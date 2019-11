L’experte en cybersécurité et codirectrice des communications de Crypto.Québec Anne-Sophie Letellier nous donne quelques conseils pour naviguer sur Internet en sécurité.

Ce texte fait partie d'une série d’entrevues avec des experts en cybersécurité sur des enjeux qui vous préoccupent. Vous avez une question à leur poser? Laissez-nous un message dans les commentaires au bas de l'article.

Radio-Canada Techno : Commençons par la base. Quelles sont les bonnes pratiques à suivre lorsqu’on crée un réseau Internet sans fil?

Anne-Sophie Letellier : Premièrement, il faut changer le mot de passe pour avoir accès au wi-fi. Il y a un nom de réseau et un mot de passe par défaut, mais c’est toujours une bonne idée de changer ça pour quelque chose de plus solide.

C’est sûr qu’on évite de choisir le nom de ses enfants, le nom de ses animaux domestiques ou toute autre chose facile à deviner comme mot de passe. On veut que ce soit quelque chose dont on va se souvenir mais qui n’est pas trop simple, idéalement avec des majuscules et des chiffres.

Évidemment, si on décide d’écrire le mot de passe sur un bout de papier, il faut s’assurer qu’il n’est pas visible de l’extérieur de la maison, parce que ça peut permettre à quelqu’un d’accéder au réseau, de télécharger des choses et de ralentir la bande passante, ou même permettre à quelqu’un d’espionner la navigation.

Tout ça nous amène au deuxième truc, qui est de modifier le paramétrage de base du routeur. Pour y accéder, on doit entrer dans un navigateur l’adresse IP associée à l’adresse locale, qui sera souvent 102.168.1.1 ou quelque chose de semblable.

Je dirais que la configuration de base des trois quarts des réseaux auxquels je me connecte, que ce soit chez quelqu’un ou à un café, n’est pas changée. Ça veut dire que je peux entrer admin comme nom d’utilisateur et comme mot de passe – ce qui est la plupart du temps la configuration de base – et avoir accès au réseau.

À partir de là, je peux voir tout le trafic qui part du réseau. Ça peut laisser une porte ouverte à quelqu’un de mal intentionné pour soit bloquer Internet, soit regarder ce que vous faites.

D’ailleurs, c’est reconnu que des zombienets (botnets) mobilisent une partie de la bande passante des réseaux et des objets connectés mal sécurisés. C’est essentiellement une armée d’ordinateurs zombie qui peuvent servir à faire des attaques, et on ne se rendra jamais compte qu’on en fait partie.

C’est une bonne pratique pour notre sécurité personnelle et pour éviter que notre routeur soit mobilisé dans une cyberattaque de la Chine sur des serveurs canadiens, par exemple. Ça peut aussi ralentir notre réseau.

Privilégie-t-on un type de sécurité (WEP, WPA, etc.) par rapport à un autre sur un routeur?

Pour monsieur et madame Tout-le-Monde, je dirais qu’il n’est pas nécessaire de trop jouer là-dedans. Si ça fonctionne déjà bien, restons là-dedans. On veut juste s’assurer de pouvoir sécuriser son réseau avec un bon mot de passe.

Par contre, une autre bonne pratique serait de mettre plusieurs réseaux sur un même routeur. Par exemple, j’ai chez nous un réseau pour les invités et un réseau pour moi, ce qui permet de segmenter les choses.

Comment pouvons-nous nous assurer que les sites que nous visitons ne nous exposeront pas à des virus?

Il y a plusieurs choses qu’on peut faire pour améliorer sa posture, mais ce n’est pas du tout une panacée. Ça dépend de quoi on veut se protéger.

Je recommande beaucoup l’extension Privacy Badger, qui a été développée par l’Electronic Frontier Foundation aux États-Unis. C’est une extension qui prend deux minutes à installer et qui donne une bonne couche de sécurité dont je ne me passerais plus.

Privacy Badger analyse tous les témoins (cookies) qui sont sur les pages web. Un témoin est un petit morceau de texte programmé pour faire des rapports de crash. Quand une page ne fonctionnait pas, ça envoyait de l’information, mais de plus en plus, avec le web commercial, ces témoins-là peuvent être malveillants, et peuvent permettre à un tiers de nous pister depuis son site ou permettre à Facebook de faire du ciblage publicitaire qui peut paraître invasif.

L’extension analyse systématiquement tous les témoins et bloque automatiquement ceux qui nous suivent sur plus de trois sites. Il bloque également les scripts, donc s’il y a un script malveillant sur une page, il sera bloqué. C’est une belle petite protection à mettre.

Y a-t-il d’autres extensions qui seraient intéressantes à installer pour notre sécurité?

Quand on va sur un site web, le HTTPS dans la barre de navigation prouve l’authenticité de la page et permet aussi d’avoir une communication chiffrée entre l’ordinateur et la page web en question. C’est pour ça que tous les sites bancaires sont HTTPS. S’ils ne l’étaient pas, ce ne serait pas sécurisé et n’importe qui qui observe le réseau serait capable de trouver les NIP et les mots de passe de tout le monde.

C’est pour ça que je me sers personnellement de l’extension HTTPS Everywhere. Elle va forcer la connexion sécurisée dès qu’elle est disponible. De plus en plus de sites l’ont minimalement en option, donc ça permet d’ajouter une couche de sécurité partout.

On entend de plus en plus parler des VPN. Qu’est-ce qu’un VPN et comment nous aidera-t-il à naviguer de manière plus sécuritaire?

Si on veut naviguer sur Internet, on passe nécessairement à travers plein de réseaux pour se rendre sur un site web. Ça veut dire qu’à travers tout ça, il y a différentes personnes qui gèrent les différents réseaux par lesquels on passe. Ce faisant, ces personnes ont accès à certaines informations relatives à notre réseau qui permettent de nous identifier.

Un VPN, c’est un virtual private network, ou réseau privé virtuel, qui sert à créer un tuyau opaque à travers tous ces intervenants-là. Ça veut dire que tous les réseaux par lesquels on passe verront pas mal juste notre connexion à un VPN et tout le reste des informations resteront plus floues. C’est juste le VPN qui connaîtra notre réelle identité.

Ça sert vraiment à protéger son identité sur les sites web qu’on visite. Comme le VPN sait tout de même ce qu’on fait, par contre, on transfère sa confiance d’une variété d’intervenants à ce service de VPN-là. Si on utilise un VPN, c’est donc important de faire ses recherches comme il faut avant de l’utiliser pour s’assurer qu’on peut lui faire confiance.

Pour ceux et celles qui disent ne rien avoir à cacher, est-ce une bonne idée d’avoir un VPN?

Je recommande toujours d’en avoir un, surtout qu’il y a plein d’options relativement sécuritaires et gratuites.

J’utilise un VPN pour me donner une couche de confiance de plus. C’est encore plus nécessaire pour des wi-fi publics. Si je fais des transactions bancaires ou des transactions en ligne à un endroit auquel je ne fais pas confiance, je me sers d’un VPN. Ça ne veut pas dire que je vais me faire voler ou frauder si je ne mets pas de VPN, mais une personne mal intentionnée qui voit que je m’en sers ne se donnera pas la peine de me viser et passera à une autre personne dès qu’elle verra cette barrière-là.

Recommanderiez-vous un navigateur plus qu’un autre?

Ils ont tous des pour et des contre. Firefox, c’est bien, mais ça dépend vraiment des préférences du monde. Google Chrome est un peu plus invasif sur la vie privée. Sinon, des extensions comme Privacy Badger ne sont malheureusement pas disponibles sur Safari.

Avez-vous d’autres trucs pour éviter de se faire pirater sur Internet?

C’est super bête et super plate de dire ça, mais il ne faut jamais retarder les mises à jour quand on nous demande de les faire pour nos applications et nos navigateurs parce qu’il y a des vulnérabilités qui peuvent passer par là.

Sinon, quand on se connecte à des ordinateurs partagés, il faut s’assurer d’effacer l’historique de navigation et les témoins. Je ne compte plus le nombre de fois où je suis allée sur des ordinateurs partagés et que j’ai trouvé plein de mots de passe. Ça peut être un vecteur d’attaque. Sinon, on peut simplement utiliser le mode incognito, qui détruit tous les témoins dès qu’on ferme la fenêtre.

Les citations ont été éditées à des fins de clarté et de précision.