Oui, vos données les intéressent!

Le dernier numéro, celui de la rentrée de septembre, de la newsletter Intelligence Stratégique abordait la thématique de la cybersécurité et en particulier la sécurité des terminaux mobiles. Si, à la lecture de ce dernier, vous pensiez que vous n’étiez pas vraiment concerné(e) par les menaces de vols d’informations qui planent sur vos smartphones et tablettes – «Je ne vois vraiment pas lesquelles de mes données présentent un intérêt pour un pirate» a-t-on régulièrement entendu – d’ingénieux hackers seront parvenus à vous donner tort la semaine dernière.

Quoi de mieux, à quelques jours d’entamer un mois d’octobre placé, depuis quelques années, sous le signe de la cybersécurité par les autorités européennes, que d’exploiter une faille du premier réseau social mondial, Facebook? Une estimation de 50 millions de comptes touchés, 90 millions de comptes déconnectés de force pour endiguer la menace, la plus grosse de l’histoire du bébé de Mark Zuckerberg né en 2004. Et peut-être un gros coup dur financier – imaginez une amende qui pourrait s’élever à 1,5 milliard d’euros! – pour le réseau, déjà pas très bien vu en matière de RGPD…

On vous entend déjà… «En quoi mon profil Facebook présente un intérêt pour un hacker avec mes 4 photos et mes 12 likes?» L’enjeu de cette attaque est tout autre, a priori… Les pirates auraient en réalité jeté leur dévolu sur les tokens qui vous permettent de vous connecter à d’autres applications et/ou sites via Facebook… En gros, le grand F de Menlo Park ne serait que la porte d’entrée vers quelque chose de bien plus tentaculaire! Aux dernières nouvelles, Facebook se veut toutefois rassurant: aucune application tierce n’aurait été touchée. Accordons-leur le bénéfice du doute…

Dès lors que l’actualité s’y prêtait, nous ne pouvions que taper, en ce mois d’octobre encore, sur le clou de la cybersécurité. Comme en septembre, les experts de Suricate Concept, qui ont animé notre événement estival du 28 août dernier, partagent donc avec vous quelques outils et pratiques bien utiles dans ce numéro de la newsletter I.S. .

Vos données ont de la valeur, peut-être plus que vous ne l’imaginez. Comme pour les objets de valeur, prenez-en soin!

Protection :

Désactiver (complètement) la géolocalisation Google
Pour une série d’applications, développées par Google notamment, il vous est régulièrement demandé d’autoriser la géolocalisation. Si tant est que l’historique des positions de votre compte Google est activé, ces dernières sont stockées par Google qui paraîtrait presque vous suivre à la trace…

Sachez que même si votre géolocalisation est désactivée, vous laissez des traces! Vous avez surfé sur le net via le wifi du KFC où vous êtes allé mangé cet été dans le Sud de la France? Google a peut-être enregistré cette info, alors que le GPS de votre smartphone était désactivé…

Vous souhaitez que Google ferme complètement les yeux sur vos déplacements? Rendez-vous sur google.com/maps/timeline et effectuez-y les réglages adéquats…

Il faut parfois mentir pour se protéger…
Ci-avant, nous vous parlions de l’autorisation de géolocalisation que vous demandent parfois certains applications. Mais votre emplacement n’est parfois pas la seule autorisation nécessaire au «bon» fonctionnement d’une application: appareil photo, micro, liste de contacts, etc.

Avouons que, parfois, tous ces accès ne semblent pas vraiment se justifier… Des développeurs du même avis ont ainsi pensé et créé l’application XPrivacy. Cette dernière se charge de simuler de fausses données afin que les informations que vous jugez sensibles ne tombent pas entre les mains d’esprits malveillants. Aussi astucieux qu’utile pour pouvoir profiter de toutes les fonctionnalités de vos applications en toute quiétude…

Cookies: quelles informations donnez-vous (à votre insu)?
Connaissez-vous les cookies? Non pas ces délicieux biscuits à la nougatine et aux pépites de chocolat, mais ces petits fichiers qui permettent un léger tracking de vos activités par les sites web que vous visitez? Les publicités ciblées que vous voyez régulièrement apparaître sur les réseaux sociaux, par exemple, leur sont dues.

Depuis quelques mois, vous avez dû remarquer que la plupart de sites que vous visitez pour la première fois mentionnent qu’ils collectent des cookies. Un ricochet du RGPD sur lequel l’UE se penchera d’ailleurs très prochainement…

Mais tout ça ne vous donne pas forcément beaucoup d’indications sur le nombre et la nature des cookies de ces dits-sites. Attacat Cookie Audit Tool est une extension pour le navigateur Google Chrome qui corrige cette petite injustice… Une fois le plugin installé, lancer le «recording» et surfez… Lorsque votre navigation est terminée, stoppez cet enregistrement et analysez les résultats pour connaître avec un haut degré de précision les informations que vous aurez laissées derrière vous…

Votre site web présente-t-il des failles?
L’outil que nous allons vous présenter ici a beau s’appeler «Google Hacking», il n’est en rien un moyen de pirater le géant américain. Il s’agit en réalité d’une espèce de générateur de requête sur le moteur de recherche le plus utilisé au monde.

Vous le savez peut-être, une recherche sur Google peut être assez simple (tarte aux myrtilles – plus d’un million de résultats) ou plus complexe (« tarte aux myrtilles » filetype:pdf site:be – 100 résultats, uniquement des fichiers PDF stockés sur des sites au nom de domaine en .be) pour en affiner les résultats.

L’outil «Google Hacking» permet de faciliter ces requêtes (bien) plus complexes en les générant automatiquement, d’un simple clic, afin que vous puissiez en savoir plus sur votre site web (dont vous aurez quand même tapé l’URL au préalable dans la barre de recherche de l’outil, n’en demandez pas trop non plus!) : fichiers critiques exposés, erreurs SQL, backups, etc. Si ça ne vous parle pas, touchez-en peut-être un mot à la personne en charge de votre site web!