211service.com
Définition de pièges et autres conseils de sécurité Internet
Après des violations de données massives qui affectent des dizaines de millions de personnes, comme les récentes cyberattaques contre JPMorgan Chase et d'autres grandes banques, on me demande souvent : que peuvent faire les gens ordinaires pour se protéger ? En tant qu'expert en sécurité informatique, mon conseil professionnel est le suivant : utilisez des mots de passe difficiles à deviner, maintenez vos logiciels informatiques à jour, cryptez vos données et enregistrez vos sauvegardes. Mais j'aurais pu offrir le même conseil en 2004. Les attaques que nous voyons en 2014 sont si sophistiquées que prendre les mesures que j'ai mentionnées ne vous aidera pas vraiment beaucoup. La réponse honnête de 2014 est : sortez, levez les mains en l'air et tournez en rond en hurlant.
Je ne plaisante pas entièrement.
Compte tenu des violations susmentionnées et de celles de grands détaillants comme Target, Home Depot, Kmart, Staples et tant d'autres, il y a de fortes chances que vous, ainsi que tous les autres consommateurs, ayez vu vos informations personnelles tomber entre les mains de personnes indésirables : un numéro de carte de crédit volé, compte en ligne piraté, etc.
La froide vérité est que la violation de JPMorgan et le reste ne sont pas symptomatiques de quoi que ce soit de nouveau - les entreprises en ligne subissent des cyberattaques constantes depuis plus d'une décennie. Ce qui est différent aujourd'hui, c'est qu'il y a beaucoup plus en jeu, car une grande partie de ce que nous faisons chaque jour est en ligne.
Voici ce que je recommande : utilisez l'authentification à deux facteurs, en vérifiant essentiellement par SMS sur votre téléphone mobile que vous êtes le propriétaire d'un compte particulier en ligne, chaque fois que vous vous connectez. Google, Facebook, Twitter et à peu près toutes les grandes banques proposent cette option. De plus, puisque tout le monde finit par être piraté en ligne, assurez-vous que les dégâts sont limités. Rien n'est plus ennuyeux pour un pirate informatique que de craquer un compte pour ne rien trouver qui vaille la peine d'être volé. Supprimez toutes les données personnelles inutiles du cloud, telles que les images archivées, les e-mails, les messages Twitter et Facebook, etc.
Si vous possédez ou exploitez une entreprise en ligne, ce qui pourrait être le plus alarmant, c'est que de très grandes entreprises avec des budgets apparemment illimités, comme JPMorgan, sont toujours attaquées. Et comme cette violation l'a montré, les entreprises ne savent souvent pas qu'elles ont été touchées, ce qui étend la fenêtre de temps pendant laquelle les criminels peuvent causer des dommages.
Vous devez donc supposer qu'un compromis finira par se produire, puis concevoir un système où votre équipe est la première informée, plutôt que la dernière. Une façon de procéder consiste à placer dans vos bases de données des enregistrements spéciaux destinés à ne jamais être lus, des comptes auxquels il ne faut jamais se connecter, des fichiers auxquels il ne faut jamais toucher, etc. Ceux-ci servent de déclencheurs - dès que quelqu'un accède à ces éléments, vous savez que quelque chose de grave se passe et vous pouvez mettre les bases de données hors ligne et appeler à l'aide.
Nous devons repenser notre approche de la sécurité Internet. Trop souvent, les investissements en matière de sécurité sont réalisés dans des technologies telles que les logiciels antivirus ou les pare-feux réseau qui ne feront pratiquement rien pour arrêter une attaque Web. Dans la plupart des violations, les pirates attaquent les applications Web. Nous devons donc trouver et corriger ces vulnérabilités avant que les malfaiteurs ne les exploitent. Ils sont là pour l'argent, donc votre objectif est de rendre toute attaque plus difficile, et donc plus coûteuse, auquel cas ils ralentiront ou se déplaceront vers de nouvelles cibles. Ensuite, le reste d'entre nous aura moins de raisons de courir partout en criant les mains en l'air.
Jeremiah Grossman est le fondateur et PDG par intérim de WhiteHat Security et ancien responsable de la sécurité de l'information chez Yahoo.