Bases essentielles pour sécuriser son site web | Denis JACOPINI

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Bases essentielles pour sécuriser son site web


Il faut savoir qu’internet peut se révéler vulnérable. La sécurité d’un site n’est pas à prendre à la légère, c’est quelque chose de très compliqué qui requiert des connaissances techniques approfondies afin de pouvoir identifier les vulnérabilités et mettre en place les mesures de protection nécessaires.

La sécurité d’un site web est un enjeu crucial et essentiel pour tout administrateur système soucieux de préserver et protéger son site. Les hackers sont toujours à la recherche de nouvelles failles, mais de multiples solutions de sécurité s’offrent à vous de plus simples et de plus pointues qui vous permettront de lutter contre les pirates et les hackers et protéger son site internet.

Voici quelques simples conseils sous forme d’une liste de bonnes pratiques qu’un professionnel doit appliquer à la rigueur pour se défendre des attaques automatiques et empêcher ceux qui visent votre site web d’y pénétrer :

 

1. Veiller sur la mise à jour de votre site web

Il faut d’abord veiller à mettre à jour correctement le serveur web qui héberge le site. Si vous faites appel à un hébergeur professionnel, c’est son travail. Par contre, si vous héberger votre site vous-même c’est à vous de faire les mises à jour nécessaires. Ensuite, le système de gestion du site doit également être à jour, ainsi que toutes les applications qui jouent un rôle dans l’administration du site.

Certains systèmes de gestion de contenu comme WordPress permettent d’effectuer facilement les mises à jour automatiquement. Comme ils offrent aussi une quantité très importante de plugins dont certains peuvent présenter des failles flagrantes. Je vous conseille alors de bien vous renseigner sur la qualité et l’efficacité d’un plugin avant de l’installer.

2. S’assurer du sauvegarde et de la protection

N’oubliez jamais d’effectuer une sauvegarde régulière pour votre site web et aussi que pour toutes les autres informations. Sa fréquence dépendra de la fréquence de la mise à jour du site, c’est-à-dire que vous devrez faire une sauvegarde de votre site à chaque fois que vous le mettez à jour. Vous vous rendrez compte de la grande valeur de cette sauvegarde le jour où votre site sera piraté malgré les précautions que vous avez prises.

Enfin, vous devez protéger l’accès au serveur web pour éviter les tentatives d’attaque du site. Par exemple, l’authentification http et l’une des pratiques sur laquelle vous pouvez compter pour protéger votre serveur web.

3. Protéger les données sensibles

Lorsque vous collectez des données personnels, mots de passe, données financières, il faut veiller sur leur sécurité mieux que tout le reste. Il s’agit non seulement d’une obligation vis-à-vis de vos utilisateurs mais aussi d’une contrainte légale.

Il est indispensable que vous chiffriez toutes les données stockées sur vos serveurs. 
Il faut aussi chiffrer la connexion (SSL) pour éviter que des données soient interceptées lors de le communication entre l’utilisateur et votre site.

Vous devez faire des mots de passe l’objet d’un soin tout particulier pour assurer plus de sécurité, pour cela ils doivent être encryptés avant d’être stockés.

Comme vous devez aussi « hacher » les mots de passe avec un algorithme approprié comme «bcrypt » ou « scrypt » qui sont difficiles à être attaqués, et évitez les usuels MD5 et SHA1 qui sont plus vulnérables.

4. Vérifier la sécurité de votre hébergeur

C’est une astuce de sécurité d’ordre plus général, il est très important que votre hébergeur vous propose des versions plus récentes de Apache, MySQL et PHP. Renseignez-vous auprès de votre hébergeur ou utiliser un fichier PHP pour obtenir ces informations cruciales.

5. Créer votre site web avec Wix

Vous pouvez choisir des outils qui vont sécuriser votre site à votre place.

Pour ceux qui veulent se simplifier la vie et choisir une solution aussi sécurisé que pratique, il existe WixLire la suite

 

 


 

Réagissez à cet article

Original de l’article mis en page : Bases essentielles pour sécuriser son site web | FunInformatique




Qu’est ce qu’un bon mot de passe ? | Denis JACOPINI

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

CNIL sur Twitter :

Qu’est ce qu’un ?

Un mot de passe efficace =

  1. Plus de 8 caractères
  2.  sans lien avec son détenteur
  3. MAJUSCULES
  4. ponctuation
  5. chiffres
  6. unique pour chaque site (si possible)

 

Au travers de conférences ou de formations, Denis JACOPINI vous propose de vous sensibiliser, responsable de la stratégie de l’entreprise qui DOIT désormais intégrer le risque informatique comme un fléau à combattre et à enrayer plutôt qu’une fatalité.
Contactez-nous

 

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

 

Source : https://twitter.com/cnil/status/545603180487131136

 

 




Le public doit-il être informé qu’il est filmé ? | Denis JACOPINI

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

CNIL Besoin d’aide ? - Vidéoprotection : le public doit-il être informé qu'il est filmé ?

Le public doit-il être informé qu’il est filmé ?

Les personnes filmées dans un espace public (rue, gare, centre commercial, zone marchande, etc.) doivent en être informées, au moyen de panneaux affichés de façon visible comportant :

  • Un pictogramme représentant une caméra ;
  • Le nom ou la qualité et le numéro de téléphone du responsable.
  • Ces panneaux doivent être affichés en permanence dans les lieux concernés et doivent être compréhensibles par tous les publics.

 

 

 


Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

 

 


Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous


 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.aide.cnil.fr/selfcnil/site/template.do;jsessionid=D6FE4EA8F8C2B622744249AD69FABBA1?name=Vid%C3%A9oprotection+%3A+le+public+doit-il+%C3%AAtre+inform%C3%A9+qu%27il+est+film%C3%A9+%3F&id=410

 

 




6 conseils pour éviter la contamination du réseau par des ransomwares | Denis JACOPINI

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

6 conseils pour éviter la contamination du réseau par des ransomwares

6 conseils pour

6 conseils pour éviter la contamination du réseau par des ransomwaresUne étude réalisée par Bitdefender aux États-Unis montre que les APT (Advanced Persistent Threats), le spear phishing et les ransomware sont les types d’incidents les plus craints dans les entreprises.

 

Cette étude montre, en effet, qu’en termes d’importance, les APT (techniques complexes d’intrusion réseau) sont en tête des préoccupations : 19,7% des managers interrogés les estiment difficiles à gérer.

Les ransomware arrivent en seconde position (13,7%) avec les rootkits. Ces derniers préoccupent plus les DSI que les menaces 0-day.

Le Spear Phishing (des e-mails soigneusement préparés, destinés à des individus spécifiques au sein de l’entreprise) sont mentionnées par à peu près 13% des personnes interrogées. Reste qu’il s’agit là d’une des techniques les plus utilisées pour pénétrer la sécurité de l’entreprise et diffuser des malwares.

Quant aux incidents générés par le BYOD (Bring Your Own Device, l’utilisation de son appareil personnel dans le cadre du travail) et aux vulnérabilités zero-day, ils semblent moins inquiétants, puisque 11,3% des personnes interrogées voient le BYOD comme un risque potentiel pour leur entreprise, tandis que 10,3% des managers pensent que les attaques zero-day sont sources de menaces pour la sécurité de leur entreprise.

BitDefender fait donc 6 recommandations pour que les entreprises puissent limiter les risques d’infection :

  1. Mettre en garde les employés contre les nouvelles menaces et leur expliquer comment déceler un e-mail de spear phishing et d’autres attaques d’ingénierie sociale.
  2. Installer, configurer et maintenir à jour la solution de sécurité de l’entreprise.
  3. Bloquer l’exécution de certains programmes vecteurs d’infections, comme par exemple des logiciels de téléchargement illégal ou de P2P au bureau.
  4. Utiliser un pare-feu pour bloquer les connections entrantes vers des services qui n’ont pas lieu d’être publiquement accessibles via Internet.
  5. S’assurer que les utilisateurs aient les droits les plus faibles possible pour accomplir leurs missions. Lorsqu’une application requiert des droits d’administrateur, il faut être certain que l’application soit légitime.
  6. Activer la restauration système afin de retrouver les versions précédentes des fichiers qui ont été chiffrés, une fois que la désinfection a eu lieu.

 

 


Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
formateur n°93 84 03041 84

 

 


Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous


 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.itrmobiles.com/index.php/articles/157764/6-conseils-eviter-contamination-reseau-ransomwares.html

 

 




Un guide pour déjouer les cyber attaques | Denis JACOPINI

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Un guide pour aider les PME a déjouer les cyber attaques
Les très petites et les moyennes entreprises (TPE et PME) seraient la cible de 77% des cyber attaques perpétrées en France

Un guide pour déjouer les cyber attaques

Plus de trois quarts des intrusions malveillantes par Internet visent des petites et moyennes entreprises. Le risque augmente et le coût des dégâts aussi. 

 

 

L’Agence nationale de la sécurité des systèmes d’information (ANSSI), en partenariat avec la CGPME (Confédération générale des petites et moyennes entreprises), a publié en début d’année un « Guide des bonnes pratiques de l’informatique » (http://www.ssi.gouv.fr/guide/guide-des-bonnes-pratiques-de-linformatique).

Ce document de douze « recommandations » doit aider les petites entreprises à protéger leurs fichiers, déjouer les escroqueries financières, le sabotage de leurs sites de vente en ligne, surveiller leur image de marque sur les réseaux sociaux…

 

 

Comment se protéger des piratages ?

Premier conseil : le mot de passe. Le guide recommande d’en choisir un avec « 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire ».

Deuxième élément important : configurez vos logiciels pour que les mises à jour de sécurité s’installent automatiquement chaque fois que cela est possible. Sinon, téléchargez les correctifs de sécurité disponibles.

Troisième point crucial, « éviter le Wi-Fi dans le cadre de l’entreprise », préconise le guide. Si vous souhaitez quand même en profiter, le WEP est à bannir absolument puisqu’un chiffrement de ce type peut être cassé en quelques minutes seulement. Il faudra donc lui préférer du WPA/WPA2 avec une clé suffisamment longue de « plus de 20 caractères de types différents ».

Enfin, le guide donne quelques conseils lorsque votre machine a un « comportement étrange », laissant penser à un piratage : « déconnectez la machine du réseau, pour stopper l’attaque. En revanche, maintenez là sous tension et ne la redémarrez pas, pour ne pas perdre d’informations utiles pour l’analyse de l’attaque ». Ensuite, prévenez le responsable informatique ou un prestataire compétent si besoin.

 

 

Les PME, premières cibles des cyber attaques

Si chacun a en tête l’exemple récent de Ryanair, délesté de 4,5 millions d’euros par des hackers chinois, ou de la chaîne TV5 monde privée de diffusion, les attaques par Internet ne sont pas réservées aux seules grandes entreprises. Les très petites et les moyennes entreprises (TPE et PME) seraient la cible de 77% des cyber attaques perpétrées en France, selon le Syntec, le syndicat de l’ingénierie et des services informatiques.

 

La raison est connue : les PME, qui travaillent souvent pour des grands comptes, détiennent des informations capitales, mais insuffisamment sécurisées, faute de moyens.  Les hackers s’attaquent donc d’abord à ce « maillon faible ».

 

 

Des risques en hausse de 66%

Le 14 avril dernier, à la CCI de Bordeaux, lors d’une réunion d’information sur les « risques nouveaux et émergents » a été présentée une enquête réalisée en 2014 par Ipsos pour l’assureur Axa entreprises. Menée auprès de 500 dirigeants, elle a montré que, si les sociétés de 10 à 500 salariés placent l’environnement (pollution de l’air ou de l’eau) en tête de leurs risques, celui lié à Internet se situe immédiatement après.

 

Depuis 2009, le nombre d’incidents sur la toile de ce type augmente de 66% en moyenne par an, estime le cabinet d’audit PWC.  Il a atteint le nombre de 117 339 attaques dans le monde en 2014. Le coût de la « réparation » et de la mise en place d’une meilleure protection augmente année après année et varie de quelques dizaines de milliers d’euros à plusieurs millions d’euros en fonction de la taille de l’entreprise et des dégâts. Et, il faut compter un délai de 30 à 40 jours pour un retour total à la normale.

 

 

 


Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
formateur n°93 84 03041 84

 

 


Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous


 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.sudouest.fr/2015/05/07/un-guide-pour-aider-les-pme-a-dejouer-les-cyber-attaques-1914431-705.php

par Michel Monteil

 

 




Piratage de votre boite mail, quelles peuvent être les conséquences sur votre vie personnelle

Piratage de votre boite mail, quelles peuvent être les conséquences sur votre vie personnelle


Votre boite mail est souvent la clé qui permet d’accéder ou de vous inscrire aux services en ligne.Raison de plus pour la sécuriser au maximum ! 

Sécuriser sa boite email

Pour votre boite mail : un mot de passe solide

Vous devez utiliser un mot de passe propre et unique pour vous connecter à votre webmail et surtout ne pas l’utiliser pour un autre compte.

 

Pourquoi c’est important ?

Utiliser le même mot de passe pour votre compte de messagerie et votre compte de réseau social est une pratique risquée. Si votre fournisseur de réseau social est victime d’une fuite de données comprenant vos moyens d’authentification, une personne mal intentionnée pourrait les utiliser pour non seulement accéder à votre compte de réseau social mais aussi pour accéder à votre messagerie.

De plus, une fois l’accès à votre messagerie obtenu, il deviendra possible de voir la liste des messages d’inscriptions à vos comptes sur différents sites (si vous ne les avez pas supprimés de votre boîte). Il sera ainsi possible de connaître certains de vos identifiants de compte et d’utiliser la fonction d’oubli de mots de passe pour en prendre le contrôle.

 

 

Cette absence de sécurité ou l’utilisation d’un mot de passe faible vous expose à des risques :

  • Usurpation de votre boite mail pour piéger votre liste de contacts ;
  • Ajout d’une redirection de mail (souvent indétectable après la compromission d’une boite mail) : vos emails continuent de fuiter malgré tout changement de mot de passe ultérieur…
  • Connexion du pirate à vos sites et applications tierces ;
  • Utilisation de vos coordonnées bancaires pour payer ;
  • Usurpation d’identité grâce aux données collectées dans votre boite mail ;
  • Demande de rançon suite à des données compromettantes retrouvées dans votre boite mail ;

 

 

[CONSEIL] – En parallèle d’un bon mot de passe :

  • Il est déconseillé d’utiliser sa boite mail en tant qu’espace de stockage, notamment pour les données qui peuvent vous paraitre sensibles et notamment, les bulletin de paie, les justificatifs d’identité envoyés qui peuvent notamment contenir votre adresse postale personnelle, ou les mots de passe échangés en clair. Attention également aux photos qui permettent de vous ré-identifier sur des sites de réseaux sociaux et donnent la possibilité à une personne malveillante de se créer une fausse identité.
  • Il convient de supprimer les emails reçus, envoyés ou enregistrés en tant que brouillon qui paraissent avoir une importance particulière ou de chiffrer les documents que vous mettez en pièce jointe.
  • Enfin pour protéger votre identité, il est recommandé d’utiliser une boite mail sous pseudonyme pour l’inscription à des services que vous jugez intrusifs, ou particulièrement sensibles (site de jeux concours, site de rencontre …).

 

L’initiative

haveibeenpwened est un site conçu par Troy Int, informaticien indépendant. Il recense tous les mails compromis à l’occasion de fuite de données massive. L’utilisateur n’a qu’à entrer son email pour savoir s’il figure dans une base de données piratée et si ses mots de passes sont potentiellement entre les mains de personnes malveillantes.


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article




5 conseils cyber pour vous protéger en vacances

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Cyber sécurité : 5 conseils pour protéger toute la famille en vacances - Femme Actuelle

5 conseils cyber pour vous protéger en vacances


Les attaques sur internet ne prennent pas de vacances, il faut être vigilant toute l’année. Protégez vos ordinateurs, installez un anti-virus et suivez nos conseils.

L’été bat son plein et chaque année les Français s’exposent sans le savoir à de nombreux cyber risques pendant les vacances. Norton by Symantec souligne l’importance de rester vigilant lorsque vous êtes connecté à internet et propose ci-dessous une liste de 6 conseils, utiles pour toute la famille :

 

En voyage, sur quel réseau WiFi se connecter en toute sécurité ?
Sans solution sécurité et VPN ou sur un accès Wi-Fi ouvert, un internaute/mobinaute, ainsi que ses enfants, peuvent être confrontés à certains risques…

 

Enfants sur internet : rester vigilant même pendant les vacances
De nombreuses plateformes d’hébergement de contenu vidéos notamment permettent de configurer un contrôle parental, également, ne pas hésiter à prendre connaissance du contenu consulté par les plus jeunes.

 

Modifier régulièrement ses mots de passe
Il est d’importance critique d’avoir un mot de passe complexe ou d’utiliser un gestionnaire de mot de passe pour éviter d’être victime d’une usurpation d’identité. Le bon réflexe est donc de créer des mots de passe forts et uniques qui ne peuvent être facilement devinés, voire, d’utiliser un gestionnaire de mots de passe tel que Identity Safe de Norton…

 

Les logiciels et applications doivent toujours être à jour
Plusieurs menaces peuvent être contrées par de simples mises à jour de vos applications et appareils…

 

Effectuer une sauvegarde physique et dans le cloud de ses données.
Que ce soit le contenu qui reste à la maison ou le contenu apporté en vacances, le vol d’un appareil s’accompagne du vol des données qu’il contient – il est donc vital d’être en mesure de les récupérer rapidement.

 

Source : Cyber sécurité : 5 conseils pour protéger toute la famille en vacances – Femme Actuelle

 

 

Autres conseils de Denis JACOPINI :

Et comme toujours, attention aux arnaques !

Apprenez à détecter de faux e-mails, de faux sites internet ou des sites internet piégés. Votre meilleur ennemi c’est vous, celui qui est imprudent, qui clique sans vérifier face à un e-mail qui vous fait peur ou qui vous annonce un cadeau…

 


CYBERARNAQUES - S'informer pour mieux se protéger (Le Livre)
Denis JACOPINI Marie Nocenti (Plon) ISBN : 2259264220

Livre CyberArnaques - Denis JACOPINI Marie Nocenti (Plon) ISBN : 2259264220

Denis Jacopini, expert judiciaire en informatique diplômé et spécialisé en cybercriminalité, raconte, décrypte et donne des parades contre toutes les cyberarnaques dont chacun peut être victime.

Il est témoin depuis plus de 20 ans d'attaques de sites Internet, de piratages d'ordinateurs, de dépouillements de comptes bancaires et d'autres arnaques toujours plus sournoisement élaborées.

Parce qu'il s'est rendu compte qu'à sa modeste échelle il ne pourrait sensibiliser tout le monde au travers des formations et des conférences qu'il anime en France et à l'étranger, il a imaginé cet ouvrage afin d'alerter tous ceux qui se posent la question : Et si ça m'arrivait un jour ?

Plutôt que de présenter une longue liste d'arnaques Internet recensées depuis plusieurs années, Denis Jacopini, avec la collaboration de Marie Nocenti, auteur du roman Le sourire d'un ange, a souhaité vous faire partager la vie de victimes d'arnaques Internet en se basant sur des faits réels, présentés sous forme de nouvelles suivies de recommandations pour s'en prémunir. Et si un jour vous rencontrez des circonstances similaires, vous aurez le réflexe de vous méfier sans risquer de vivre la fin tragique de ces histoires et d'en subir les conséquences parfois dramatiques.

Pour éviter de faire entrer le loup dans votre bergerie, il est essentiel de le connaître pour le reconnaître !

Commandez sur Fnac.fr

 


https://www.youtube.com/watch?v=lDw3kI7ra2s

06/04/2018 A l'occasion de la sortie de son livre "CYBERARNAQUES : S'informer pour mieux se protéger",Denis JACOPINI répond aux questions de Valérie BENHAÏM et ses 4 invités : 7 Millions de victimes de la Cybercriminalité en 2010 (Symantec) 13,8 Milions de victimes de la Cybercirminalité en 2016 (Symantec) 19,3 Millions de victimes de la Cybercriminalité en 2017 (Symantec) Plus ça va moins ça va ? Peut-on acheter sur Internet sans risque ? Si le site Internet est à l'étranger, il ne faut pas y aller ? Comment éviter de se faire arnaquer ? Comment on fait pour renifler une arnaque sur Internet ? Comment avoir un coup d'avance sur les pirates informatiques ? Quelle est l'arnaque qui revient le plus souvent ? Denis JACOPINI vous répond sur C8 avec Valérie BENHAÏM et ses invités.

Commandez sur Fnac.fr


https://youtu.be/usg12zkRD9I?list=UUoHqj_HKcbzRuvIPdu3FktA

12/04/2018 Denis JACOPINI est invité sur Europe 1 à l'occasion de la sortie du livre "CYBERARNAQUES S'informer pour mieux se protéger"
Comment se protéger des arnaques Internet

Commandez sur amazon.fr

 


Je me présente : Denis JACOPINI. Je suis l'auteur de ce livre coécrit avec Marie Nocenti, romancière.
Pour ma part, je suis Expert de justice en informatique spécialisé en cybercriminalité depuis 1996 et en protection des Données à Caractère Personnel.
J'anime des formations et des conférences sur le RGPD et la Cybercriminalité pour aider les organismes à se protéger des pirates informatiques et à se mettre en conformité avec la réglementation autour du numérique (dont le RGPD : Règlement Général sur la Protection des Données).

Commandez sur Fnac.fr

 




HTTP/2 : une évolution importante du protocole du web, notamment pour les mobiles | Denis JACOPINI

: une évolution importante du protocole du web, notamment pour les mobiles

Le protocole HTTP a 20 ans. On a récemment parlé de son évolution HTTP/2 avec la possibilité de chiffrer systématiquement les échanges sur le web, mais cela va bien au-delà et pourrait constituer une évolution importante, notamment pour les mobiles.

 

Le protocole HTTP, support historique du web avec le langage HTML, a été inventé par Tim Berners-Lee il y a maintenant 20 ans. On a récemment parlé de son évolution HTTP/2, notamment dans le contexte d’un possible chiffrement systématique des échanges entre navigateurs et serveurs, après les affaires d’écoutes illégales des communications Internet révélées par Edward Snowden. Pour autant, cette amélioration à venir de HTTP va bien au-delà et pourrait constituer une étape de progrès importante pour le web, notamment depuis les mobiles.

Vous avez peut-être lu récemment des articles sur HTTP/2, dans le contexte d’une volonté de sécurisation accrue des échanges de données sur le web. Mais comme l’explique , responsable du groupe de travail HTTP/2 à l’IETF – – les attentes de la communauté du web vont au-delà, et les évolutions prévues sont plus larges.

 


Mark Notthingham, responsable du groupe de travail HTTP/2 à l’IETF

 

 

Car cela fait maintenant 20 ans que le protocole HTTP – – a été inventé, et depuis les versions HTTP/1.0 en mai 1996 et en janvier 1997 il n’a plus évolué. Dans le même temps l’Internet s’est diffusé massivement dans le grand public et en entreprise, et en moins de deux décennies on est passé de connexions téléphoniques à 56 kb/s à des dizaines de Mb/s sur des liaisons DSL ou fibre optique, et la part du trafic Internet réalisés par des smartphones, tablettes et terminaux mobiles de toute sortes a explosé.

Afin de pallier les limitations de HTTP, Google a mené ses propres travaux, dévoilant en 2012. Cette proposition visait essentiellement à réduire le temps de chargement des pages web en priorisant les contenus nécessaires à leur affichage et en multiplexant leur transfert au sein d’une seule connexion TCP. Ces travaux ont inspiré l’IETF qui a repris cette approche dans un cadre plus global d’amélioration des performances du web.

Faisons donc le point sur les axes d’évolution du protocole HTTP, en listant les principaux apports techniques de HTTP/2.

 

 

Conserver les mêmes API
La compatibilité ascendante est primordiale, compte tenu de nombre colossal de services qui ont été développées au-dessus du protocole HTTP : on ne saurait exiger des développeurs de logiciels utilisant HTTP qu’ils retouchent leur code, parfois embarqué dans des systèmes matériels, pour l’adapter. Les mêmes méthodes (GET, PUT, POST etc), les mêmes entêtes et les mêmes statuts et code d’erreur (le fameux 404 et tous les autres) seront conservés inchangés, et il suffira de remplacer une bibliothèque de fonctions HTTP/1.1 par une bibliothèque HTTP/2 pour que le logiciel qui l’utilise soit compatible.

 

 

Rendre les requêtes moins coûteuses
HTTP est un protocole coûteux en ressources réseaux, notamment parce que les entêtes de messages sont verbeux. C’est pénalisant pour l’échange de courtes informations, et ça l’est encore plus pour les mobiles : même si les débits ont été fortement accrus avec la 3G puis la 4G, tout ce qui contribue à optimiser la bande passante des réseaux mobiles et bénéfique. Pour cela, http va utiliser un mécanisme de « multiplexage » qui permettra l’échange de plusieurs messages simultanément, et non plus séquentiellement. De surcroît, les entêtes seront systématiquement compressés.

 

 

Optimiser les connexions TCP avec les serveurs
Alors qu’aujourd’hui HTTP permet d’ouvrir plusieurs connexions TCP parallèles et simultanées vers un serveur, ce qui peut créer de la congestion sur le réseau, HTTP/2 permettra de regrouper les échanges avec un même serveur au sein d’une seule et même connexion TCP. Là encore, ce sera bénéfique pour les réseaux mobiles.

 

 

Pré-remplir le cache des navigateurs
Un mécanisme de « cache pushing » permettra à un serveur d’envoyer des informations à un client pour un usage ultérieur. Ainsi il ne sera plus nécessaire à un navigateur web de demander d’abord le contenu d’une page HTML, puis les feuilles de style CSS référencées par la page : le serveur pourra envoyer le HTML et les CSS d’un seul coup, évitant un dialogue inutile entre le navigateur et le serveur. Le logiciel client pourra évidemment débrayer ce mécanisme si nécessaire.

 

 

Interrompre une connexion TCP sans la fermer
Avec HTTP, si un logiciel client envoie une requête et décide de ne plus attendre la réponse, la seule façon de préserve la bande passante est de fermer la connexion TCP. Il n’y a aucune façon de la récupérer si cela s’avère nécessaire plus tard.

 

Avec HTTP/2, un logiciel client pourra maintenir active une connexion TCP même s’il abandonne un échange en cours à la suite d’une action de l’utilisateur, ce qui rendra moins coûteuse en ressources réseaux une éventuelle reprise du dialogue ultérieurement.

 

 

Faciliter le chiffrement des échanges
C’est là le point qui a le plus attiré l’attention sur HTTP/2, et qui n’a peut-être pas été bien compris : la nouvelle version du protocole ne rendra pas obligatoire l’utilisation du chiffrement , sur lequel repose le chiffrement entre sites web et navigateurs. En revanche, ses performances accrues réduiront l’impact négatif du chiffrement sur la rapidité de réponse d’un site telle que la perçoivent les utilisateurs.

 

En rendant le chiffrement des communications plus performant, HTTP/2 pourra contribuer à rendre le web plus sûr pour ses utilisateurs, tant vis-à-vis de la cybercriminalité que d’États qui, on le voit aujourd’hui, n’hésitent pas à espionner massivement les internautes de toutes nationalités. Pour autant, au regard des moyens technologiques colossaux dont s’est dotée la NSA, il ne faudrait pas croire en une sécurité absolue d’un tel chiffrement…

 

 

Pour autant, HTTP/2 n’est pas magique
On l’a vu, HTTP/2 apporte de nombreuses évolutions positives. Mais il n’aura pas d’impact magique sur les sites web : afin d’en tirer le meilleur, les évolutions des navigateurs web, et aussi des logiciels serveurs web, devront être faites en prenant en compte différents scénarios d’usage. En effet, s’ils sont mal utilisés, des mécanismes tels que le pré-remplissage du cache du navigateur ou le maintien de sessions TCP inactives pourraient aller à l’encontre du but recherché : l’amélioration globale de la performance du web.

 

 

Et ensuite, HTTP/3 ?
HTTP existe depuis 20 ans : sa simplicité et sa versatilité ont permis l’incroyable développement du web que l’on connaît aujourd’hui. Le développement de HTTP/2 a été très compliqué, notamment parce qu’un grand nombre de matériels ont été conçus dans l’idée que HTTP ne changerait jamais. Une fois la transition de HTTP à HTTP/2 lancée, les choses seront différentes, et de futures nouvelles versions pourront être introduites plus facilement.

 

Parmi des évolutions déjà envisagées, certaines n’ont pas été intégrées dans HTTP/2 pour ne pas retarder encore sa sortie. Sont notamment prévus l’envoi au client de certificats TLS et d’entrées DNS. Des problèmes non encore résolus par HTTP/2 pourront l’être dans une version future, mais cela devrait être marginal, car la communauté est confiante dans HTTP/2, au vu des premiers tests de déploiement déjà réalisés. L’objectif de tous est maintenant qu’il sorte rapidement et commence à être déployé.

 

Les résultats des travaux de l’IETF sur les spécifications techniques de HTTP/2 sont publics. Le draft 10 (http://tools.ietf.org/html/draft-ietf-httpbis-http2-10) peut être consulté et va être discuté durant une période de 6 mois prenant fin en août 2014.

 

 

 

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

 

Source : http://www.zdnet.fr/actualites/http-2-une-evolution-importante-du-protocole-du-web-notamment-pour-les-mobiles-39798198.htm

par Pierre Col

 




Recommandations de la CNIL sur les mot de passe (Délibération n° 2017-012 du 19 janvier 2017)

Le mot de passe reste le moyen d’authentification le plus répandu. Alors que les compromissions de bases entières de mots de passe se multiplient, la CNIL a adopté une nouvelle recommandation sur les mots de passe. Elle fixe les mesures minimales à mettre en œuvre.

Authentification par mot de passe : les mesures de sécurité élémentaires | CNIL

Recommandations de la CNIL sur les mot de passe (Délibération n° 2017-012 du 19 janvier 2017)


Le mot de passe reste le moyen d’authentification le plus répandu. Alors que les compromissions de bases entières de mots de passe se multiplient, la CNIL a adopté une nouvelle recommandation sur les mots de passe. Elle fixe les mesures minimales à mettre en œuvre.

 

Basée sur la gestion d’un secret, l’authentification par identifiant et mot de passe est un moyen simple et peu coûteux à déployer pour contrôler un accès.

Toutefois, cette méthode d’authentification présente un niveau de sécurité faible.

Ces dernières années, de nombreuses attaques informatiques ont entrainé la compromission de bases de données entières de comptes et des mots de passe associés. Ces fuites de données ont notamment contribué à enrichir les connaissances des attaquants en matière de mots de passe. Les risques de compromission des comptes associés à cette méthode d’authentification se sont fortement accrus et imposent une vigilance particulière.

 

Les risques liés à la gestion des mots de passe sont multiples et reposent notamment sur :

  1. la simplicité du mot de passe ;
  2. l’écoute sur le réseau afin de collecter les mots de passe transmis ;
  3. la conservation en clair du mot de passe ;
  4. la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).

 

 

Les principaux risques identifiés au cours du cycle de vie d’un mot de passe

Mots de passe : les risques identifiés au cours de son cycle de vie

Il n’existe pas de définition universelle d’un bon mot de passe, mais sa complexité et sa longueur permettent de diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite en force brute). On considère que la longueur du mot de passe suffit pour résister aux attaques courantes à partir de 12 caractères. Lorsque la taille du mot de passe diminue, des mesures compensatoires doivent être prévues.

phrase2passe

PHRASE2PASSE : UN OUTIL POUR ACCOMPAGNER LES UTILISATEURS

Pour aider les utilisateurs à choisir un mot de passe robuste et un moyen mnémotechnique, la CNIL a développé un outil pour générer un mot de passe à partir d’une phrase.
Le code de cet outil est disponible sous la forme d’une extension logicielle en javascript, afin que vous puissiez l’intégrer dans vos applications.

>Télécharger l’extension

Les exigences de la CNIL

  1. L’authentification par mot de passe : longueur, complexité, mesures complémentaires

Les exigences minimales de la CNIL en termes de taille et de complexité du mot de passe varient en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification : ainsi, si une authentification est basée exclusivement sur un mot de passe, cela implique a minima l’utilisation d’un mot de passe complexe d’au moins 12 caractères composé de majuscules de minuscules, de chiffres et de caractères spéciaux.  Des mesures complémentaires à la saisie d’un mot de passe (restrictions, d’accès, collecte d’autres donnée, support détenu en propre par l’utilisateur) permettent de réduire la longueur et la complexité du mot de passe, car ces mesures permettent d’assurer un niveau de sécurité équivalent au mot de passe seul.

Le tableau ci-dessous fait état des 4 cas d’authentification par mot de passe identifiés par la CNIL dans sa recommandation 

Exemple d’utilisation Longueur minimum Composition du mot de passe Mesures complémentaires
Mot de passe seul FORUM, BLOG 12
  • majuscules
  • minuscules
  • chiffres
  • caractères spéciaux
Conseiller l’utilisateur sur un bon mot de passe
Avec restriction d’accès
(le plus répandu)
SITES DE E-COMMERCE, COMPTE D’ENTREPRISE, WEBMAIL 8 Au moins 3 des 4 types suivants :

  • majuscules
  • minuscules
  • chiffres
  • caractères spéciaux
Blocage des tentatives multiples :
(exemples)

  • Temporisation d’accès au compte après plusieurs échecs
  • « Capcha »
  • Verrouillage du compte après 10 échecs
Avec information
complémentaire
BANQUE EN LIGNE 5 Chiffres et/ou lettres Blocage des tentatives multiples

+

  • Information complémentaire communiquée en propre d’une taille d’au moins 7 caractères (ex : identifiant dédié au service)

ou

  • Identification du terminal de l’usager (ex : adresse IP, adresse MAC…)
Avec matériel détenu
par la personne
CARTE BANCAIRE OU TÉLÉPHONE 4 Chiffres Matériel détenu en propre par la personne (ex : carte SIM, carte bancaire, certificat)

+

Blocage au bout de 3 tentatives échouées

 

Dans tous les cas,
le mot de passe ne doit pas être communiqué à l’utilisateur en clair par courrier électronique.

Ces exigences sont des règles minimales. Le contrôle d’accès peut devoir reposer sur des règles plus robustes selon les risques auxquels le système est exposé.

 

 

  1. Sécurisation de l’authentification

Quelles que soient les mesures mises en place, la fonction d’authentification doit être sûre :

  • elle utilise un algorithme public réputé fort ;
  • sa mise en œuvre logicielle est exempte de vulnérabilité connue.

Lorsque l’authentification n’a pas lieu en local, l’identité du serveur doit être contrôlée au moyen d’un certificat d’authentification de serveur et le canal de communication entre le serveur authentifié et le client doit être chiffré à l’aide d’une fonction de chiffrement sûre. La sécurité des clés privées doit être assurée.

 

 

  1. La conservation des mots de passe

Le mot de passe ne doit jamais être stocké en clair. Il doit être transformé au moyen d’une fonction cryptographique non-réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.

Le sel ou la clé doit être généré au moyen d’un générateur de nombre pseudo-aléatoires cryptographiquement sûr (il utilise un algorithme public réputé fort et sa mise en œuvre logicielle est exempte de vulnérabilité connue).  Il ne doit pas être stocké dans le même espace de stockage que l’élément de vérification du mot de passe.

 

 

  1. Le renouvellement du mot de passe

Renouvellement périodique

Le responsable de traitement veille à imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé.

La personne concernée doit être en mesure de changer elle-même son mot de passe. Dans ce cas, les règles afférentes à la création de mots de passe s’appliquent.

Renouvellement sur demande

À la demande de la personne concernée, par exemple en cas d’oubli, le responsable de traitement met en œuvre une procédure de renouvellement du mot de passe.

Si ce renouvellement nécessite l’intervention d’un administrateur, un mot de passe temporaire est attribué à la personne concernée, le changement du mot de passe attribué temporairement lui est imposé lors de sa première connexion.

Si ce renouvellement intervient de manière automatique : le mot de passe ne doit pas être transmis en clair. L’utilisateur doit être redirigé vers une interface dont la validité ne doit pas excéder 24 heures,  lui permettant de saisir un nouveau mot de passe, et ne permettre qu’un seul renouvellement.

Si le renouvellement fait intervenir un ou plusieurs éléments supplémentaires (numéro de téléphone, adresse postale…) :

  • ces éléments ne doivent pas être conservés dans le même espace de stockage que l’élément de vérification du mot de passe ; sinon, ils doivent être conservés sous forme chiffrée à l’aide d’un algorithme public réputé fort, et la sécurité de la clé de chiffrement doit être assurée ;
  • afin de prévenir les tentatives d’usurpation s’appuyant sur le changement de ces éléments, la personne doit être immédiatement informée de leur changement.

Que faire en cas de risque de compromission du mot de passe ?

Si un responsable de traitement de données détecte une violation de données en rapport avec le mot de passe d’une personne,

  • Le responsable de traitement doit notifier la personne concernée, dans un délai n’excédant pas 72 heures ;
  • Il doit imposer à l’utilisateur concerné le changement de son mot de passe lors de sa prochaine connexion ;
  • Il doit lui recommander de veiller à changer ses mots de passe d’autres services dans l’hypothèse où il aurait utilisé le même mot de passe pour ceux-ci.
Faites-nous par de vos remarques

Les professionnels sont invités à remonter à la CNIL les difficultés de mise en œuvre que pourrait poser l’application de cette recommandation. Cette recommandation pourra faire l’objet de révisions et de mises à jour.

 


[lire la suite]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article




Hotspot Shield le logiciel VPN pour Windows MacOs IOS Android Apple Samsung pour accéder de manière sécurisée à un Wifi public | Denis JACOPINI

le pour Windows MacOs IOS Android Apple Samsung pour accéder de manière sécurisée à un Wifi public

En période de vacances ou lors de déplacements professionnels, nous sommes de plus en plus nombreux à utiliser les bornes wifi des lieux publics, gares, hôtels, restaurants…  En juillet 2015, nous vous avions publié un article « Est-il risqué de se connecter au wifi public ? » pour vous informer des principaux risques à partager ces accès sans fil à internet avec d’autres. Cette fois, nous allons parler des solutions pour surfer sécurisé en utilisant les réseaux Wifi publics.RAPPEL DU PRINCIPAL RISQUEUn pirate peut se connecter tout aussi facilement que vous sur un réseau Wifi Public et espionner les données qui y transitent.

Il peut ainsi, en fonction des données qu’il récupère, accéder à toutes les informations qui sortent et qui entrent de votre ordinateur (le protocole tcp/ip n’étant pas protégé par défaut).

 

 

LA SOLUTION ?

Utiliser une connexion Wifi qui sera cryptée au moyen d’un logiciel VPN (ce ctyptage n’a aucun rapport avec les clés Wifi) .

La connexion Wifi ainsi créée étant crypté, toutes les informations qui véhiculeront (identifiants, adresses email, mots de passe, numéros de cartes bancaires…) seront illisibles pour tous les pirates qui seront connectés sur le mêle point d’accès wifi.

 

Vous pouvez certes partager la connexion 3G ou 4G de votre smartphone, mais l’utilisation d’un logiciel VPN est recommandé.

Un logiciel « VPN » (Virtual Private Network) est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais elle est du coup sécurisée.

 

Nous utilisons régulièrement un logiciel VPN . C’est un logiciel qui coûte  moins de 25 euros et qui vous rendra les connections Wifi publiques sécurisées.

HotSpot Shield existe pour Windows pour protéger par un logiciel VPN les connexions Wifi des ordinateurs assemblés, Acer, Asus, IBM, Dell ;

HotSpot Shield existe aussi pour MacOs X Lion pour protéger par un logiciel VPN les connexions Wifi des ordinateurs Apple ;

HotSpot Shield existe aussi pour Android pour protéger par un logiciel VPN les connexions Wifi des smartphones Samsung, HTC, Archos, LG, Acer, Wiko, Sony, Asus, Alcatel, ZTE… ;

Enfin, HotSpot Shield existe aussi pour IOs pour protéger par un logiciel VPN les connexions Wifi des smartphones Apple.

 

Téléchargez et testez gratuitement HotSpot Shield

 

 

 


 

Réagissez à cet article