24 mars 2022: protéger ses données sensibles
La précédente information était consacrée à la protection des données.
Les outils Bitlocker, Filevault permettent une première protection.
En revanche, pour des données très sensibles tels que par exemple des sujets d'examen, des titres de
propriété intellectuelle, des données personnelles de type scan de carte d’identité, carte vitale, de passeport,
etc. il est alors fortement conseillé de les placer dans des containers chiffrés.
Ils permettent, en utilisant une application dédiée et après authentification par un mot de passe, d'y stocker des fichiers de son choix.
De l'extérieur, ce container est un simple fichier qui sera entièrement géré sans que les données internes ne soient accessibles. Il n'y aura donc pas de divulgation lors d'une sauvegarde, d'une copie dans le cloud,
d'un échange via un courriel...
Deux solutions sont recommandées pour gérer assez simplement ces containers chiffrés:
un logiciel libre Veracrypt (https://veracrypt.fr)
et un logiciel commercial Zed pour lequel une
version gratuite limitée Zed-Free (https://www.primx.eu/fr/zed-free) est disponible.
Ces deux outils sont multiplateformes (Linux, MacOS, Windows).
Par contre, le format de ces deux systèmes de containers est différent et non interopérable.
10 mars 2022: protéger ses données
Les vols de matériels informatiques au sein de l’École ou à l’extérieur sont fréquents. En moyenne un vol par mois est déclaré aux Responsables de la Sécurité
des Systèmes d’Informations (RSSI).
Outre le coût du matériel à remplacer, l'indisponibilité voire la perte de vos données, le risque d’utilisation malveillante des données privées ou
professionnelles est très élevé.
Par exemple, une victime de vol a été interdite bancaire à la suite d’une usurpation d’identité du fait de la présence de documents d'identité numérisés et
d'informations bancaires sur son ordinateur portable.
L'État dans sa Politique de Sécurité des Systèmes d'Informations (PSSI) impose
plusieurs mesures pour réduire ces risques:
- il est recommandé d'attacher les ordinateurs avec un câble antivol
- Il est également impératif d'avoir une sauvegarde
à jour de ses données et de chiffrer les supports (disques, clés USB, ...) contenant les données. Il est recommandé que la clé de secours de déchiffrement soit
conservée par un tiers de confiance.
Une manière simple de chiffrer consiste à utiliser Bitlocker sur un PC/Windows, FileVault sur un Mac.
Dans le monde Linux, il est recommandé d'utiliser dm-crypt.
Pour les machines professionnelles, cela est réalisé par les équipes installant ces équipements.
18 février 2021: les mots de passe
La presse se fait régulièrement l'écho d'une délinquance liée à l'usage des systèmes d'information.
L'ENS en est aussi victime comme en témoignent deux incidents très récents:
-
En ce tout début 2021, un message aux élèves et étudiants annonçait que des bourses étaient proposées pour venir poursuivre des études dans une université canadienne. La
proposition était relativement crédible, il semblait assez facile de postuler. Le but était d'inviter les victimes à divulguer des informations personnelles, en proposant de monter
un dossier de candidature impliquant de fournir carte d'identité, passeport, RIB, ... Exploité, cela permet d'usurper l'identité de la victime, par exemple pour souscrire en son
nom des crédits à la consommation auprès d'organismes peu regardants. Soyez vigilants face aux spams, aux phishings,... Soyez attentif à qui vous transmettez des scans de cartes
d'identité, de passeports,...
-
En fin d'année dernière, un chercheur utilisant des mots de passe similaires sur beaucoup de sites a été victime du vol de l'un de ces mots de passe. Cela a permis à des
intrus d'accéder à sa messagerie et ainsi de lire, poster, voire détruire des mails. La possession de ce mot de passe permet aussi de se connecter à distance sur d'autres services
(cloud, ssh, VPN, etc.) pour en faire mauvais usage.
Il est important de respecter une règle simple : utiliser vraiment des mots de passe différents. Le logiciel keepassxc
est un bon outil pour vous aider à les stocker. En cas de vol d'un mot de passe, cela limite l'impact au seul site où il était utilisé. Soyez attentif aussi lors de votre
consultation des mails : un mail dont vous n'avez pas encore pris connaissance doit être marqué comme "Nouveau". Si ce n'est pas cas, ce peut être le signe d'une intrusion.
|
