niklos
Modérateur
Staff MoneyVox
Hello,
Suite aux nombreux piratage dernièrement, on constate que nous (oui je m'inclus dans le lot) n'utilisons pas tous les moyens à notre disposition pour nous protéger.
Je vais donc essayer de centraliser ici les différentes astuces que l'on a pu voir un peu partout. Je vais surement en oublier. N'hésitez pas à me corriger ou à ajouter des points.
1/ Le bon sens...
Ne donner pas votre identité à n'importe qui... Contrôler que le site sur lequel vous êtes est bien celui qu'il prétend être. Eviter de cliquer sur un lien reçu par SMS ou par Email. Il est préférable de se rendre directement sur le site ou l'appli.
1 doute = 1 contrôle plus poussé
2/ Utiliser différents mots de passe pour les sites.
Certains dirons que ce n'est pas simple et c'est vrai. La solution est le gestionnaire de mot de passe. A titre personnel, j'aime beaucoup "KeePass". Logiciel gratuit, open source et largement validé par de nombreuses entreprises à travers le monde qui le proposent à leurs employés. De plus, vous en avez des versions Android (j'utilise KPass), iOS, MacOS, Linux etc...
Cet outil vous permet donc de stocker de manière sécurisée, nom d'utilisateur, mot de passe, adresse des sites web mais aussi de générer des mots de passe aléatoire complexe (vous pouvez gérer la complexité) ainsi que mettre des dates de validité de mot de passe.
C'est son gros avantage, un site = un mot de passe unique. Il y a une fuite, vous n'avez qu'un mot de passe dans la nature et vouspouvez devez le changer.
Attention à sauvegarder votre base de mot de passe régulièrement à diverses endroits. Si vous la perdez... Ca peut devenir compliqué.
Vous pouvez aussi utiliser des clés d'accès qui ne peuvent etre prises.
3/ Le MFA
Quand cela est possible, comme sur MoneyVox, je vous suggère d'activer le MFA, Authentification Multifacteurs (ou Multi Factors Authentication). C'est une couche de sécurité supplémentaire qui vous demande de rentrer un mot de passe (souvent une suite de quelques chiffres) généré aléatoirement par un logiciel.
A chaque fois que vous utiliserez un nouveau navigateur, vous devrez rentrer le code MFA généré par votre application. (en général, lors de l'activation, un site vous donne un QR code qu'il faut scanner avec l'application qui vous génère une "ligne" avec le "token" valable quelques secondes (ci dessous : Google Authenticator, mais il existe aussi Microsoft Authenticator et probablement beaucoup d'autres) :
4/ Avoir plusieurs emails. Voir même utiliser des emails jetables quand c'est possible (comme Yopmail par exemple)
5/ Ne donner que le minimum d'informations nécessaires. Inutile de donner votre numéro de téléphone si on n'exige que l'adresse, nom et prénom par exemple.
6/ Ne faites pas confiance aux appels ou email d'inconnus... Ca peut paraitre simple et idiot... Mais ils sont de plus en plus persuasif... Pour les appels d'inconnus, il est possible d'utiliser des applications de blocage de numéros ou de préfixes de numéros.
(Les préfixes souvent reconnus comme étant des spams :
On peut souvent faire la même chose avec ses emails en bloquant tous les mails venant d'un domaine (*@spam.com par exemple)
7/ Filigraner les documents que vous donnez
On peut le faire ici : [lien réservé abonné]
Ce n'est cependant pas parfait.
Il y en a surement d'autres chose que l'on peut mettre en place et j'éditerai au fur et à mesure si nécessaire. Mais c'est déjà pas mal l'instant. J'insiste tout particulièrement sur le gestionnaire de mot de passe et le MFA.
Suite aux nombreux piratage dernièrement, on constate que nous (oui je m'inclus dans le lot) n'utilisons pas tous les moyens à notre disposition pour nous protéger.
Je vais donc essayer de centraliser ici les différentes astuces que l'on a pu voir un peu partout. Je vais surement en oublier. N'hésitez pas à me corriger ou à ajouter des points.
1/ Le bon sens...
Ne donner pas votre identité à n'importe qui... Contrôler que le site sur lequel vous êtes est bien celui qu'il prétend être. Eviter de cliquer sur un lien reçu par SMS ou par Email. Il est préférable de se rendre directement sur le site ou l'appli.
1 doute = 1 contrôle plus poussé
2/ Utiliser différents mots de passe pour les sites.
Certains dirons que ce n'est pas simple et c'est vrai. La solution est le gestionnaire de mot de passe. A titre personnel, j'aime beaucoup "KeePass". Logiciel gratuit, open source et largement validé par de nombreuses entreprises à travers le monde qui le proposent à leurs employés. De plus, vous en avez des versions Android (j'utilise KPass), iOS, MacOS, Linux etc...
Cet outil vous permet donc de stocker de manière sécurisée, nom d'utilisateur, mot de passe, adresse des sites web mais aussi de générer des mots de passe aléatoire complexe (vous pouvez gérer la complexité) ainsi que mettre des dates de validité de mot de passe.
C'est son gros avantage, un site = un mot de passe unique. Il y a une fuite, vous n'avez qu'un mot de passe dans la nature et vous
Attention à sauvegarder votre base de mot de passe régulièrement à diverses endroits. Si vous la perdez... Ca peut devenir compliqué.
Vous pouvez aussi utiliser des clés d'accès qui ne peuvent etre prises.
3/ Le MFA
Quand cela est possible, comme sur MoneyVox, je vous suggère d'activer le MFA, Authentification Multifacteurs (ou Multi Factors Authentication). C'est une couche de sécurité supplémentaire qui vous demande de rentrer un mot de passe (souvent une suite de quelques chiffres) généré aléatoirement par un logiciel.
A chaque fois que vous utiliserez un nouveau navigateur, vous devrez rentrer le code MFA généré par votre application. (en général, lors de l'activation, un site vous donne un QR code qu'il faut scanner avec l'application qui vous génère une "ligne" avec le "token" valable quelques secondes (ci dessous : Google Authenticator, mais il existe aussi Microsoft Authenticator et probablement beaucoup d'autres) :
4/ Avoir plusieurs emails. Voir même utiliser des emails jetables quand c'est possible (comme Yopmail par exemple)
5/ Ne donner que le minimum d'informations nécessaires. Inutile de donner votre numéro de téléphone si on n'exige que l'adresse, nom et prénom par exemple.
6/ Ne faites pas confiance aux appels ou email d'inconnus... Ca peut paraitre simple et idiot... Mais ils sont de plus en plus persuasif... Pour les appels d'inconnus, il est possible d'utiliser des applications de blocage de numéros ou de préfixes de numéros.
(Les préfixes souvent reconnus comme étant des spams :
- 0162
- 0163
- 0270
- 0271
- 0377
- 0378
- 0424
- 0425
- 0568
- 0569
- 0948
- 0949
On peut souvent faire la même chose avec ses emails en bloquant tous les mails venant d'un domaine (*@spam.com par exemple)
7/ Filigraner les documents que vous donnez
On peut le faire ici : [lien réservé abonné]
Ce n'est cependant pas parfait.
Il y en a surement d'autres chose que l'on peut mettre en place et j'éditerai au fur et à mesure si nécessaire. Mais c'est déjà pas mal l'instant. J'insiste tout particulièrement sur le gestionnaire de mot de passe et le MFA.
Dernière modification:
. Mais dans l'idée, ça permet de rediriger des flux entre le VPN et un porte (une "entrée") spécifique de l'ordinateur. Sans cette fonctionnalité, le débit peut être lent, voir la connexion impossible pour ce flux particulier.
