Hacking – Mythes et réalités, les 5 mythes auxquels vous ne devez plus croire

5
105

Aujourd’hui, la sécurité informatique prend de plus en plus d’importance et le hacking évolue. Voici 5 choses auxquels vous ne devriez plus croire en 2014 et 2015…

Mythe 1 : Il faut un bon antivirus ou passer sous Mac/Linux

Utiliser un bon antivirus est important mais cela ne suffit pas. En effet, même une bonne suite de sécurité ne peut parer toutes les menaces si l’utilisateur prend des risques inconsidérés. De même, ce n’est pas parce qu’un antivirus est “au vert” que la machine où il est installé n’est pas compromise… Il existe des menaces dites “0-day” encore inconnues des solutions antivirus au jour le jour !

De plus, certaines techniques utilisées par les pirates informatiques sont très difficiles à identifier pour un logiciel. Le phishing en fait parti. La communauté d’utilisateurs peut reporter la page détournée à l’éditeur pour que celui-ci la détecte comme malveillante. Mais voila, il faut un certain temps pour que cela ne soit pris en compte et que quelqu’un fasse l’effort de faire un report. Comprenez bien qu’un antivirus est un bon complément pour se protéger mais qu’il ne fait pas tout.

Concernant la pseudo-sécurité Mac et Linux, c’est totalement faux, surtout actuellement. Il y a eu une époque où les Mac étaient si peu nombreux que les créateurs de malwares les ont totalement laisser de côté. Mais maintenant, c’est fini. Le succès mondial des iPhones, tablettes et des Mac en général a mis fin à cela. Désormais, iOS est visé au même titre que Windows par des malwares divers et variés (adWares, chevaux de Troie, Botnet, Password Stealer, etc).

Linux quand à lui, possède aussi ses propres vulnérabilités. Certes, ce n’est pas un OS grand public mais les gens oublient souvent que Linux équipe une écrasante majorité des serveurs Web ! Lorsqu’une vulnérabilité est identifiée, c’est un vent de panique qui souffle sur le monde entier. Prenons par exemple les récents cas grave comme Heartbleed, Shellshock ou encore BEAST SSL… et c’est sans compter les nombreux serveurs qui sont silencieusement backdoorés (voir rootés) par des cybercriminels après que ces derniers s’y soient glissés via une vulnérabilité Web.

Mythe 2 : Si je ne télécharge rien, il n’y a aucun risque

Grosse erreur de croire cela ! Depuis longtemps, une simple session de navigation sur le Web suffit à infecter une machine mal protégée et/ou non mise à jour. La technique du Drive-By Download est très prisée des cybercriminels et équipe la quasi totalité des Exploit Kit, ces fameux kits d’exploitation pirates tout-en-un qui valent de l’or dans le blackmarket.

 Il suffit juste d’utiliser une version d’un OS vulnérable non patché ou même d’avoir installé sur sa machine un logiciel faillible comme un navigateur Web ancien. Les exemples sont nombreux et on peut citer les plus courant et exploités : Adobe Flash et Java. Certains navigateurs Web désactivent par défaut ces programmes à risque !

Mythe 3 : Si je vois le cadenas et HTTPS, je suis en sécurité

 Certes le HTTPS (SSL) est une bonne chose, qui évite l’interception des données reçues et envoyés entre une machine et un serveur. Encore faut-il que le certificat de sécurité soit valide et que l’autorité de certification ne soit pas compromise ! Rappelez-vous des nombreux vol massifs de certificats ayant eu lieu…

De plus, certaines failles peuvent amener vers une possibilité de cracker le chiffrement SSL.

Quoi qu’il en soit, le HTTPS ne protège pas dans tous les cas, loin de là ! Si un malware bancaire se trouve sur votre machine en arrière plan, il pourra intercepter directement les frappes du clavier, age en SSL ou non. Risque identique si vous saisissez vos identifiants ou données bancaires sur une page de phishing utilisant un pseudo certificat SSL…

Mythe 4 : Si un pirate a mon adresse IP il peut me pirater

 Et non, il est bien loin le temps où l’on pouvait s’introduire via un port ouvert d’une machine à distance. Cette croyance est entretenue par certains films ou par des scripts kiddies menaçants (mais bien souvent incompétents).

En disposant de votre adresse IP, une personne peut au mieux vous géolocaliser approximativement ou vous surcharger de requêtes (flood, DoS). Rien à voir avec ce que l’on peut lire sur certains sites d’apprentis pirates…

Mythe 5 : On peut pirater un compte avec un seul programme

 Beaucoup de gens pensent qu’ils vont pouvoir prendre le contrôle de comptes utilisateurs avec des logiciels spécialisés dédiés au piratage. Sachez que ce n’est pas le cas ! Tout au plus, ces logiciels vont tout faire pour attirer les petits piratins sans connaissances techniques (via de bonnes publicités et de fausses preuves) afin de les pousser à télécharger le programme et à l’exécuter. Ensuite, l’ironie entre en jeu : celui qui croyait pirater va se faire pirater…

Et cela est valable pour nombre de logiciels et tutos de “hacking” !

5 Commentaires

Les commentaires sont fermés.