Mise à jour automatique des logiciels

La mise à jour automatique des logiciels permet de lutter contre les attaques. En effet, la réduction des risques contre les vulnérabilités nécessitent que les versions vulnérables des programmes soient enlevées de votre ordinateur.

Mise à jour automatique des logiciels
(image: Bartek Ambrozik)

Windows Update pour débuter

Avec Windows Update, Microsoft proposait la mise à jour automatique de leur système d’exploitation Windows. Ensuite, Microsoft a élargi son offre de mise à jour automatique aux autres produits avec Microsoft Update pour les particuliers et Windows Server Update Services (WSUS) pour les entreprises. Ces mises à jour automatisées visent principalement à améliorer la sécurité.

Toutefois, les attaques se concentrent de plus en plus sur les logiciels périphériques comme eux d’Adobe ou d’autres éditeurs dont les produits sont répandus, victimes de leurs succès.

Ces éditeurs proposent des mises à jour régulières de leurs produits mais comment s’assurer que c’est fait correctement pour toutes les applications tierces ?

La mise à jour automatique des logiciels

Afin d’améliorer sa protection il existe des logiciels qui permettent de vérifier, en une fois, que les applications tierces sont bien mises à jour vers les toutes dernières versions sécurisées.

Aussi, pour identifier les installations vulnérables, j’ai testé plusieurs logiciels gratuits comme CNET TechTracker de CBS Interactive, Software Updates Monitor (SUMO) de KC Software et Personal Software Inspector (PSI) de Secunia.

Ces logiciels commencent par faire une analyse (« scan ») des logiciels installés puis ensuite ils communiquent à leur serveur Web le résultat de l’analyse. Le serveur Web dispose d’un référentiel des dernières versions de logiciels. Il compare les versions installées sur votre ordinateur puis il renvoie l’information sur votre ordinateur qui affiche le résultat.

La mise à jour automatique des logiciels avec CNET TechTracker

Malgré plusieurs tentatives, CNET TechTracker a refusé de se connecter à leur serveur Web.

Devant les problèmes rencontrés avec CNET TechTracker, j’ai renoncé à l’évaluer.

La mise à jour automatique des logiciels avec SUMO

Passons au logiciel SUMO. Ce logiciel demande avec beaucoup d’insistance d’installer différents logiciels présentés comme leurs sponsors.

Malgré toutes mes dénégations attentives, il a installé un des logiciels en question. Du coup, j’ai arrêté l’évaluation.

La mise à jour automatique des logiciels avec PSI

Bien que le logiciel PSI propose aussi l’installation d’un logiciel sponsorisé, il n’a pas insisté devant mon refus. Il a réussi à communiquer avec son serveur Web après redémarrage.

Si PSI n’arrive pas à procéder à la mise à jour automatique (« Auto Updating »), il propose un lien direct vers la dernière version de chaque logiciel installé sur votre ordinateur.

Grâce à PSI, j’ai découvert que les versions installées d’Adobe Shockwave Player, VMware Player et PHP n’étaient pas à jour. Pour PHP, je pensais même l’avoir désinstallé. C’était bien le cas mais le logiciel phpDesigner procède à une installation silencieuse de PHP.

Autre avantage de PSI. En effet, il détecte tout seul l’installation, ou la désinstallation d’un logiciel.

Un test concluant en faveur de PSI.

Renforcer ma sécurité informatique

En matière de sécurité, la France se dote de plus en plus de moyens pertinents pour renforcer ma sécurité informatique. En particulier, les sites gouvernementaux se révèlent de précieux alliés pour lutter contre la cybercriminalité organisée. Ils aident aussi à lutter ou la divulgation non autorisée d’informations confidentielles.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’adresse au grand public mais aussi aux entreprises.

Renforcer ma sécurité informatique
Renforcer ma sécurité informatique

Renforcer ma sécurité informatique avec le site de l’ANSSI

Ce site riche propose des auto-formations. Les formations portent sur l’administration électronique, l’authentification, les certificats électroniques, etc.

Il propose aussi des fiches de vulgarisation sur de nombreuses questions liées à la sécurité. Il s’agit souvent de bonnes pratiques avec des informations parfois très précises.

Les sujets sont l’achat d’un nom de domaine, les antivirus, comment bien utiliser sa carte bancaire, le Bluetooth, etc.

Guides de configuration

En complément à ces bonnes pratiques, vous trouverez quelques guides de configuration de firewall, d’Ubuntu, Windows, du Wi-Fi.

Enfin, si vous partez en mission à l’étranger, vous trouverez des conseils pertinents et précieux sur les précautions à prendre.

Notamment, la réglementation de certains pays permet aux autorités de contrôler tous vos documents.

Le site de l’agence ANSSI se révèle aussi précieux :  « L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de sécurité et de défense des systèmes d’information ».

Il s’agit donc de se défendre et non d’attaquer.

Bonnes pratiques pour renforcer ma sécurité informatique

Dans la partie Bonnes pratiques, les thèmes abordés couvrent de nombreux aspects de la sécurité: comprendre et anticiper les attaques ddos, sécuriser l’administration des systèmes d’information, recommandations de sécurité concernant l’analyse des flux https, poste de travail, messagerie, médias amovibles, liaisons sans fil, copieurs ou imprimantes multifonctions, réseaux, applications WEB, etc.

Les Logiciels préconisés par l’ANSSI concernent: l’administration de la sécurité, le chiffrement IP, les infrastructures de Gestion de Clés (IGC), les Pare-feu, la protection du poste de travail, les ressources cryptographiques, les signatures électroniques et la gestion de la preuve, les titres d’identité électroniques, etc.

Enfin, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), qui dépend aussi de l’ANSSI, alerte sur les vulnérabilités des systèmes d’information.

Compte tenu de la richesse des informations recueillies par le CERTA et l’ANSSI, le mieux est de s’abonner à leurs flux RSS.

Protéger mes informations personnelles

Certains sites web me demandent un mot de passe pour protéger mes informations personnelles. Il s’agit de sites financiers ou marchands, comptes emails, etc. Ce mot de passe est associé à un compte ou à une adresse email.

Le mot de passe est la clef de voûte de votre sécurité. C’est lui qui permet de protéger mes informations personnelles.

Si vous voulez augmenter la sécurité de vos mots de passe, vous trouverez ci-dessous les conseils sur ce qu’il ne faut pas faire et ce qu’il est préférable de faire.

Ce qu’il ne faut pas faire pour protéger mes informations personnelles

  • Connaître ses mots de passe ou choisir des mots de passe faciles à se rappeler,
  • Choisir le même mot de passe pour tous les sites,
  • Utiliser une série de mots de passe identiques,
  • Utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques,
  • Stocker ses mots de passe dans une feuille Excel protégée elle-même par un mot de passe.

Ce qu’il faut faire pour protéger mes informations personnelles

  • Ne pas connaître ses mots de passe : oui. Vous avez bien lu (cf. plus bas),
  • Avoir un mot de passe généré aléatoirement,
  • Générer aléatoirement un mot de passe à partir d’une combinaison de lettres MAJUSCULES, minuscules, de chiffres et de symboles (par exemple: % $ ! etc.),
  • Les caractères spéciaux doivent se trouver aussi au milieu du mot de passe et pas seulement au début ou à la fin du mot de passe,
  • Quand c’est possible, avoir un mot de passe d’au moins 28 caractères,
  • Avoir un mot de passe différent par site web,
  • Stocker tous ces mots de passe dans un gestionnaire de mots de passe. Le gestionnaire de mots de passe est une sorte de coffre-fort logiciel.

Outils gratuits pour protéger mes informations personnelles

Plus un mot de passe est long et plus il est difficile de s’en souvenir avec exactitude. Pourtant un mot de passe long est aussi plus difficile à percer. D’où son intérêt pour protéger mes informations personnelles.

Dans la pratique, les sites web acceptent rarement d’aussi long mots de passe. Notamment, ils limitent souvent à 20 caractères et parfois moins, la longueur des mots de passe.

Toutefois, vous avez tout intérêt à utiliser des mots de passe de 28 caractères minimum quand c’est possible. Attention de ne pas prendre trop à la lettre le fait d’avoir un mot de passe de 28 caractères. Une longueur de 27, 30, 31 ou 43 fait aussi l’affaire.

Enfin, les outils présentés ci-dessous vont vous permettre de mettre en application le principe d’avoir des mots de passe longs, complexes et aléatoires. Ils vous permettent même d’utiliser vos mots de passe sans jamais les connaître !

Gestionnaire de mots de passe

Un gestionnaire de mots de passe est un utilitaire de base de données de mots de passe. Les utilisateurs peuvent conserver leurs mots de passe cryptés sur leurs ordinateurs. Une seule combinaison du coffre les déverrouille tous.

Dans la vraie vie, il n’est pas possible de se rappeler tous les mots de passe: connexion au réseau Windows, comptes e-mail, etc.

En outre, vous devez utiliser un mot de passe différent pour chaque compte. Si vous utilisez un seul mot de passe sur tous les sites, ou sur une certaine catégorie de sites, il suffit qu’un cybercriminel vole le mot de passe sur un site peu protégé pour se connecter sur d’autres sites comme celui que vous utilisez pour gérer vos emails ou votre compte bancaire.

Stocker ses mots de passe dans un document Excel, ou Word, protégé lui-même n’est pas suffisant non plus pour protéger mes informations personnelles.

Bien que Microsoft ait largement renforcé la sécurité des documents dans les nouvelles versions (Office 2007 et surtout Office 2010 / 2014), ce n’est pas le cas des versions anciennes (2003 et avant) qui restent facilement « crackables ».

Les gestionnaires de mot de passe vous aident à gérer vos mots de passe de manière sécurisée et donc à protéger mes informations personnelles. Vous pouvez mettre tous vos mots de passe dans une base de données, qui est verrouillée avec une clé maître et / ou un fichier clé et / ou votre compte Windows. Il suffit donc de se rappeler un mot de passe principal et / ou de sélectionner le fichier clé pour déverrouiller la base de données avec les mots de passe cryptés.

Quels sont les meilleurs outils ?

Ce classement est provisoire. Toutefois, à mes yeux, il s’agit des meilleurs outils pour protéger mes informations personnelles grâce à leur gestion des mots de passe.

KeePass Password Safe

Password Safe

L’avantage d’un gestionnaire de mot de passe est de pouvoir les générer automatiquement. Il est aussi possible de copier-coller le mot de passe, ainsi que l’identifiant du compte, l’URL et d’autres informations. De cette manière, vous n’êtes pas obligé de connaître votre mot de passe.

Démonstration avec KeePass

Protéger mes informations personnelles
Création du compte dans KeePass

Une entrée est créée dans Keepass pour stocker le mot de passe du compte email. Un mot de passe est généré automatiquement.

Génération automatique du mot de passe dans KeePass
Génération automatique du mot de passe dans KeePass

Un nouveau mot de passe peut être généré. Dans Keepass, la complexité est exprimée en bits. Plus le nombre de bits est grand, plus la complexité est importante. Par défaut, le mot de passe n’apparaît jamais.

Génération automatique du nouveau mot de passe
Génération automatique du nouveau mot de passe

Un nouveau mot de passe a été généré. Par défaut, il n’apparaît pas en clair. Pour connaître sa valeur il faut cliquer sur les 3 points en face de Password.

Copie du mot de passe sans le connaître
Copie du mot de passe sans le connaître

Grâce à un copier-coller, il est possible de copier le mot de passe sans le connaître.

Il est important de ne pas connaître le mot de passe, car il n’est pas rare d’entendre un utilisateur le dire, au moins partiellement, pendant qu’il le tape.

Il n’est pas toujours possible de coller un mot de passe. Certains site, comme par exemple PayPal à la création d’un compte, n’autorise pas la copie dans la zone de mot de passe. D’autres sites génèrent un clavier numérique aléatoire, comme par exemple le site de la Caisse d’épargne ou celui de Boursorama lors de l’accès à son compte.

Certains sites interdisent aussi l’utilisation de caractères spéciaux et même parfois des lettres accentuées (!). Toutefois, grâce aux paramètres et aux options des gestionnaires de mot de passe, il est possible de s’adapter à chaque exigence particulière des sites web.

Démonstration avec Password Safe

Password safe
Password safe

Une nouvelle entrée pour stocker un compte et son mot de passe a été créée dans Password Safe.

Modification de la stratégie de mot de passe dans Password Safe
Modification de la stratégie de mot de passe dans Password Safe

Il est possible de s’adapter à une stratégie de mot de passe propre à un site en jouant sur ces critères.

Vérification de la complexité des mots de passe

Les études qui portent sur l’analyse des mots de passe utilisés par les internautes révèlent l’utilisation intensive de mots du dictionnaire.

Ce qui est une erreur car les cybercriminels vont pouvoir faire des attaques sur les mots de passe en utilisant des dictionnaires gigantesques.

Outre les mots des dictionnaires usuels, ces dictionnaires contiennent aussi des noms propres, des noms figurés, des prénoms, des personnages de dessins animés, des jurons, etc.

Cela est vrai aussi pour les altérations de mots du dictionnaire:

  • mots au pluriel,
  • lettres inversées (totalement ou en partie),
  • rajout d’un ou plusieurs chiffres ou caractères spéciaux ($ % ! …) en début ou en fin de mot de passe,
  • abréviations habituelles (Sté pour Société, h pour heure, …),
  • conversions connues (€ pour e, @ pour a, 2 pour de, …).

Idem pour l’utilisation de mots d’une langue étrangère à la vôtre: les cybercriminels sont très ouverts au monde…

La complexité d’un mot de passe dépend de l’usage ou pas de mots du dictionnaire, mais aussi d’autres critères. Par exemple, l’utilisation des lettres adjacentes du clavier est connue aussi. Tout comme la répétition (aaaaaaa) ou la séquence (abcd, 1234, …).

Le mot de passe ne doit surtout pas utiliser des informations personnelles ou de vos proches ou même de vos animaux domestiques:

    • Prénom, surnom, …
    • Date de naissance, d’anniversaire, …
    • Numéro de sécurité sociale, de passeport, de permis, …
    • etc.

Cependant, tous les sites n’offrent pas la possibilité de vérifier la complexité des mots de passe. Les outils de vérification qui existent permettent d’étalonner la complexité mais ils ne garantissent pas la sécurité absolue.

Password Checker

L’outil Password Checker de Microsoft permet de tester la complexité d’un mot de passe en tenant compte de plusieurs critères: longueur globale du mot de passe, mélange de caractères aléatoires, existence du mot dans un dictionnaire, etc.

Si vous ne connaissez pas la réputation de l’éditeur du site web, soyez prudent aussi vis à vis des outils de vérification de mots de passe.

En effet, il serait facile pour des cybercriminels de se faire passer pour une honnête organisation en vous proposant de vérifier la solidité de votre mot de passe.

Notamment, une fois que vous aurez trouvé un mot de passe fort, il pourrait vous proposer un cadeau en échange d’un email et (pourquoi pas !) du nom de votre site web préféré. Restez attentif !

Algorithme de création de mots de passe

Pour les raisons qui viennent d’être évoquées, il ne faut pas utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques s’il faut protéger mes informations personnelles.

Notamment, le seul mot de passe à connaître par cœur est celui qui donne accès au gestionnaire de mots de passe.

Par ailleurs, les logiciels de chiffrement de données ou les gestionnaires de mots de passe vous offrent parfois la possibilité de chiffrer avec une photo. Vous n’avez donc pas besoin d’un mot de passe.

Cependant, il est préférable d’avoir un mot de passe en plus du fichier. Ce mot de passe doit avoir les caractéristiques suivantes:

  • Vous êtes le seul à le connaître,
  • Vous devez vous en rappeler ou le retrouver aisément,
  • Il doit être très difficile de le découvrir,
  • Il doit être très difficile de le déduire même en vous connaissant bien.

Pour vous aider, vous pouvez utiliser la technique décrite ci-dessous.

Si vous faites preuve de la prudence la plus élémentaire

Sélectionnez une phrase tirée d’un texte que vous connaissez par cœur: chanson, poésie, proverbe, autre. Par ailleurs, la phrase doit faire au moins une trentaine de caractères, espaces compris. De plus, ne prenez pas une phrase que vous répétez ou chantez souvent !

Par exemple: Pour le meilleur et pour le pire !

Si vous êtes conscient des dangers potentiels d’internet

Supprimez les espaces entre les mots :

Pourlemeilleuretpourlepire!

Si vous savez qu’il existe des cyber-criminels

Insérer après le second ou le troisième mot, un ou plusieurs chiffres.

Par exemple, ce chiffre peut représenter le nombre de mots que vous avez « sautés » ou le nombre de lettres précédentes :

Pourlemeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés

Les spécialistes du crackage du mot de passe savent que les utilisateurs les plus avertis ont l’habitude de mettre une majuscule en début d’un mot de passe et le caractère spécial ou le chiffre à la fin. Aussi, ne laissez pas la majuscule en début du mot de passe.

Notamment, déplacez la majuscule sur un des mots :

pourleMeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés et dotés de moyens importants

Ne laissez pas le caractère spécial en fin de mot de passe.

Notamment, déplacez le ailleurs :

pourleMeilleur3etpourle!pire

Enfin, quand vous aurez terminé, n’oubliez pas de vérifier la complexité de votre mot de passe ainsi créé avec Password Checker !

Un dernier conseil important. Surtout, n’utilisez surtout pas les mots de passe de cette page !