Collège de la petite Camargue

Items concernés par la formation

─ Item 2.5 « J’applique des règles de prudence contre les risques de malveillance (virus, spam…) » ;
─ Item 2.6 « Je sécurise mes données (gestion des mots de passe, fermeture de session, sauvegarde) ».

Item 2.5 « J’applique des règles de prudence contre les risques de malveillance […] » : les virus

Qu’est-ce qu’un virus ?

Au sens propre, c’est un programme dont le but est de se dupliquer pour infester d’autres ordinateurs et qui n’existe qu’en contaminant un programme hôte.

Au sens élargi, c’est un programme malveillant (malware) s’exécutant à l’insu de l’utilisateur. Voici une liste non exhaustive de tels programmes :
─ les virus eux-mêmes ;
─ les logiciels espions (spywares) : ils collectent des données personnelles pour les envoyer à un tiers (et renvoient souvent de la publicité ciblée) ;
─ les vers (worms) : ce sont des logiciels se reproduisant sans programme hôte et se répandant par les réseaux (surtout le courrier électronique) en exploitant des failles logicielles ;
─ les chevaux de Troie (Trojan horses, « troyens ») : ils s’installent en même temps qu’un autre programme apparemment anodin. Lorsqu’ils donnent un contrôle plus ou moins grand de l’ordinateur infesté à un tiers, on parle de « porte dérobée » (backdoor).

Quelques risques liés aux virus

─ Consommation de mémoire et ralentissement, instabilité, blocage ;
─ corruption et/ou destruction de données ;
─ vol de données et/ou transmission d’informations personnelles en direction de services de publicité ciblée ;
─ prise de contrôle de l’ordinateur pour en faire un « zombie » (avantages pour le pirate : cela rend la détermination de l’origine de l’attaque plus difficile et utilise les ressources d’autrui). Quelques buts possibles aux attaques de ce type :

• attaques de serveurs,
• distribution du spam (50 à 80% du spam de 2005 proviendrait de zombies ¹),
• hébergement de contenu illicite.

Mais surtout, la principale nuisance est la perte de temps engendrée par les virus (recherche, désinfection, souvent réinstallation).

Pourquoi est-on contaminé ?

Les utilisateurs sont peu renseignés et peu disposés à lire de la documentation sur la sécurité informatique. La 1^re cause de contamination leur est imputable.

L’écrasante majorité des virus n’existe que pour MS Windows, système d’exploitation majoritaire mais très peu sécurisé par défaut. Si vous utilisez Macintosh, Unix, GNU/Linux, BSD ou autres, vous n’êtes presque pas concerné.

La mise en réseau des ordinateurs se fait au moyen de protocoles de communication (TCP/IP, par exemple) qui n’ont pas été prévus pour être sécurisés. La vulgarisation de l’informatique et la mise en réseaux des ordinateurs se sont faites sans souci réel de formation et ont accru exponentiellement les risques.

Comment est-on contaminé ?

On peut être contaminé par plusieurs pratiques courantes plus ou moins anodines :
─ lecture de courriels infestés par un vers exploitant des failles du logiciel client (Outlook, Internet Explorer) ;
─ installation de programmes tiers ;
─ consultation de fichiers tiers exploitant des failles du logiciel client (fichiers de la suite MS Office, dans une moindre mesure OpenOffice) ;
─ insertion de médias amovibles contaminés (disquettes, clefs USB, CD-ROM, etc.) ;
─ navigation sur des sites web exploitant des failles du logiciel client (Outlook, Internet Explorer, dans une moindre mesure, Firefox).

Comment se prémunir ?

Administration

La règle d’or, pour ceux qui utilisent Windows ², est de ne jamais utiliser l’ordinateur sous le compte de l’administrateur, ce qui évite la majorité des problèmes : seuls les fichiers de l’utilisateur peuvent alors être contaminés et non le système d’exploitation lui-même. Il faut pour cela transformer son compte d’administrateur en un compte limité et créer un nouveau compte d’administrateur, à n’utiliser que si nécessaire. Il convient aussi de donner un mot de passe fort à l’administrateur (10 caractères au moins, aucun mot existant dans aucune langue, pas de données personnelles comme une date, le nom d’un proche, d’un animal). Les comptes limités devraient aussi avoir un mot de passe fort.

D’autre part, garder à jour l’ordinateur (pour corriger les failles de sécurité) est une nécessité. Les systèmes d’exploitation modernes permettent cela de manière transparente.

Il faut aussi protéger la connexion à Internet par un pare-feu (firewall) en entrée et en sortie (celui proposé par Windows ne suffit donc pas car il ne traite que les données entrantes). Un pare-feu filtre les connexions à l’ordinateur depuis Internet et celles sortant de l’ordinateur vers Internet, évitant ainsi l’accès à des fonctionnalités dont l’activation pourrait engendrer des failles de sécurité. Utiliser un pare-feu permet aussi de se protéger des logiciels espions (qui ne peuvent ainsi pas envoyer de données à l’insu de l’utilisateur) et des chevaux de Troie.

On doit aussi désactiver le lancement automatique et fait à l’insu des utilisateurs des macros ³ pour les fichiers de bureautique est une pratique évitant les contaminations dues à ces fichiers : à l’ouverture d’un fichier contenant une macro, le logiciel le signalera. Si l’on a aucune raison d’avoir une macro dans un tel document, l’utilisateur pourra en refuser l’activation.

Enfin, il est important de n’utiliser pour se connecter à Internet que des logiciels sûrs, sécurisés et mis à jours (donc ni Outlook Express ni Internet Explorer, qui utilisent des technologies plus ou moins dangereuses, comme ActiveX, ou dont les réglages par défaut ne sont pas toujours sécurisés et qui sont surtout les logiciels les plus attaqués) : Firefox, Thunderbird ou Opera sont des navigateurs Internet un peu plus sûrs.

On peut aussi privilégier les logiciels libres, dont le code-source est accessible donc vérifiable, au contraire de celui des logiciels fermés. On trouve des listes de logiciels libres sur Framasoft. À titre indicatif, Firefox et la suite bureautique OpenOffice — utilisés par défaut au collège — sont des logiciels libres.

Fichiers tiers / Internet

Pour se protéger des données tierces, c’est-à-dire introduites dans le système (par téléchargement ou depuis un support externe comme une clef USB, un CD-ROM, etc.), on peut suivre les conseils suivants :
─ se rappeler que tout fichier exécutable (un programme, par exemple) est potentiellement dangereux, surtout s’il est lancé depuis un compte d’administrateur. Sur Windows, les fichiers exécutables ont le plus souvent les extensions *.exe ou *.bat. D’autre fichiers peuvent être malveillants, comme ceux qui modifient la base de registres ; ils ont l’extension *.reg. Ne jamais lancer de tels fichiers sans être sûr de leur provenance et de ce qu’ils sont censés faire ;
─ afficher les extensions de noms de fichiers, contrairement à ce que fait souvent Windows. En effet, il est possible de récupérer un fichier doté d’une fausse extension et se faisant passer pour ce qu’il n’est pas. Ainsi, un fichier image.jpg pourrait être image.jpg                                                .exe ⁴, c’est-à-dire non pas une image mais un exécutable. Masquer les extensions de fichiers est une pratique dangereuse ;
─ vérifier les fichiers tiers avec un anti-virus mis à jour et utiliser un anti-virus résidant en mémoire qui vérifie en temps réel les activités de l’ordinateur si l’on n’est pas sûr de soi. N’utiliser qu’un seul anti-virus à la fois ;
─ appliquer des règles de prudence élémentaire :

• ne pas ouvrir des pièces-jointes de correspondants inconnus ou connus si l’envoi n’est pas prévu (le correspondant pourrait être contaminé et un virus présent dans son système pourrait avoir envoyé le message et/ou la pièce-jointe à son insu),
• désactiver l’affichage HTML (« enrichi ») des courriels et celui des images distantes,
• exiger d’un correspondant qui envoie une pièce-jointe dans un format binaire non justifié qu’il renvoie les données dans un format plus sûr (éviter les *.doc, *.xls, *.ppt, refuser tout *.exe, *.bat) mais privilégier le texte brut, le *.rtf ou le *.pdf pour des données qui n’ont pas besoin d’être éditées,
• éviter l’utilisation de logiciels de téléchargement par échange de fichiers (paire-à-paire ou peer-to-peer) pour récupérer des données illégales (musique, films, logiciels protégés) si l’on n’est pas à l’aise en sécurité : certains logiciels, mal configurés, peuvent ouvrir des failles de sécurité et les fichiers téléchargés pourraient être contaminés. L’utilisation de ces logiciels nécessite quoi qu’il en soit d’avoir un système déjà un minimum sécurisé,
• éviter la consultation de sites douteux si l’on n’est à l’aise en sécurité informatique : de tels sites peuvent contaminer l’ordinateur par simple consultation en exploitant des failles de logiciels peu sûrs, d’autant plus si l’on est connecté en tant qu’administrateur.

Concrètement, pour le B2i

Item 2.5 « J’applique des règles de prudence contre les risques de malveillance […] » : le spam

Quelques données 5

Quoi ?

Le spam (« pourriel » au Canada, terme refusé par l’Académie française) est un courrier non sollicité envoyé en masse. Le contenu est le plus souvent de la publicité, des arnaques, des chaînes, des canulars (hoaxes).

Combien ?

En 2007, le spam aurait représenté plus de 90% des courriers reçus, soient 90 milliards de spams par jour. La perte de temps et productivité liée à la lutte contre le spam aurait généré un coût de 198 milliards de dollars aux États-Unis d’Amérique en 2007. Environ 200 spammeurs seulement enverraient 80% du spam.

Le coût pour les spammeurs est négligeable car il est presque entièrement à la charge du destinataire.

Qui ?

Les Principaux pays spammeurs sont les États-Unis d’Amérique, la Chine, la Russie et la Corée du Nord.

De quoi ?

Les principaux produits ou services vantés concernent du matériel et des logiciels, des placements financiers, de la pornographie, des arnaques, des médicaments (Viagra, Cialis), des casinos en ligne… Dans de nombreux cas, les produits sont illégaux (les produits sont issus du piratage, la vente et/ou la méthode de vente sont interdites en France).

À qui ?

Toute adresse est susceptible d’être spammée (dont celles des mineurs). La majorité des spams est cependant expédiée à des adresses invalides (d’où une grande charge de travail pour les FAI).

Pourquoi ?

Parce que cela ne coûte rien aux spammeurs et qu’un très faible pourcentage de ventes sur des millions de cibles garantissent aux entreprises un assez grand nombre de ventes. Le système est donc rentable.

Comment ?

Pour spammer des adresses électroniques, il faut en récupérer, ce qui est assez simple. Les spammeurs peuvent ainsi :
─ utiliser des logiciels « robots » collecteurs d’adresses trouvées sur les pages web et les forums ;
─ acheter des fichiers d’adresses ;
─ rendre l’accès à un service tributaire d’une adresse valide (pour recevoir un code d’accès, par exemple) ;
─ se servir de programmes malveillants (vers, virus) qui divulguent à un tiers le contenu d’un carnet d’adresses, etc.

D’autre part, les spammeurs adressant leur courriels à l’aveuglette, une adresse dont on est sûr qu’elle existe et dont on sait que la boîte aux lettres est consultée prend plus de valeur : les spammeurs tentent donc souvent de vérifier que leurs adresses sont correctes. Pour ce faire, il se servent des réponses aux messages de spam (demande de désinscription, par exemple) ou d’images contenues dans les courriels en HTML.

Enfin, le spam est le plus souvent envoyé par des « zombies », des relais ouverts (serveurs de messagerie électronique mal protégés), des serveurs mandataires ouverts (serveurs intermédiaires mal protégés), des messageries gratuites (Hotmail, par exemple).

Aspects légaux

Une directive européenne du 24 octobre 1995 précise que toute collecte, utilisation ou cession à un tiers d’adresse électronique à des fins commerciales nécessite que les intéressés en soient prévenus et qu’ils aient un droit d’opposition.

Une autre directive européenne, du 12 juillet 2002, signale que toute prospection par courrier électronique nécessite l’accord préalable de l’intéressé.

La loi française du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) transpose ces directives dans le code des postes et des communications électroniques et le code de la consommation.

La Commission nationale de l’informatique et des libertés (CNIL), qui veille au respect de la informatique et libertés du 6 janvier 1978 exige la présence d’un formulaire d’accord non pré-coché et d’un moyen de désabonnement pour l’expédition de courriels en masse : ainsi, on ne devrait recevoir des messages publicitaires qu’avec un accord explicite de l’intéressé. De plus, tout fichier d’adresses doit être connu des mêmes intéressés, qui doivent y avoir accès, ce fichier doit être déclaré auprès de la CNIL.

Les sanctions prévues sont les suivantes en cas de pratique frauduleuse :
─ code pénal : cinq ans d’emprisonnement, 300 000 € d’amende ;
─ code des postes et communications électroniques : 750 € par message non sollicité.

Quels sont les risques ?

─ Perte de temps, de productivité (en raison du tri nécessaire de sa boîte de réception) ;
─ blocage éventuel de boîtes aux lettres en cas d’engorgement ;
─ faux positifs ⁶ bloqués par les mesures anti-spam ;
─ contenus pornographiques (texte, images) non sollicités ;
─ contamination par des virus.
─ hameçonnage (phishing), c’est-à-dire des messages imitant ceux d’une banque, d’un service de paiement (PayPal) ou de vente/achat (eBay) demandant une identification sur un site falsifié. La communication à des sites contrefaits de données d’identification peut mener au vol de l’identifiant et du mot de passe.

Comment s’en protéger ?

Une adresse qui reçoit du spam est définitivement spammée mais on peut éviter de rendre la situation pire encore en suivant certaines mesures :
─ ne jamais répondre à un spam et ne pas en suivre les liens : cela confirme que l’adresse est valide et lui donne plus de valeur ; elle serait encore plus spammée. D’autre part, l’adresse de l’expéditeur est souvent falsifiée ;
─ utiliser plusieurs adresses, dont au moins une privée et une autre « spammable » ;
─ ne pas laisser son adresse en clair dans des forums, des pages web. Au pire, la modifier (par exemple : adresse À domaine.tld, adresse@NO_SPAM.domaine.tld.invalid au lieu d’ adresse@domaine.tld). Cela rend cependant la communication plus difficile (le destinateur doit pouvoir retrouver l’adresse correcte) ;
─ ne pas afficher par défaut les courriels en HTML (possibilité de code malveillant contenu dans le code) et surtout pas les images contenues dans un spam (possibilité de confirmation que l’adresse est valide). De même, ne pas suivre les liens d’un spam en HTML (ils peuvent dissimuler la vraie adresse du site à consulter, comme dans cet exemple : http://education.gouv.fr) ;
─ utiliser une messagerie dotée de fonctions anti-spam (au niveau serveur ou client). De nombreux fournisseurs d’accès à Internet proposent une option de filtre anti-spam payante alors qu’il existe des services de messagerie gratuits l’incluant directement : Gmail, Yahoo ! Mail). Parmi les logiciels clients dotés de fonctions anti-spam, on peut noter Thunderbid, Mail (fourni avec Mac OS X), Opera Mail, MS Outlook (mais pas Outlook Express)).

Contre l’hameçonnage, il ne faut ne jamais se rendre sur un site de banque, de paiement ou d’achat/vente en ligne à partir d’un courriel non sollicité mais passer par l’adresse enregistrée dans les favoris (le lien pourrait conduire à une copie falsifiée du site). De même, il est prudent d’utiliser un navigateur doté de fonctions anti-hameçonnage comme Firefox, Opera ou Internet Explorer (dans ses versions récentes ; l’utilisation de ce navigateur reste peu recommandée).

Illustrations : fonctionnalités anti-spam

Images bloquées dans un courriel

HTML bloqué dans un courriel

Illustration : fonctionnalité anti-phishing

Fonctionnalités anti-hameçonnage de Firefox

Concrètement, pour le B2i

Virus et spam : bonnes pratiques avec le courrier électronique

Le respect de certaines « bonnes pratiques » permet d’éviter d’être soi-même un vecteur de transmission des spams ou de désinformation :
─ ne pas envoyer de courriels en HTML (« texte enrichi ») : si l’ordinateur est contaminé, le courriel pourrait l’être. Il pourrait aussi être mal affiché voire bloqué par un logiciel client (de nombreux logiciels bloquent par défaut l’affichage des courriels en HTML, n’en montrant que le texte brut) ;
─ ne pas divulguer les adresses de ses correspondants : il faut envoyer les courriels destinés à plusieurs correspondants en « CCi » ⁷ et non en « CC » ⁸. En effet, en envoyant un courriel destiné à plusieurs personnes en CC, on leur transmet par la même occasion les adresses des autres correspondants. Un système infesté pourrait récupérer ces adresses pour les spammer. En s’envoyant à soi-même un courriel destiné à plusieurs personnes dont les adresses sont mises en CCi, on ne divulguera que sa propre adresse, les autres restant « invisibles » ;
─ ne pas envoyer des données binaires (fichiers de traitement de texte, de tableau, images) inutilement : du texte simple s’envoie en texte brut, en RTF ou en PDF si l’on veut une mise en page. Le texte brut, le RTF et le PDF ne peuvent pas être contaminés ;
─ ne pas relayer des informations non vérifiées, qui sont souvent des canulars (hoaxes) pouvant transmettre de la désinformation préjudiciables à la sécurité quand elles traitent d’un « nouveau virus très dangereux », par exemple. Passer par Hoaxbusters ou Hoaxkiller pour vérifier si des informations dont on demande la divulgation ne sont pas des canulars ;
─ si l’on utilise une messagerie avec filtre anti-spam, vérifier régulièrement que la boîte à spams n’a pas reçu des faux positifs ;
─ se renseigner sur la nétiquette concernant la rédaction de courriers électroniques ; un courriel conforme aux règles de présentation (dans une réponse, on coupe les parties citées inutiles, on répond après la citation, etc.) et de typographie (ne pas abuser des «  ! » et des «  ? », des mots en capitales) est moins susceptible d’être classé comme un spam par les filtres anti-spam.

Illustrations

Mauvaises pratiques	Bonnes pratiques
Exemple de courriel mal rédigé	Exemple de courriel bien rédigé
─ Adresses des destinataires divulguées (champs « À » ou « CC ») ─ Réponse avant le texte cité ─ Texte cité repris intégralement et mal édité (les marques de citation, « > » sont mal imbriquées) ─ Pas de sujet ─ Courriel en HTML	─ Adresses des destinataires masquées (champ BCC), courrier expédié à soi-même ─ Réponse après le texte cité ─ Texte cité coupé et respectant l’ordre des répliques. ─ Sujet ─ Courriel en texte brut

Item 2.6 « Je sécurise mes données (gestion des mots de passe, fermeture de session, sauvegarde) »

Cet item est assez simple et ne nécessite d’appliquer que quelques pratiques de bon sens.

Concrètement, pour le B2i

Pour en savoir plus

─ Site de la CNIL pour les aspects juridiques concernant la protection de la vie privée face à l’informatique
─ Site gouvernemental (ministère de la défense) sur la sécurité (explique, entre autres, comment configurer son ordinateur afin de suivre les recommandations de cette formation)
─ Site gouvernemental (direction du développement des médias) donnant des conseils liés à l’authentification, la protection et la sécurisation de ses données
─ Wikipédia : articles « Virus », « Phishing » et « Spam »
─ Détection des canulars (hoaxes) : Hoaxkiller et Hoaxbuster
─ Protéger son ordinateur : conseils et astuces
─ Informations générales sur la sécurité informatique et anti-virus gratuit en ligne
─ À propos de la nétiquette : rédiger correctement un courrier électronique et erreurs à ne pas commettre