Comment les professionnels de la sécurité protègent les informations personnelles

2024 Auteur: Malcolm Clapton | [email protected]. Dernière modifié: 2023-12-17 03:55

Est-il judicieux de renoncer au Wi-Fi public et aux applications bancaires et d'obtenir une carte distincte pour les achats en ligne - l'avis d'un spécialiste de la sécurité de l'information.

La moitié de mes collègues en sécurité de l'information sont paranoïaques professionnels. Jusqu'en 2012, j'étais moi-même comme ça - j'étais entièrement crypté. Puis j'ai réalisé qu'une défense aussi terne interfère avec le travail et la vie.

En train de "sortir", j'ai développé de telles habitudes qui vous permettent de dormir paisiblement et en même temps de ne pas construire un mur chinois autour. Je vous dis quelles règles de sécurité je traite maintenant sans fanatisme, que je viole de temps en temps, et que je respecte avec tout le sérieux.

Paranoïa excessive

Ne pas utiliser le Wi-Fi public

J'utilise et n'ai aucune crainte à cet égard. Oui, il existe des menaces lors de l'utilisation de réseaux publics gratuits. Mais le risque est minimisé en suivant des règles de sécurité simples.

1. Assurez-vous que le hotspot appartient au café et non au pirate informatique. Le point légal demande un numéro de téléphone et envoie un SMS pour entrer.
2. Utilisez une connexion VPN pour accéder au réseau.
3. N'entrez pas de nom d'utilisateur/mot de passe sur des sites non vérifiés.

Récemment, le navigateur Google Chrome a même commencé à marquer les pages avec des connexions non sécurisées comme dangereuses. Malheureusement, les sites de phishing ont récemment adopté la pratique d'obtenir un certificat afin d'imiter les vrais.

Donc, si vous souhaitez vous connecter à un service en utilisant le Wi-Fi public, je vous conseillerais de vous assurer que le site est cent fois original. En règle générale, il suffit de faire passer son adresse via un service whois, par exemple Reg.ru. La dernière date d'enregistrement de domaine devrait vous alerter - les sites de phishing ne durent pas longtemps.

Ne vous connectez pas à vos comptes depuis les appareils d'autres personnes

J'y vais, mais j'ai mis en place une authentification en deux étapes pour les réseaux sociaux, la messagerie, les comptes personnels, le site du Service d'Etat. C'est aussi une méthode de protection imparfaite, donc Google, par exemple, a commencé à utiliser des jetons matériels pour vérifier l'identité de l'utilisateur. Mais pour l'instant, pour les "simples mortels", il suffit que votre compte demande un code à SMS ou à Google Authentificator (dans cette application, un nouveau code est généré toutes les minutes sur l'appareil lui-même).

Néanmoins, j'admets un petit élément de paranoïa: je vérifie régulièrement mon historique de navigation au cas où quelqu'un d'autre aurait saisi mon courrier. Et bien sûr, si je me connecte à mes comptes depuis les appareils d'autres personnes, à la fin du travail, je n'oublie pas de cliquer sur « Terminer toutes les sessions ».

N'installez pas d'applications bancaires

Il est plus sûr d'utiliser l'application bancaire mobile que la banque en ligne dans la version de bureau. Même s'il est conçu idéalement d'un point de vue sécurité, la question demeure avec les vulnérabilités du navigateur lui-même (et elles sont nombreuses), ainsi que les vulnérabilités du système d'exploitation. Des logiciels malveillants qui volent des données peuvent y être injectés directement. Par conséquent, même si par ailleurs la banque en ligne est parfaitement sûre, ces risques restent plus que réels.

Quant à l'application bancaire, sa sécurité est entièrement dans la conscience de la banque. Chacun d'eux subit une analyse approfondie de la sécurité du code, souvent d'éminents experts externes sont impliqués. La banque peut bloquer l'accès à l'application si vous avez changé de carte SIM ou même simplement déplacé celle-ci vers un autre emplacement de votre smartphone.

Certaines des applications les plus sécurisées ne démarrent même pas tant que les exigences de sécurité ne sont pas remplies, par exemple, le téléphone n'est pas protégé par mot de passe. Par conséquent, si vous, comme moi, n'êtes pas prêt à renoncer par principe aux paiements en ligne, il est préférable d'utiliser une application plutôt que la banque en ligne de bureau.

Bien entendu, cela ne signifie pas que les applications sont sécurisées à 100 %. Même les meilleurs présentent des vulnérabilités, des mises à jour régulières sont donc nécessaires. Si vous pensez que cela ne suffit pas, lisez les publications spécialisées (Xaker.ru, Anti-malware.ru, Securitylab.ru): elles y écriront si votre banque n'est pas assez sûre.

Utilisez une carte distincte pour les achats en ligne

Personnellement, je pense que c'est un problème inutile. J'avais un compte séparé pour, si nécessaire, transférer de l'argent de celui-ci vers la carte et payer les achats sur Internet. Mais j'ai aussi refusé cela - c'est au détriment du confort.

Il est plus rapide et moins cher d'obtenir une carte bancaire virtuelle. Lorsque vous effectuez des achats en ligne en l'utilisant, les données de la carte principale sur Internet ne s'allument pas. Si vous pensez que cela ne suffit pas pour une confiance totale, souscrivez une assurance. Ce service est offert par des banques de premier plan. En moyenne, pour un coût de 1 000 roubles par an, l'assurance carte couvrira les dommages de 100 000.

N'utilisez pas d'appareils intelligents

L'Internet des objets est énorme et il contient encore plus de menaces que l'Internet traditionnel. Les appareils intelligents regorgent d'énormes possibilités de piratage.

Au Royaume-Uni, des pirates ont piraté un réseau de casino local avec des données de clients VIP via un thermostat intelligent ! Si le casino s'est avéré si peu sûr, que dire d'une personne ordinaire. Mais j'utilise des appareils intelligents et je ne colle pas d'appareil photo dessus. Si le téléviseur et fusionner des informations sur moi - au diable. Ce sera certainement quelque chose d'inoffensif, car je stocke tout ce qui est essentiel sur un disque crypté et le garde sur une étagère - sans accès à Internet.

Éteignez votre téléphone à l'étranger en cas d'écoute électronique

A l'étranger, nous utilisons le plus souvent des messageries qui cryptent parfaitement les messages texte et audio. Si le trafic est intercepté, il ne contiendra que du « désordre » illisible.

Les opérateurs mobiles utilisent également le cryptage, mais le problème est qu'ils peuvent le désactiver à l'insu de l'abonné. Par exemple, à la demande des services spéciaux: ce fut le cas lors de l'attentat terroriste de Doubrovka afin que les services spéciaux puissent rapidement écouter les négociations des terroristes.

De plus, les négociations sont interceptées par des complexes spéciaux. Le prix pour eux commence à partir de 10 mille dollars. Ils ne sont pas disponibles à la vente, mais ils sont disponibles pour les services spéciaux. Donc, si la tâche est de vous écouter, ils vous écouteront. As tu peur? Ensuite, éteignez votre téléphone partout, et en Russie aussi.

C'est assez logique

Changer de mot de passe chaque semaine

En fait, une fois par mois suffit, à condition que les mots de passe soient longs, complexes et séparés pour chaque service. Il est préférable de suivre les conseils des banques, car elles modifient les exigences en matière de mots de passe à mesure que la puissance de calcul augmente. Désormais, un cryptoalgorithme faible est trié par force brute en un mois, d'où l'exigence de la fréquence des changements de mot de passe.

Cependant, je ferai une réservation. Paradoxalement, l'exigence de changer les mots de passe une fois par mois contient une menace: le cerveau humain est conçu de telle manière que, s'il est nécessaire de garder constamment de nouveaux codes à l'esprit, il commence à sortir. Comme l'ont découvert les cyber-experts, chaque nouveau mot de passe utilisateur dans cette situation devient plus faible que le précédent.

La solution consiste à utiliser des mots de passe complexes, à les changer une fois par mois, mais à utiliser une application spéciale pour le stockage. Et l'entrée de celui-ci doit être soigneusement protégée: dans mon cas, il s'agit d'un chiffre de 18 caractères. Oui, les applications ont le péché de contenir des vulnérabilités (voir le paragraphe sur les applications ci-dessous). Il faut choisir le meilleur et suivre l'actualité de sa fiabilité. Je ne vois pas encore de moyen plus sûr de garder des dizaines de mots de passe forts dans ma tête.

Ne pas utiliser les services cloud

L'histoire de l'indexation de Google Docs dans la recherche Yandex a montré à quel point les utilisateurs se méprennent sur la fiabilité de cette méthode de stockage d'informations. J'utilise personnellement les serveurs cloud de l'entreprise pour le partage car je sais à quel point ils sont sécurisés. Cela ne veut pas dire que les clouds publics gratuits sont un mal absolu. Juste avant de télécharger un document sur Google Drive, prenez la peine de le chiffrer et de mettre un mot de passe pour y accéder.

Mesures nécessaires

Ne laissez votre numéro de téléphone à personne et n'importe où

Mais ce n'est pas du tout une précaution supplémentaire. Connaissant le numéro de téléphone et le nom complet, un attaquant peut faire une copie d'une carte SIM pour environ 10 000 roubles. Récemment, un tel service peut être obtenu non seulement sur le darknet. Ou encore plus facile - de réenregistrer le numéro de téléphone de quelqu'un d'autre à l'aide d'une fausse procuration dans le bureau d'un opérateur de télécommunications. Ensuite, le numéro peut être utilisé pour accéder à tous les services de la victime nécessitant une authentification à deux facteurs.

C'est ainsi que les cybercriminels volent les comptes Instagram et Facebook (par exemple, pour leur envoyer du spam ou les utiliser pour l'ingénierie sociale), accéder aux applications bancaires et nettoyer les comptes. Récemment, les médias ont raconté comment en un jour 26 millions de roubles ont été volés à un homme d'affaires de Moscou en utilisant ce stratagème.

Méfiez-vous si votre carte SIM ne fonctionne plus sans raison apparente. Mieux vaut jouer la prudence et bloquer sa carte bancaire, ce sera une paranoïa justifiée. Après cela, contactez le bureau de l'opérateur pour savoir ce qui s'est passé.

J'ai deux cartes SIM. Les services et les applications bancaires sont liés à un seul numéro, que je ne partage avec personne. J'utilise une autre carte SIM pour la communication et les besoins ménagers. Je laisse ce numéro de téléphone pour m'inscrire à un webinaire ou obtenir une carte de réduction en magasin. Les deux cartes sont protégées par un code PIN - il s'agit d'une mesure de sécurité rudimentaire mais négligée.

Ne téléchargez pas tout sur votre téléphone

Une règle de fer. Il est impossible de savoir avec certitude comment le développeur de l'application va utiliser et protéger les données des utilisateurs. Mais quand on sait comment les créateurs d'applications les utilisent, cela tourne souvent au scandale.

Des cas récents incluent l'histoire de Polar Flow, où vous pouvez découvrir où se trouvent des agents de renseignement du monde entier. Ou un exemple précédent avec Unroll.me, qui était censé protéger les utilisateurs contre les abonnements au spam, mais qui vendait en même temps les données reçues à côté.

Les applications veulent souvent trop en savoir. Un exemple classique est l'application Flashlight, qui n'a besoin que d'une ampoule pour fonctionner, mais elle veut tout savoir sur l'utilisateur, jusqu'à la liste de contacts, voir la galerie de photos et où se trouve l'utilisateur.

D'autres exigent encore plus. Le navigateur UC envoie l'IMEI, l'identifiant Android, l'adresse MAC de l'appareil et d'autres données utilisateur au serveur d'Umeng, qui collecte des informations pour le marché Alibaba. Comme mes collègues, je préférerais refuser une telle demande.

Même les paranoïaques professionnels prennent des risques, mais ils sont conscients. Afin de ne pas avoir peur de chaque ombre, décidez ce qui est public et ce qui est privé dans votre vie. Construisez des murs autour des informations personnelles et ne tombez pas dans le fanatisme quant à la sécurité des informations publiques. Ensuite, si un jour vous trouvez ces informations publiques dans le domaine public, vous ne serez pas atrocement blessé.