. Ce qui n’est pas bien malin. Denis Jacopini, expert judiciaire en sécurité informatique, nous explique pourquoi.

Denis Jacopini, créateur du site LeNetExpert.fr et correspondant Cnil (Commission nationale de l’informatique et des libertés), est aussi formateur en protection des données personnelles et en sécurité informatique. (Photo : DR)

À quoi faut-il faire attention, quand on se connecte à une borne wifi publique ou semi-publique, en ville ou dans un hôtel ?

Si possible, il faut choisir un réseau wifi où la connexion se fait avec un nom d’identifiant et un mot de passe personnalisés, différents pour chaque utilisateur. En cas d’utilisation malveillante du réseau par quelqu’un, cette identification fournit une piste, sur le plan judiciaire, pour remonter jusqu’à l’auteur. Avec les wifi qui proposent un identifiant et un mot de passe identiques pour tout le monde, on est moins protégé. Les réseaux wifi les plus dangereux sont ceux qui sont complètement ouverts, sans aucun mot de passe, où les utilisateurs sont impossibles à tracer.

Quel est le danger ? Se faire espionner ?

Tout à fait. À partir du moment où quelqu’un se trouve connecté au même point wifi que vous, il a techniquement la possibilité d’accéder aux informations qui transitent sur le réseau, il peut « voir » ce qui entre et qui sort. Les pirates utilisent pour cela des logiciels espions, appelés « sniffers », ou « renifleurs » en bon français. Ces programmes sont désormais très faciles à trouver et à télécharger sur internet. Plus ou moins sophistiqués, ils permettent de capter, trier et interpréter le « bruit » informatique qui transite par le wifi.

Le wifi public, c’est pratique, mais pas très sécurisé. (Photo : FlickR/Richard Summers)

La confidentialité de la navigation n’est donc pas garantie ?

En effet. Et pas uniquement sur les réseaux wifi, d’ailleurs. C’est ainsi depuis la création d’internet : les protocoles de communication du web ne sont pas cryptés. Mais de plus en plus de sites « sensibles » – par exemple les messageries électroniques, les banques, les boutiques en ligne, etc. – ont désormais des adresses commençant par « https » au lieu de « http ». Le « s », souvent associé avec un petit cadenas dans la barre du navigateur, signifie que les communications sont sécurisées. Quand on navigue sur internet via un wifi, il faut donc privilégier ces sites.

Le risque de se faire voler ses mots de passe, ou ses coordonnées bancaires, est donc bien réel ?

Oui, mieux vaut éviter de saisir des données confidentielles quand on navigue sur internet via un wifi public ou semi-public. On a ainsi vu des hommes d’affaires se faire voler des informations importantes, car ils utilisaient en toute confiance un wifi d’hôtel… sur lequel étaient aussi connectés des pirates !

Un café Starbucks à Londres, très apprécié pour sa connexion wifi gratuite. (Photo : Stefan Wermuth/Reuters)

Peut-on se faire abuser par une fausse borne wifi ?

Oui, c’est une raison supplémentaire de se méfier des réseaux complètement ouverts : certains pirates créent leur propre borne wifi à partir d’un simple ordinateur portable. Les passants se connectent dessus, par facilité, sans se douter qu’il ne s’agit pas du tout d’une « vraie » borne. Ensuite, la personne mal intentionnée n’a plus qu’à récupérer les informations qui transitent par le réseau qu’elle a créé… Aujourd’hui, c’est très facile de devenir pirate !

Comment se protéger ?

En s’abstenant de réaliser des opérations sensibles, comme des achats en ligne ou des opérations bancaires, sur un wifi public. Si on le peut, mieux vaut utiliser le réseau 3G ou 4G pour se connecter à internet en mobilité. Les informations qui transitent par cette voie sont beaucoup moins faciles à pirater. Il y a aussi la solution consistant à installer, sur son smartphone ou son ordinateur, ce qu’on appelle un « VPN ». C’est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais c’est beaucoup plus sûr.

Zone de wifi gratuit à New York : en France comme à l’étranger, mieux vaut se connecter sur un nom de réseau connu, éventuellement signalé via l’affichage public. (Photo : Keith Bedford/Reuters)

Est-ce utile de protéger la WebCam et le microphone de son ordinateur avec de l’adhésif ?

En 2013, des chercheurs en sécurité informatique de l’université John Hopkins, aux Etats-Unis, avaient démontré qu’il était possible de prendre le contrôle des webcams des Mac, ce qui est aussi chose fréquente sur les PC.

La firme Symantec avait même alerté, la même année, sur ce qu’elle désignait comme des « creepwares »,« Certaines personnes mettent un morceau d’adhésif sur la webcam de leur portable, peut-être vous-mêmes le faites. Sont-elles trop prudentes, paranoïaques, un peu étranges ? (…)

Beaucoup d’entre nous ont entendu des histoires de gens qui étaient espionnés sur leur ordinateur (…). Mais ces histoires sont-elles vraies et les précautions prises par des gens en apparence paranoïaques sont elles justifiées ? Malheureusement la réponse est oui », écrivait alors Symantec. L’éditeur a même publié une vidéo de prévention :

Source Numerama

Comment naviguer anonymement sur Android

Formation RGPD : l’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Le Règlement Général sur la Protection de Données (RGPD) entre en application le 25 mai 2018 et les entreprises ne s’y sont pas préparées. Or, elles sont toutes concernées, de l’indépendant aux plus grosses entreprises, et risqueront, en cas de manquement, des sanctions pouvant aller jusqu’à 4% de leur chiffre d’affaires.

Au delà des amendes pouvant attendre plusieurs millions d’euros, c’est aussi  la réputation des entreprises qui est en jeu. Quelle valeur lui donnez vous ? Serez-vous prêt à la perdre pour ne pas avoir fais les démarches dans les temps ?