Sujets

Une base solide : Sécurisation des comptes et des appareils

Sécurité des dispositifs

Outre les comptes, il est essentiel de garder tous les appareils (ordinateurs, téléphones, clés USB, disques durs externes, etc.) bien protégés. Cette protection commence par une vigilance quant au type d’appareils que votre parlement et votre personnel achètent et utilisent. Les vendeurs ou fabricants auxquels vous faites confiance doivent justifier du respect des normes mondiales en matière de développement sécurisé de dispositifs matériels (téléphones et ordinateurs, par exemple). Tous les appareils que vous achetez doivent être fabriqués par des entreprises de confiance qui n’ont pas intérêt à remettre des données et des informations à un adversaire potentiel. Il est important de noter que le gouvernement chinois exige des entreprises chinoises qu’elles fournissent des données au gouvernement central. Par conséquent, malgré l’omniprésence et la présence à bas prix de smartphones comme le Huawei ou le ZTE, il convient de les éviter. Bien que le coût du matériel bon marché puisse être très attractif, les risques de sécurité potentiels pour les parlements devraient vous orienter vers d’autres options d’appareils et d’équipements.

Vos adversaires peuvent compromettre la sécurité de vos appareils (et de tout ce que vous faites à partir de ces appareils) en obtenant un accès physique ou un accès « à distance » à votre appareil.

Sécurité des appareils et parlements

cyber Photo

Certains des logiciels malveillants les plus avancés au monde ont été développés et déployés dans le monde entier pour cibler les députés, d’autres responsables gouvernementaux et leur personnel. En Inde, par exemple, un consortium de journalistes a révélé que plusieurs députés et ministres du gouvernement étaient ciblés par le logiciel espion Pegasus, un type de logiciel malveillant qui a fait la une des journaux en 2020. Pegasus est tristement célèbre pour sa capacité à infecter les appareils mobiles et à donner à l’agresseur la possibilité d’enregistrer de l’audio, d’intercepter les frappes et les messages et, en fait, de mettre la victime sous surveillance totale, sans nécessiter l’interaction de la victime. Cependant, la grande majorité des logiciels espions réussissent grâce à de mauvaises pratiques de sécurité des appareils, telles que l’inattention au hameçonnage ou le manque d’application des politiques mentionnées tout au long de cette section de ce Manuel.

Accès physique à l’appareil par perte ou vol

Pour éviter toute compromission physique, il est essentiel de sécuriser physiquement vos appareils. En bref, ne facilitez pas la tâche d’un adversaire qui pourrait vous voler ou même vous enlever temporairement votre appareil. Gardez les appareils sous clé s’ils sont laissés à la maison ou au bureau. Gardez-les sur vous si vous pensez que c’est plus sûr. Cela signifie bien sûr que la sécurité des appareils passe en partie par la sécurité physique de vos espaces de travail (que ce soit dans un bureau ou à la maison). Vous devrez installer des serrures solides, des caméras de sécurité ou d’autres systèmes de surveillance. Rappelez au personnel qu’il doit traiter les appareils de la même manière qu’il traiterait une grosse pile d’argent, sans les laisser traîner sans surveillance ou sans protection.

Que se passe-t-il si un appareil est volé ?

Afin de limiter l’impact si quelqu’un parvenait à voler un appareil, ou même s’il n’y accédait que pour une courte période, veillez à obliger l’utilisation de mots de passe ou de codes d’accès forts sur les ordinateurs et les téléphones de chacun. Les mêmes conseils de mot de passe que ceux de la section Mots de passe de ce manuel s’appliquent à un mot de passe fort pour un ordinateur ou un portable. Lorsqu’il s’agit de verrouiller votre téléphone, utilisez des codes d’au moins six à huit chiffres et évitez d’utiliser des « combinaisons de glissement » pour déverrouiller l’écran. Pour obtenir des conseils supplémentaires sur les verrouillages d’écran, consultez le Data Detox Kit de Tactical Tech. En utilisant de bons mots de passe pour votre appareil, il est beaucoup plus difficile pour un adversaire d’accéder rapidement aux informations qu’il contient en cas de vol ou de confiscation.

Assurez-vous que les appareils délivrés par le parlement sont également enregistrés dans un système de gestion des appareils mobiles ou des points d’extrémité. Bien qu’ils ne soient pas peu coûteux, ces systèmes permettent à votre parlement d’appliquer des politiques de sécurité sur tous les appareils, d’en localiser un et d’effacer son contenu potentiellement sensible en cas de vol, de perte ou de confiscation. Bien qu’il existe de nombreuses solutions différentes pour la gestion des appareils mobiles, quelques options fiables qui fonctionnent sur toutes les plates-formes (iPhone, Android, Mac et Windows) incluent Hexnode, Meraki Systems Manager de Cisco, IBMs MDM et la fonctionnalité intégrée de gestion des appareils mobiles de Google Workspace. Si le coût est un facteur limitant, il faut au moins encourager les députés et les membres du personnel à utiliser les fonctions intégrées « Trouver mon appareil » sur leurs smartphones personnels et ceux fournis par le parlement, comme Find My iPhone d’iPhone et Find My Device d’Android.

Qu’en est-il du chiffrement des appareils ?

Il est important d’utiliser le chiffrement, qui consiste à brouiller les données pour les rendre illisibles et inutilisables, sur tous les appareils, notamment les ordinateurs et les smartphones. Si possible, vous devez configurer tous les appareils de votre parlement avec un procédé appelé chiffrement intégral du disque. Le chiffrement intégral du disque permet de chiffrer l’intégralité d’un appareil, de sorte qu’un adversaire, s’il devait le voler physiquement, serait incapable d’en extraire le contenu sans connaître le mot de passe ou la clé que vous avez utilisés pour le chiffrer.

De nombreux smartphones et ordinateurs modernes permettent de réaliser un chiffrement intégral de leur disque. Les appareils Apple tels que les iPhones et les iPads, de manière assez pratique, activent le chiffrement intégral du disque lorsque vous définissez un code d’accès normal pour l’appareil. Les ordinateurs Apple utilisant macOS sont dotés d’une fonction appelée FileVault que vous pouvez activer pour un chiffrement intégral du disque.

Les ordinateurs Windows dotés de licences pro, entreprise ou éducation disposent d’une fonction appelée BitLocker que vous pouvez activer pour un chiffrement intégral du disque. Vous pouvez activer BitLocker en suivant ces instructions de Microsoft, qui peuvent devoir être préalablement activées par l’administrateur de votre organisation. Si le personnel ne dispose que d’une licence domestique pour ses ordinateurs Windows, BitLocker n’est pas disponible. Toutefois, il est toujours possible d’activer le chiffrement intégral du disque en allant dans « Mise à jour et sécurité » > « Chiffrement du périphérique » dans les paramètres du système d’exploitation Windows.

Sur les appareils Android, à partir de la version 9.0, le chiffrement des fichiers est activé par défaut. Le chiffrement basé sur les fichiers d’Android fonctionne différemment du chiffrement intégral du disque, mais offre néanmoins une sécurité solide. Si vous utilisez un téléphone Android relativement récent et que vous avez défini un code d’accès, le chiffrement basé sur les fichiers devrait être activé. Cependant, il est bon de vérifier vos paramètres pour en être sûr, surtout si votre téléphone a plus de deux ans. Pour vérifier, allez dans Paramètres > Sécurité sur votre appareil Android. Dans les paramètres de sécurité, vous devriez voir une sous-section intitulée « Chiffrement » ou « Chiffrement et informations d’identification », qui indiquera si votre téléphone est chiffré et, dans le cas contraire, vous permettra d’activer le chiffrement.

Pour les ordinateurs (qu’il s’agisse de Windows ou de Mac), il est particulièrement important de conserver les clés de chiffrement (appelées clés de récupération) dans un endroit sûr. Ces « clés de récupération » sont, dans la plupart des cas, essentiellement des mots de passe longs ou des phrases de passe. Si vous oubliez le mot de passe de votre appareil habituel ou si un événement inattendu se produit (comme une panne de l’appareil), les clés de récupération sont le seul moyen pour récupérer vos données chiffrées et, si nécessaire, les déplacer vers un nouvel appareil. Par conséquent, lorsque vous activez le chiffrement intégral du disque, veillez à enregistrer ces clés ou mots de passe dans un endroit sûr, comme un compte en nuage sécurisé ou le gestionnaire de mots de passe de votre parlement.

Accès à distance aux appareils - également connu sous le nom de piratage

Outre la sécurité physique des appareils, il est important de les préserver des logiciels malveillants. Security-in-a-Box de Tactical Tech donne une description utile de ce qu’est un logiciel malveillant et pourquoi il est important de les éviter, qui est légèrement adaptée dans le reste de cette section.

Comprendre et éviter les logiciels malveillants 

Il existe de nombreuses méthodes de classification des malwares (terme désignant un logiciel malveillant). Les virus, les logiciels espions, les vers, les chevaux de Troie, les rootkits, les rançongiciels et les cryptojackers sont tous des types de logiciels malveillants. Certains types de logiciels malveillants se propagent sur l’internet par le biais de courriels, de messages texte, de pages web malveillantes et d’autres moyens. Certains se propagent par le biais de dispositifs tels que des clés USB qui sont utilisées pour échanger et voler des données. Et, alors que certains logiciels malveillants exigent qu’une cible peu méfiante commette une erreur, d’autres peuvent infecter silencieusement des systèmes vulnérables sans que vous fassiez quoi que ce soit de mal. 

Outre les logiciels malveillants classiques, qui sont diffusés à grande échelle et visent le grand public, les logiciels malveillants ciblés sont généralement utilisés pour interférer avec un individu, une organisation ou un réseau particulier ou l’espionner. Les criminels ordinaires utilisent ces techniques, mais aussi les services militaires et de renseignement, les terroristes, les harceleurs en ligne, les conjoints violents et les acteurs politiques véreux.

Quel que soit leur nom, quelle que soit la manière dont ils sont distribués, les logiciels malveillants peuvent ruiner les ordinateurs, voler et détruire des données, perturber les opérations parlementaires, porter atteinte à la vie privée et mettre les utilisateurs en danger. En bref, les logiciels malveillants sont vraiment dangereux. Cependant, il existe quelques mesures simples que votre parlement peut prendre pour se protéger contre cette menace courante.

Un outil anti-malware peut-il nous protéger ?

Les outils anti-malware ne sont malheureusement pas une solution complète. Cependant, c’est une très bonne idée d’utiliser quelques outils de base gratuits comme point de départ. Les logiciels malveillants évoluent si rapidement et les nouveaux risques sont si fréquents dans le monde réel que le recours à un tel outil ne peut suffire à vous défendre.

Si vous utilisez Windows vous devriez jeter un coup d’œil à la version intégrée de Windows Defender. Les ordinateurs Mac et Linux ne sont pas équipés d’un logiciel anti-malware intégré, pas plus que les appareils Android et iOS. Vous pouvez installer un outil réputé et gratuit comme Bitdefender ou Malwarebytes pour ces appareils (ainsi que pour les ordinateurs Windows).  Mais ne vous appuyez pas là-dessus comme seule ligne de défense car ils passeront certainement à côté de certaines des nouvelles attaques les plus ciblées et les plus dangereuses.

En outre, veillez à ne télécharger que des outils anti-malware ou anti-virus bien réputés provenant de sources légitimes (telles que les sites Web mentionnés ci-dessus). Malheureusement, il existe de nombreuses versions falsifiées ou compromises d’outils anti-malware qui font beaucoup plus de mal que de bien.

Si vous utilisez Bitdefender ou un autre outil anti-malware au sein de votre parlement, veillez à ne pas exécuter deux de ces outils en même temps. Beaucoup d’entre eux identifient le comportement d’un autre programme anti-malware comme suspect et l’empêchent de s’exécuter, ce qui entraîne un dysfonctionnement des deux programmes. Bitdefender ou d’autres programmes anti logiciels malveillants réputés peuvent être mis à jour gratuitement et le programme intégré Windows Defender reçoit les mises à jour en même temps que votre ordinateur. Veillez à ce que votre logiciel anti-malware se mette à jour régulièrement (certaines versions d’essai de logiciels commerciaux livrés avec un ordinateur sont désactivées après l’expiration de la période d’essai, ce qui les rend plus dangereux qu’utiles). De nouveaux logiciels malveillants sont créés et diffusés chaque jour, et votre ordinateur deviendra rapidement encore plus vulnérable si vous ne vous tenez pas au courant des nouvelles techniques de lutte contre les logiciels malveillants et de leurs évolutions. Si possible, vous devez configurer votre logiciel pour qu’il installe automatiquement les mises à jour. Si votre outil anti logiciels malveillants dispose d’une fonction optionnelle « Toujours actif », vous devriez l’activer et envisager d’analyser occasionnellement tous les fichiers de votre ordinateur. 

Maintenir les appareils à jour

Les mises à jour sont essentielles. Utilisez la dernière version du système d’exploitation de votre appareil (Windows, Mac, Android, iOS, etc.) et maintenez-le à jour. Maintenez également à jour les autres logiciels, votre navigateur et ses éventuels plugins. Installez les mises à jour dès qu’elles sont disponibles, idéalement en activant les mises à jour automatiques. Plus le système d’exploitation d’un appareil est à jour, moins il est vulnérable. Considérez les mises à jour comme un pansement sur une plaie ouverte : elles permettent de colmater une brèche et réduisent considérablement les risques d’infection. Désinstallez également les logiciels que vous n’utilisez plus. Les logiciels obsolètes présentent souvent des problèmes de sécurité.Vous avez peut-être installé un outil qui n’est plus mis à jour par le développeur, ce qui le rend plus vulnérable aux pirates.

Les logiciels malveillants dans le monde réel : Les mises à jour sont essentielles

Malware photo

En 2017, les attaques via le ransomware WannaCry ont infecté des millions d’appareils dans le monde entier, mettant hors service des hôpitaux, des entités gouvernementales, de grandes et petites organisations et des entreprises dans des dizaines de pays. Pourquoi l’attaque a-t-elle été si efficace ? En raison de systèmes d’exploitation Windows obsolètes et non corrigés, dont beaucoup étaient initialement piratés. Une grande partie des dommages (humains et financiers) aurait pu être évitée grâce à de meilleures pratiques de mise à jour automatisée et à l’utilisation de systèmes d’exploitation légitimes.

Faites attention aux clés USB

Soyez prudent lorsque vous ouvrez des fichiers qui vous sont envoyés en pièces jointes, par des liens de téléchargement ou par tout autre moyen. Réfléchissez également à deux fois avant d’insérer des supports amovibles comme des clés USB, des cartes mémoire flash, des DVD et des CD dans votre ordinateur, car ils peuvent être un vecteur de logiciels malveillants. Les clés USB qui ont été partagées un certain temps sont très susceptibles de contenir des virus. Pour connaître les autres options permettant de partager des fichiers en toute sécurité au sein de votre parlement, consultez la section Partage de fichiers du manuel.

Soyez également prudent quant aux autres appareils auxquels vous vous connectez via Bluetooth. Vous pouvez synchroniser votre téléphone ou votre ordinateur avec une enceinte Bluetooth reconnue et fiable pour écouter votre musique préférée, mais faites attention à ne pas établir de connexion avec des appareils que vous ne reconnaissez pas ou à ne pas accepter de requêtes de ces appareils. N’autorisez les connexions qu’avec des appareils de confiance et n’oubliez pas de désactiver la fonction Bluetooth lorsqu’elle n’est pas utilisée.

Soyez intelligent lorsque vous naviguez

N’acceptez et n’exécutez jamais d’applications provenant de sites Web que vous ne connaissez pas et auxquels vous ne faites pas confiance. Plutôt que d’accepter une « mise à jour » proposée dans une fenêtre contextuelle du navigateur, par exemple, vérifiez les mises à jour sur le site web officiel de l’application concernée. Comme évoqué dans la section Hameçonnage du manuel, il est essentiel de rester vigilant lorsque vous naviguez sur des sites web. Vérifiez la destination d’un lien (en le survolant) avant de cliquer et jetez un coup d’œil à l’adresse du site web après avoir suivi un lien et assurez-vous qu’elle semble appropriée avant de saisir des informations sensibles comme votre mot de passe. Ne cliquez pas sur les messages d’erreur ou les avertissements et faites attention aux fenêtres du navigateur qui s’affichent automatiquement et lisez-les attentivement au lieu de cliquer simplement sur Oui ou OK. 

Qu’en est-il des smartphones ?

Comme pour les ordinateurs, maintenez le système d’exploitation et les applications de votre téléphone à jour, et activez les mises à jour automatiques. Installez uniquement des logiciels provenant de sources officielles ou de confiance, comme le Play Store de Google et l’App Store d’Apple (ou F-droid, une boutique d’applications à code source ouvert pour Android). Les applications peuvent contenir des logiciels malveillants tout en semblant fonctionner normalement. Vous ne saurez donc pas toujours si l’une d’entre elles est affectée par un logiciel malveillant. Assurez-vous également que vous téléchargez la version légitime d’une application. En particulier sur les appareils Android, il existe des versions « fausses » d’applications populaires. Assurez-vous donc qu’une application est créée par la bonne société ou le bon développeur, qu’elle a de bonnes évaluations et qu’elle a le nombre de téléchargements attendus (par exemple, une fausse version de WhatsApp pourrait n’avoir que quelques milliers de téléchargements, mais la vraie version en compte plus de cinq milliards). Faites attention aux autorisations que vos applications demandent. Si elles vous semblent excessives (comme une calculatrice demandant l’accès à votre appareil photo ou Angry Birds demandant l’accès à votre localisation, par exemple), refusez la demande ou désinstallez l’application. Désinstaller les applications que vous n’utilisez plus peut également contribuer à protéger votre smartphone ou votre tablette. Les développeurs vendent parfois la propriété de leurs applications à d’autres personnes. Ces nouveaux propriétaires peuvent essayer de gagner de l’argent en ajoutant un code malveillant.

Les logiciels malveillants dans le monde réel : Applications mobiles malveillantes

iphone Screen

Depuis des années, des pirates de différents pays utilisent de fausses applications dans la boutique Google Play pour diffuser des logiciels malveillants. Un cas particulier visant des utilisateurs au Vietnam a été révélé en avril 2020. Cette campagne d’espionnage utilisait de fausses applications, censées aider les utilisateurs à trouver les bars à proximité ou à rechercher des informations sur les églises locales. Une fois installées par des utilisateurs Android non informés, les applications malveillantes collectent des journaux d’appels, des données de localisation et des informations sur les contacts et les messages texte. Ce n’est qu’une des nombreuses raisons pour lesquelles il faut faire attention aux applications que vous téléchargez sur vos appareils.

Assurer la sécurité des appareils

  • Formez les membres et le personnel aux risques liés aux logiciels malveillants et aux meilleures pratiques pour les éviter.
    • Prévoyez des directives concernant la connexion de périphériques externes, le clic sur des liens, le téléchargement de fichiers et d’applications, et la vérification des autorisations des logiciels et des applications.
  • Exigez que les appareils, les logiciels et les applications soient constamment mis à jour.
    • Activez les mises à jour automatiques lorsque cela est possible.
  • Inscrivez tous les appareils parlementaires dans un système de gestion des appareils mobiles ou des points d’extrémité.
  • Assurez-vous que tous les appareils utilisent des logiciels sous licence.
  • Exigez la protection par mot de passe de tous les appareils parlementaires, y compris les appareils mobiles personnels qui sont utilisés pour des communications liées au parlement.
  • Activez le chiffrement intégral du disque sur les périphériques.
  • Rappelez fréquemment aux membres et au personnel de sécuriser physiquement leurs appareils et gérez la sécurité de votre bureau avec des serrures appropriées ainsi que des moyens de sécuriser les ordinateurs.
  • Ne partagez pas de fichiers à l’aide de clés USB et ne branchez pas de clés USB sur vos ordinateurs.
    • Utilisez plutôt d’autres options de partage de fichiers sécurisés.