Vers une sécurité plus hygiénique


Claude Vigeant - 30/11/2007

Comme pour l’hygiène, des règles de base sont de mise en sécurité de l’information.

Oseriez-vous manger une friandise trouvée inopinément sur le trottoir? Sans doute pas. Et que faites-vous lorsque vous recevez un courriel ou un fichier dont vous ne connaissez pas la provenance? L’ouvrez-vous?

La réponse n’est sans doute pas aussi évidente que dans le cas de la friandise, mais, en réalité, elle devrait l’être. En matière d’information, il est essentiel de se conformer à des règles d’hygiène fondamentales pour bien se protéger, tout comme on le fait pour des raisons de santé. En acquérant les réflexes permettant d’adopter cette habitude de vie toute simple, on peut éviter la très grande majorité des infections susceptibles de survenir dans les systèmes informatiques.

Sites Internet, DVD, clés USB, disquettes et autres supports peuvent renfermer des codes exécutables qui, une fois introduits dans un ordinateur, ont la possibilité d’en exercer le contrôle, qu’il s’agisse d’un bloc-notes ou d’un poste de travail fixe. En ayant recours à des programmes malveillants furtifs (rootkits), à des robots (BOT), à l’ingénierie sociale ou à d’autres types d’action hostile, les intrus se servent des ordinateurs piratés pour héberger du matériel controversé, réaliser des dénis de service ou envoyer des pourriels notamment.

Tout ce qui est d’origine inconnue est potentiellement dangereux, et ne devrait pas être ouvert. Disposer d’un antivirus à jour ne constitue pas une mesure de protection suffisante. Après tout, nous ne mangeons pas de nourriture suspecte, même si nous avons des anticorps.

Bien sûr, un CD encore bien scellé dans son emballage, un DVD provenant d’une source sûre ou le site Internet d’une organisation digne de confiance ne devraient pas susciter d’inquiétude.

Par contre, les programmes téléchargeables rencontrés au hasard de la navigation sur le Web doivent être étiquetés « suspects » sur-le-champ. Surtout s’ils sont gratuits, ou offerts sur des sites de jeux ou d’autres sources louches, en provenance d’Europe de l’Est ou d’Asie, notamment. Souvent, ces sites incitent le visiteur à télécharger des composants ActiveX afin de pouvoir en visualiser tout le contenu. Prenez garde, ces composants peuvent très bien cacher un programme malveillant.

Courriels douteux

On doit aussi se méfier de certains courriels envoyés par des connaissances ou des correspondants réguliers. Le même envoi en provenance de plusieurs d’entre eux peut indiquer qu’une personne mal intentionnée a réussi à mettre la main sur votre liste de destinataires et se sert de leur identité pour vous piéger.

Attention aussi aux anomalies. Si un courriel contient des erreurs ou des façons de faire qui peuvent difficilement être associées, à vos amis ou collègues – une faute d’orthographe inhabituelle, par exemple – mieux vaut ne pas ouvrir tout fichier joint à l’envoi. Il convient d’être vigilant et de bien lire le texte du message. Autre précaution : se méfier des fichiers exécutables que peuvent transmettre vos connaissances à des fins humoristiques ou pour partager avec vous un sujet d’intérêt. À l’insu de l’expéditeur, ces programmes peuvent contenir du code malveillant.

En sécurité de l’information, négliger d’appliquer ces règles fondamentales revient à confier la protection de ses systèmes à une technologie parfaite, couvrant tous les angles et toutes les possibilités. En dépit des fonctionnalités novatrices que l’on ne cesse d’intégrer aux gardes-barrières, aux antivirus et aux autres outils de sécurité, une telle technologie ne verra sans doute jamais le jour.

Grâce à une hygiène plus stricte, nos conditions de vie se sont améliorées au fil des ans. Pareillement, nous pouvons grandement réduire les risques liés à l’utilisation des TI en acquérant quelques réflexes simples, capables d’accroître sensiblement la protection offerte par les outils de sécurité.

Claude Vigeant est président d’OKIOK


À lire aussi cette semaine: Quand le jeu vidéo devient sérieux Les TI… C. A. sert à quoi? Eidos-Montréal : prêt pour l’attaque! Semaine chargée dans l’industrie des TI Le bruit dans la communication numérique




Tags: , ,