Les Chiens de garde – #92

***Maintenant disponible sur Spotify! (en plus d’Itunes)***

La 92e émission des Chiens de garde, le podcast de Crypto.Québec sur la sécurité, la vie privée et la surveillance, est en ligne. L’épisode a été enregistré le mercredi 17 novembre 2021. Catherine Dupont-Gagnon est à l’animation, et Mélanie Comtois et Luc Lefebvre sont au micro.

Durée : 1:06:49 m (128 kbps 44100 Hz)
Continuer la lecture de Les Chiens de garde – #92

Bye, bye, CloudFlare

Originalement, lors de la conception et du déploiement initial de l’infrastructure de Crypto.Québec, nous avions décidé d’utiliser les services de CloudFlare (CF), une compagnie californienne spécialisée dans la livraison de contenu et la mitigation d’attaques de déni de service distribuées. CloudFlare agit comme proxy inverse, permettant une gestion de cache rapide, une certaine répartition de charge (« load balancing ») en cas de surcharge et/ou d’attaque DDoS ainsi qu’une intégration conviviale de leur autorité de certification (CAs) avec notre propre certificat de sécurité SSL.

Or, ce sont ces mêmes avantages qui, dans le meilleur des cas, rendent l’utilisation des services de CloudFlare problématique ou, pour les plus paranoïaques d’entre-nous, une bombe à retardement orwellienne, dans le pire des cas. Nous en sommes venus à la conclusion que les désavantages pesaient plus lourd dans la balance que les avantages de l’utilisation des services de CloudFlare.

Bref, on a tiré la plug sur CF. Quelques explications s’imposent:

Continuer la lecture de Bye, bye, CloudFlare

Votre iPhone: quoi faire pour le protéger et le retrouver

Les conseils suivants s’appliquent uniquement à la plate-forme iOS d’Apple (iPhone, iPad et iPod Touch).

Mettez les chances de votre côté: Activez Touch ID et Localiser mon iPhone

Le guide suivant offre quelques conseils pratiques pour vous aider à facilement protéger votre iPhone contre les intrusions et le retrouver si vous le perdez. Les conseils de sécurité que nous offrons sont de bonnes pratiques, mais ne peuvent en rien garantir la sécurité absolue de vos appareils. On ne le répètera jamais assez: la sécurité informatique absolue n’existe pas, mais il y a tout de même plusieurs petits gestes simples et faciles qui peuvent mettre les chances de votre côté.

Prévention: Gardez votre appareil verrouillé en tout temps

Activez Touch ID, le lecteur d’empreinte digitales

touch id

Disponible sur les plus récents appareils (iPhone 5s, 6 et 6s), la fonction Touch ID remplace le code d’accès et permet d’utiliser votre empreinte digitale pour accéder au téléphone. Touch ID est plus rapide, facile et sécuritaire que l’utilisation d’un code d’accès standard à 4 chiffres. Touch ID frappe à notre avis un coup de circuit dans la bataille perpétuelle entre sécurité et convivialité. Le peu de fardeau qu’elle impose vaut amplement les bénéfices de sécurité qu’elle procure. Elle peut également remplacer l’entrée du mot de passe dans les applications telles l’App Store, iTunes et Apple Pay. (Pour plus d’information sur le fonctionnement de Touch ID)

Il est à prime à bord naturel d’avoir des préoccupations au niveau de la sécurité et du traitement de ses empreintes digitales, mais Apple a su mettre en place une approche adéquate et responsable vis-à-vis celles-ci: “Aucune image de votre empreinte n’est conservée par la fonctionnalité Touch ID. Celle-ci en stocke uniquement la représentation mathématique, et personne ne peut déterminer votre empreinte à partir de cette dernière.” Plus de détails ici. Les informations relatives à l’authentification (empreintes, mots de passe) ne quittent jamais l’appareil et sont traitées exclusivement par un dispositif spécialement conçu à cet effet au coeur du iPhone appelé “enclave sécurisée”. C’est cette enclave sécurisée, introduite par Apple en 2013, qui assure l’encryption, l’intégrité et la sécurité de ces données les plus sensibles.

L’expert en sécurité informatique Bruce Schneier, auteur de plusieurs livres et sommité internationale en la matière, se positionne comme suit vis-à-vis Touch ID: “Apple is trying to balance security with convenience. This is a cell phone, not a ICBM launcher or even a bank account withdrawal device. Apple is offering an option to replace a four-digit PIN — something that a lot of iPhone users don’t even bother with — with a fingerprint. Despite its drawbacks, I think it’s a good trade-off for a lot of people.” Nous abondons dans le même sens.

Si vous préférez ne pas utiliser Touch ID, activez tout de même au minimum le mot de passe ou le code d’accès. Nous déconseillons fortement
de désactiver toutes les fonctions de verrouillage de vos appareils.

Désactivez le code simple à 4 chiffres et utilisez plutôt un mot de passe

(À partir d’iOS 9, le code simple passera à 6 chiffres plutôt que 4.)

Le code simple à 4 chiffres peut être remplacé par un mot de passe traditionnel (aussi long que souhaité et avec le clavier de lettres standard). Le principal désavantage du code à 4 chiffres est qu’il n’offre pas assez de combinaisons pour être suffisamment sécuritaire. Désactivez plutôt le code simple et utilisez un mot de passe. Celui-ci devrait être aussi long que possible, unique et impossible à deviner. Vous serez ainsi en bien meilleure sécurité qu’avec le code à 4 chiffres.

Activez Localiser mon iPhone

Dans vos préférences iCloud, activez la fonction Localiser mon iPhone.

Apple la décrit comme suit: “La fonction Localiser mon iPhone vous permet de localiser, verrouiller ou effacer votre iPhone, et empêche son effacement ou sa réactivation sans votre mot de passe.”

Une fois activé, Localiser mon iPhone vous sera complètement transparent, ne vous imposera jamais quelconque fardeau mais vous sera de la plus grande aide si jamais vous perdez votre téléphone. Ne ne voyons aucune raison de ne pas l’activer.

Assurez-vous de connaître votre courriel et mot de passe iCloud

Cette étape peut paraitre comme une évidence, mais peu causer plus de problèmes qu’on le pense. Prenez note de quelle adresse courriel vous utilisez pour iCloud et assurez-vous de pouvoir vous souvenir de votre mot de passe. Vous en aurez besoin si jamais vous voulez retrouver votre appareil.

Activez la vérification en deux étapes

La vérification en deux étapes est une couche de sécurité additionnelle que de plus en plus de services web tels Facebook, Gmail et iCloud mettent en place. Il est plus sécuritaire de l’activer, mais elle impose par contre un certain fardeau non-négligeable lorsque l’on désire accéder à notre compte.
“La vérification en deux étapes est un moyen facultatif d’augmenter la sécurité de l’identifiant Apple que vous utilisez pour vous connecter à iCloud. Pour cela, le processus vous demande de valider votre identité en utilisant l’un de vos appareils, en plus de vous demander de saisir votre mot de passe.“
Pour en savoir plus.

iPhone perdu: Quoi faire pour le retrouver

icloud

  1. Dès que possible, dirigez-vous sur icloud.com avec l’aide d’un ordinateur ou d’un autre téléphone et connectez-vous à votre compte.
  2. Accédez à la fonction Localiser mon iPhone.
  3. Tous les appareils qui sont liés à votre compte iCloud devraient apparaitre à l’écran. Si votre appareil perdu est à ce moment connecté à Internet, sa position géographique apparaitra sur le plan. C’est votre occasion de le localiser et de le récupérer. S’il n’apparait pas, c’est soit que 1) il n’a plus de batterie ou 2) il ne peut accéder à aucun réseau (cellulaire ou wifi). Dès que ces deux conditions seront rétablies, il apparaitra.appareil
  4. Si vous constatez qu’il est perdu, qu’il se déplace, ou qu’il est clairement en possession de quelqu’un, activez le Mode Perdu. Une fois le Mode Perdu activé, quiconque veut accéder à votre appareil devra d’abord entrer votre mot de passe iCloud. Entrez un numéro de rappel et espérez que la personne qui voit le message vous contact à ce numéro. Ce sera une de ses seules options. À partir du moment où le Mode Perdu est activé, il y a très peu qu’une personne puisse faire avec votre téléphone. Sans votre mot de passe, elle ne peut pas l’utiliser ni tout effacer et repartir à neuf. La valeur de revente d’un iPhone dans cet état est alors essentiellement nulle. Il ne reste plus à la personne qu’à vous contacter pour vous le remettre.perdu1perdu2
  5. Si vous n’aviez pas de code de sécurité en place, que vous craignez pour la confidentialité de ce qu’il y a sur l’appareil et que vous le jugez nécessaire, vous pouvez également l’effacer à distance. Gardez par contre en tête que tout ce qui s’y trouve sera alors détruit et que les données ne pourront être récupérées par la suite. Cela ne devrait être fait qu’en dernier recours.

Appliquez, retenez et partagez

Nous vous conseillons fortement d’appliquer ces quelques trucs pratiques. Ils ne prennent que quelques secondes à mettre en place et vous permettront d’avoir l’esprit en paix quant à la confidentialité de ce qui réside sur votre téléphone et à sa sécurité lorsque vous le perdrez.

S’il y a une chose à retenir, c’est: activez Touch ID et Localiser mon iPhone. Faites-le sur votre téléphone et celui de vos amis. Ils vous remercieront.

Affaire Ashley Madison: Quoi retenir pour se protéger

Plus tôt cette semaine, la base de données du site de rencontre pour personnes mariées Ashley Madison faisait surface sur Internet. À l’intérieur se retrouvaient, entre autres, les noms, courriels et autres informations personnelles de millions de leurs clients. La fuite de ces données a eu l’effet d’une bombe et créera des émois dans bien des couples. Il s’agit d’une des fuites de données “grand public” les plus significatives de l’histoire.

Crypto-Québec y voit une belle occasion de souligner certaines bonnes pratiques à garder en tête pour protéger la vie privée sur Internet.

Continuer la lecture de Affaire Ashley Madison: Quoi retenir pour se protéger

Que penser de Minds.com?

Depuis le lancement de Minds.com et de sa couverture dans les médias comme alternative à Facebook et sa supposée-adoption par le groupe d’hacktivistes Anonymous, la question nous est revenue à quelques reprises: que pensez-vous de Minds et allez-vous recommander ce réseau comme alternative à Facebook? Voici donc les réponses de notre équipe:

Continuer la lecture de Que penser de Minds.com?