Category Archives: Assistance

L’authentification par réseaux sociaux, une méthode simple mais pas sans inconvénients…

Dans la série « j’essaye de préserver les pauvres internautes du malin », j’ai déjà écrit deux articles : Evitez d’offrir vos informations perso sur le Net (phishing) ou comment détecter un petit rigolo qui veut vos codes d’accès, et J’ai trouvé pour vous le meilleur anti-virus (et vous le connaissez) ou pourquoi un anti-virus ne vaudra jamais un esprit éclairé.

Aujourd’hui, on va causer de l’authentification via les réseaux sociaux. Ne levez pas les yeux au ciel, c’est simple à piger et vous allez comprendre que s’identifier via votre compte Facebook, Twitter ou Google Plus sur une application tierce peut se révéler nuisible.

S’authentifier, une nécessité

Certains sites ont besoin que vous créiez un compte chez eux. C’est généralement légitime car un compte perso, ça permet de garantir votre identité sur un site marchand, de conserver vos préférences, d’envoyer les dernières bonnes affaires, etc. C’est pratique pour vous, c’est pratique pour eux.

Cependant, avec le succès des réseaux sociaux, Facebook, Twitter et consorts se sont dit que proposer d’utiliser leurs systèmes d’authentification pourraient être une bonne idée. Pas faux, utiliser un compte FB pour accéder à un site permet de :

  • n’avoir à retenir que l’identifiant du réseau social pour plusieurs sites (applications),
  • ne pas avoir à se connecter, la durée d’une session de réseau social étant très longue.
  • se connecter en une seconde.

Extrêmement pratique, non ? Oui, mais pas que, ça peut aussi devenir… embarrassant.

Les débordements

Prenons l’exemple d’un grand site streaming musical que nous appellerons Onzer. Si vous prenez la peine de créer un compte manuellement, c’est un poil plus fastidieux mais le site ne sait de vous que ce que vous lui donnerez (une adresse mail et un mot de passe au minimum). Si en revanche, vous vous authentifiez via votre compte Facebook, l’application va réclamer des droits que vous vous empresserez d’accepter car, rappelez-vous le plus grand mensonge du siècle :

J’ai lu et j’accepte les conditions générales de ce site.

Avouez, vous n’avez rien lu, vous servirez juste vos données sur un plateau.

Connexion via facebook

Dans les deux cas, vous pouvez commencer à jouir de votre musique. La nuance, c’est que lorsque vous vous êtes authentifié avec FB, vous avez donné le droit à Onzer d’accéder à vos informations Facebook. Et qu’est-ce que vous stockez sur FB ? Hein ? C’est bien ça, votre vie. Si l’application est un peu taquine, elle peut :

  • récupérer l’ensemble de vos amis,
  • leur envoyer des messages non sollicités,
  • publier vos écoutes sans votre consentement explicite sur votre mur,
  • collecter vos données personnelles,
  • regarder votre vie partir en cendres,
  • etc.

C’est de cela qu’il faut se méfier. FB a beau proposer des règles fines de gestion des droits, vous n’en avez généralement pas connaissance et ne les utiliserez pas. Évitez donc de céder aux sirènes de la facilité et prenez un peu de temps pour créer un compte spécialement pour chaque application.

Limiter les frais

Dés lors que vous avez un abonnement Facebook, vous êtes constamment authentifié et pisté sur les sites qui utilisent les boutons « J’aime ». C’est déjà amplement suffisant sans qu’en plus vous offriez nos données personnelles à des applications, tout en ne sachant rien de ce qu’ils vont en faire. Vous pouvez faire confiance à FB, mais allez savoir ce que Onzer fait de vos données. Fut un temps, ils publiaient systématiquement vos morceaux écoutés sur votre mur Facebook sans vous en informer, et perso je n’ai pas trop envie que tout le monde sache que j’écoute du Jul en cachette…

Changer un disque sur DS210J de Synology (ou « oups, j’ai perdu mon DSM »)

En 2010 j’ai fait l’acquisition d’un petit NAS Synology DS 210j. Evidemment, tout satisfait de mon achat que j’étais, je vous en ai fait l’apologie mais par fainéantise, je n’ai pas testé le remplacement de disque et sa reconstruction en RAID 1. Et bien après 6 ans d’utilisation, alors qu’un premier disque me lâche (j’ai 2 disques WD Caviar Green de 1 To en sata), je peux vous faire un petit retour d’expérience.

Tout d’abord merci à Jeff, mon généreux donateur (je suis contractuellement obligé de le remercier publiquement) de m’avoir filé son Caviar Green perso. Pour mon montage, ça m’a permis de disposer d’un disque de remplacement tout à fait similaire (et non-formaté, je publierai donc ses photos de nus plus tard dans un sujet sur l’atrophie des corps caverneux). 🙂

Alors pour commencer, sachez qu’il semble que l’OS du NAS (le fameux DSM) soit écrit sur les disques. Du coup, il est possible que lorsqu’un disque foire, vous perdiez également le DSM et sa configuration. C’est le point pas glop, mais ça ne doit pas être la règle car le manuel ne mentionne pas cette éventualité. Avec Jeff on se demandait si ce n’était pas parce que le disque qu’il m’a filé n’était pas formaté (si vous testez avec un disque formaté, je suis intéressé par votre expérience). Je n’ai pas tenté de le formater car la méthode qui suit me convenait (un reset de l’OS). Elle m’a permis de remettre en route le NAS avec un OS vierge (une bonne chose car ça faisait cher le presse-papier).

Allez, je vous propose la petite méthode de restauration du disque avec réinstallation du DSM au passage (je sais que certains s’arrachaient les cheveux sur le Net avec un problème similaire) :

Evitez d’offrir vos informations perso sur le Net (phishing).

Après le précédent article sur la sécurité sur le Net, je me suis dit que ce serait bien de mettre des exemples concrets de piratage afin que vous puissiez les voir venir. Je vais donc faire un bref retour sur le phishing qui est sans doute le mode de piratage le plus efficace pour avoir accès à votre pognon. Car n’oublions pas, le maillon le plus faible d’une chaîne de sécurité informatique, c’est l’Homme, c’est vous.

Le poison pas frais :

Contraction de fishing (pèche) et phreaking (piratage téléphonique), le phishing est une tentative de vous dérober des informations en se faisant passer pour une source de confiance. On l’appelle aussi hameçonnage à l’académie française.

Prenons l’exemple de la situation la plus courante : un coquin tente de se faire passer pour votre banque et vous incite à lui confier vos identifiants de compte sans que vous n’y preniez garde. Pour cela, il vous envoie simplement un mail bien présenté, formaté comme le ferait l’organisme qu’il copie. Ce dernier contient un lien vers un faux site web qu’il aura construit de ses mains (généralement, il ne copie que la page d’accueil). Là vous saisissez vos identifiants et il est trop tard, vous êtes dans sa toile. Au mieux, vous réalisez ce que vous avez fait et vous appelez votre banque, au pire, vous constaterez quelques virements inopportuns et il va falloir justifier à madame cet achat exorbitant sur grostetons.com.

C’est une méthode courante et les mails que l’on reçoit sont de plus en plus crédibles, une bonne raison pour apprendre à les détecter. Allez hop, cas pratiques ! Et râlez pas, y’en a pour deux minutes.

Dans les exemples ci-dessous, un canaillou se fait passer pour le Crédit Agricole.

  • Première puce à l’oreille : je ne suis pas au Crédit Agricole. Mais admettons une minute que j’y sois : voici des mails bien légitimes et qui semblent parfaitement innocents : il faut juste aller vérifier un truc sur mon compte (un mot de passe, une info, un message…).
  • Deuxième puce : les liens.
    • Dans le premier exemple, le contenu du mail est une image. Si je la survole, je vois bien que le domaine (lire le premier article pour comprendre comment vérifier les domaines) n’a rien à voir avec celui de la BNP (thembears.com).
    • Idem dans le deuxième exemple dont le lien pointe vers http://www.mby.be/ (lien invalide depuis).

Si vous avez ne serait-ce qu’un doute (tout le temps ?), n’utilisez pas les liens des mails et rendez-vous directement sur votre site. Si on vous a indiqué qu’un message vous y attend, vous l’y verrez.

Exemple n°1 :

Lorsque je survole l’image, le lien apparaît. Au pire je l’aurais vu après avoir cliqué dessus dans la barre d’adresse de mon navigateur et avant de saisir mon identifiant.

Exemple n°2 :

Ici, il s’agit d’un texte. Lorsque vous survolez le lien, son adresse s’affiche en bas à gauche de votre navigateur. Allez-y, vérifiez que le lien pointe sur un nom de domaine chelou. 🙂

Bonjour,

Un nouveau Message est disponible sur votre messagerie Crédit agricole  .

Pour le consulter, Veuiller Cliquez sur le lien ce-dessous:

Accèdez à voslcomptes

Nous vous remercions de votre confiance.

Crédit agricole: Banque et Assurances

 

Ce courriel vous a été envoyé par un système automatique d’émission de messages.
L’adresse d’émission n’est pas une adresse de courriel classique.
Si vous écrivez à cette adresse, votre message ne sera pas pris en compte

Déjà, les « Veuiller Cliquez » et « voslcomptes » sentaient le pâté…

Petit résumé des bonnes pratiques :

  • Vérifier les adresses des liens dans les mails en les survolant.
  • Dans le doute, ne pas cliquer sur ces liens.
  • Ne pas paniquer, joignez votre banque par téléphone en cas de doute. Car bien sûr, ces mails peuvent être assez pressants : « vite, t’es à découvert, vient régulariser !!! ».
  • Signalez le à la banque par mail (dans le premier c’était par Twitter).

Des escroqueries par mail mais aussi sur le web :

Ces méthodes sont aussi utilisées sur le web via des publicités mensongères qui vont vous inciter à installer des applications. Par exemple :

Attention, un virus a été détecté sur votre ordinateur, téléchargez l’application « Tueur de virus 360 » pour l’éliminer. Si vous ne le faites pas, toutes vos données personnelles s’effaceront et la tête de votre premier né explosera comme du popcorn.

Alors, sachez que : que vous soyez sur téléphone ou PC, aucun site web n’a accès au contenu de votre machine. Il ne peut donc pas le scanner et vous afficher d’information sur l’état de santé du PC. D’une manière générale, retenez que si on vous propose d’installer un logiciel que vous n’avez pas demandé, il y a anguille sous roche (voire baleine sous cailloux comme aurait dit un collègue).

Crédit illustration : betacontinua

J’ai trouvé pour vous le meilleur anti-virus (et vous le connaissez)

Lorsque l’on bosse dans l’informatique, on nous demande fatalement un paquet de fois quel est le meilleur antivirus pour surfer en toute sécurité. Mais ce que l’on nous demande encore plus souvent, c’est de déverminer le PC qui s’est éteint dans un râle d’agonie après avoir affiché un pénis en plein écran, traumatisant au passage Jean-Rudy qui jouait tranquillement à LoL

Des solutions pour se préserver

Ici, vous auriez pu vous éviter de coûteuses séances de rééducation de votre rejeton en étant pro-actifs. Vous aviez en effet au moins deux choix :

  • Installer un bon antivirus bien gras qui cumule les fonctions de firewall, détecteur de malware, sauvegarde, anonymiseur, désenvoûtement, chiffrement des données, anti-spam, alarme incendie, etc. Ce dernier vous rappelant chaque année de cracher au bassinet, généralement après une période d’essai gratuite dont vous n’aviez même pas connaissance.
    Vous serez ravis d’apprendre que ce type de logiciel est généralement pré-installé sur toute nouvelle machine de marque. L’effet attendu par l’éditeur est que, pris de panique à la fin de l’évaluation, vous préférerez payer plutôt que de chercher une alternative.
  • Installer un antivirus gratos light et recourir à « ma » méthode qui est bien plus efficace que Kaspersky, Norton, McAfee et consort.

Là vous me voyez arriver comme un arracheur de dent avec des gros sabots. Mais non, je ne vais pas vous vendre un élixir magique hors de prix. Je vais simplement vous parler de bon sens…

Lire plus de 5 articles sur la Voix du Nord

Bonjour à tous, suite à une menace de poursuite judiciaire de la part de la Voix du Nord, cet article n’est plus disponible depuis le 21/07/2015 14h08.

N’étant pas moi-même juriste, je n’ai pas vraiment envie de découvrir si la justice de mon pays me suivra. Je m’épargne donc les joies des poursuites en supprimant purement et simplement cet article.

Désolé. Spi.

Article conseillé : La Justice et Internet, c’est comme mémé devant son mulot.