Règles de comportement

En dehors des mesures techniques (p. ex. pare-feu personnel, mises à jour des logiciels, programme antivirus, etc.) destinées à améliorer la sécurité d'un ordinateur, c'est avant tout le comportement de chaque utilisateur qui s'avère d'une importance décisive. Le comportement adéquat comprend:

Mot de passe

Tant votre ordinateur que divers services en ligne exigent la saisie d'un mot de passe. Les mots de passe mal choisis ou trop courts - dits faibles - représentent un risque de sécurité considérable. Le choix d'un mot de passe doit respecter les principes suivants:

  • Longueur minimale de 8 signes
    La longueur minimale du mot de passe doit être de 8 signes; par ailleurs, il devrait comprendre des lettres, des chiffres ainsi que des caractères spéciaux.

  • Facile à mémoriser
    Le mot de passe doit être choisi de telle manière qu'il soit facile à mémoriser. Ne consignez pas vos mots de passe par écrit. Les meilleurs mots de passe sont des phrases entières comprenant des caractères spéciaux. Par exemple: « 1 m0t de p@$ qui va me rester !! »

  • N'utilisez pas plusieurs fois le même mot de passe
    Utilisez des mots de passe différents pour des usages différents (p. ex. pour différents comptes utilisateurs). Si vous utilisez des services en ligne, il est recommandé d'utiliser à chaque fois un mot de passe différent.                                 
  • Changez régulièrement de mot de passe
    Un mot de passe devrait être changé à intervalles réguliers (tous les trois mois à peu près) mais au plus tard quand vous présumez que des tiers pourraient en avoir eu connaissance.

  • Vérificateurs de mots de passe
    Divers programmes peuvent vous aider à tester votre mot de passe (faites ce genre de test non pas avec l'original mais avec un mot de passe construit d'une manière similaire).
  • Gestionnaires de mots de passe
    Ce type de programmes propose de gérer les différents mots de passe d'un utilisateur. L'accès au service est généralement protégé par un « master password ».
  • Authentification forte (à deux facteurs)
    Si le service utilisé le permet, protégez votre compte par un deuxième facteur d’authentification (mot de passe unique, jeton SMS, Google Authenticator, etc.)

Courrier électronique

Le courrier électronique est un moyen de communication très apprécié. La plupart des maliciels infectent en général les ordinateurs via les annexes au courrier électronique. Se montrer prudent avec le courrier électronique contribue considérablement à la sécurité de vos données et de votre ordinateur. Les mesures suivantes vous protègent contre les virus, les vers, les chevaux de Troie, les pourriels (spam) et autres canulars (hoaxes):

Virus, vers et chevaux de Troie

  • Prudence avec le courrier électronique dont l'expéditeur est inconnu
    Méfiez-vous du courrier électronique dont l'adresse d'expédition vous est inconnue. Dans un tel cas, n'ouvrez aucun document ou programme joint et ne sélectionnez aucun des liens y figurant.

  • S'assurer de la fiabilité des sources
    N'ouvrez que des fichiers ou des programmes provenant de sources dignes de confiance et ne le faites qu'après les avoir vérifié avec un logiciel antivirus actualisé.

  • Prudence avec les noms de fichiers à deux extensions
    N'ouvrez aucune annexe de courrier électronique à deux extensions (p. ex. picture.bmp.vbs). Ne vous laissez pas tromper par l'icône d'un tel fichier. Dans Explorer par exemple, désactivez l'option « Cacher les extensions des fichiers dont le type est connu ».
  • Les pièces jointes malveillantes utilisent notamment les extensions suivantes:
    .app (application exécutable), .bas (code source BASIC), .bat (traitement par lot), .cer (fichier de certificat), .chm   (fichier HTML d'aide compilé), .class (bytecode JAVA), .cmd (invite de commandes), .com (exécutable COM), .cpl (fichier du panneau de configuration Microsoft Windows), .crt (fichier de certificat), .der (fichier de certificat), .docm (document Microsoft Word avec macros), .dotm (modèle de document Microsoft Word avec macros), .exe (fichier exécutable), .iso (fichier d'archive), .jar (archive Java), .js (JavaScript), .jse (JScript chiffré), .mam (Microsoft Access Macro), .msc (fichier de la console d'administration Microsoft Windows), .msh (Microsoft Shell), .msh1 (Microsoft Shell), .msh2 (Microsoft Shell), .msi (fichier d'installation pour Windows Installer), .pif (Program Information File), .potm (présentation PowerPoint avec macros), .ppsm (présentation PowerPoint avec macros), .pptm (présentation PowerPoint avec macros), .ps1 (Windows PowerShell), .ps1xml (Windows PowerShell), .ps2 (Windows PowerShell), .ps2xml (Windows PowerShell), .psc1 (Windows PowerShell), .psc2 (Windows PowerShell), .rar (fichier d'archive), .reg (clé de registre), .scr (fichier d'écran de veille pour windows), .vb (fichier de script Visual Basic), .vbe (fichier de script Visual Basic), .vbs (fichier de script Visual Basic), .ws (fichier de script Windows), .wsc (fichier de script Windows), .wsf (fichier de script Windows), .xlsm (document Microsoft Excel avec macros), .xltm (modèle de document Microsoft Excel avec macros), .zip (fichier d'archive).
  • Mise à jour du programme de courrier électronique
    Les programmes de courrier électronique peuvent aussi présenter des lacunes de sécurité. Vérifiez régulièrement l'existence de mises à jour pour ce programme et installez-les.


Pourriel (spam)

  • Communiquer son adresse e-mail avec parcimonie
    Communiquez votre adresse électronique à un minimum de personnes et utilisez-la exclusivement pour la correspondance importante.

  • Se doter d'une deuxième adresse e-mail
    Il est indiqué d'utiliser une deuxième adresse e-mail pour remplir des formulaires sur le web, s'abonner à des bulletins, écrire dans des livres d'hôte, etc. Il est possible d'en obtenir une gratuitement auprès de divers fournisseurs. Si du pourriel est distribué à cette adresse, on peut la supprimer ou en définir une nouvelle.

  • Ne pas répondre aux pourriels
    Si vous répondez aux pourriels, l'expéditeur saura que votre adresse électronique est valable et continuera d'expédier du courrier non sollicité. Prudence aussi avec le pourriel offrant une « option de désabonnement ». On vous promet de vous tracer de la liste des destinataires si vous envoyez un courrier électronique d'une certaine teneur. On se montrera tout aussi prudent à l'égard des réponses automatiques en cas d'absence du bureau. Elles devraient être uniquement renvoyées aux expéditeurs connus.

 

Navigation

La navigation sur le web expose aussi à des dangers susceptibles d'avoir une influence sur la sécurité de vos données et de votre ordinateur. Quelques-uns d'entre eux, et les mesures de protection adaptées, font l'objet de la liste suivante:

Virus, vers, chevaux de Troie, logiciel espion

  • Ne pas télécharger de programme inconnu
    Ne téléchargez aucun programme inconnu (jeux, économiseurs d'écran, etc.) depuis Internet. Cliquez sur « Interrompre » ou sur « non » lorsqu'une fenêtre de téléchargement s'affiche sans que vous ne l'ayez voulu.

  • Se procurer les mises à jour auprès du fabricant seulement
    Téléchargez les mises à jour ou les pilotes exclusivement sur les sites web du fabricant concerné. Vérifiez-les ensuite au moyen d'un logiciel antivirus actualisé.


Ingénierie sociale, hameçonnage (phishing), escroquerie

  • Prudence en cas de transmission d'informations
    Ne donnez à personne votre nom d'utilisateur ou votre mot de passe. Aucun fournisseur sérieux ne vous demandera votre mot de passe (même par téléphone). Cette remarque vaut également lorsque la demande paraît crédible et comporte des caractéristiques d'identification évidentes du fournisseur (p. ex. adresse électronique, site Internet, etc.). En cas de doute, ne répondez pas et posez la question à votre fournisseur.

  • S'enquérir du sérieux du fournisseur
    Lors d'achats en ligne, il faut veiller à ne traiter qu'avec les fournisseurs sérieux. N'entrez votre numéro de carte de crédit que sur des pages Web utilisant un protocole sécurisé. On les reconnaît à la petite clé dorée s'affichant sur le bord inférieur gauche du navigateur ou au protocole indiqué dans l'URL (https au lieu de http).

  • Prendre congé en bonne et due forme
    Utilisez toujours la déconnexion prévue pour quitter les applications Web (p. ex. Webmail, transactions bancaires).

Protection des données

  • Etre sur ses gardes quand on remplit des formulaires web
    Évitez de disséminer des données personnelles. Cela concerne spécialement le remplissage de formulaires sur le web.

  • Prudence en rédigeant des textes dans les forums de discussion
    Pensez que ce que vous écrivez dans le cadre de groupes de discussion ou de forums, ou encore dans des livres d'hôte, reste accessible encore pendant des années.


Configuration du navigateur
Chaque page web est composée des instructions écrites en code HTML. Ces instructions indiquent au navigateur (Internet Explorer, Firefox, Chrome p. ex.) comment représenter le contenu du site sur l'écran du client. Certains sites du web ne comprennent que des documents sans fonctions additionnelles (ce sont des pages statiques). D'autres proposent des contenus dynamiques. Citons pour exemple les textes défilants, les formulaires électroniques pour des achats en ligne, des images animées ou des bannières publicitaires dynamiques. Ces fonctions dynamiques peuvent être implémentées à l'aide d'ActiveX Controls ou de JavaScript. Ceux-ci peuvent malheureusement être détournés pour définir et exécuter des actions indésirables ou nocives pour l'ordinateur client.

  • Restreindre javascript
    MELANI recommande de limiter tant que possible l’exécution de javascript (active scripting) à travers les paramètres du navigateur ou certains modules (plugins), voire de le désactiver complètement. En cas de désactivation, il faut cependant être conscient que de nombreux sites web ne pourront plus fonctionner correctement. Si cette mesure s’avère trop contraignante, vous pouvez assouplir les limitations progressivement jusqu’à un niveau acceptable. Suivant la solution choisie, il est par ailleurs possible de définir sur quels sites web vous autorisez l’exécution de javascript (whitelisting). 

 

 

Peer2Peer

La communication entre « pairs » est appelée communication poste à poste (peer-to-peer; P2P). Ce modèle contraste avec celui du client - serveur usuel où un serveur propose des services utilisés par des clients. Un exemple est la navigation sur Internet. Le client (navigateur Internet) se connecte à un serveur Web et utilise les services mis à disposition (p. ex. achats en ligne). A l'opposé, avec le modèle poste à poste, chaque ordinateur est en même temps un client et un serveur, ce qui veut dire que chaque poste propose des services (mise à disposition de fichiers) et utilise les services d'autres ordinateurs du réseau.

Les bourses d'échange utilisent en particulier cette forme de communication. Chacun peut échanger des fichiers (p, ex. de la musique ou des films) avec tout un chacun. Pour cela, il faut en général installer un logiciel (qui peut être téléchargé depuis Internet). Comme les bourses d'échange permettent souvent d'accéder à des oeuvres protégées par le droit d'auteur ou à des contenus pornographiques, elles sont souvent controversées. Les fournisseurs de tels logiciels ont été la cible de plaintes de l'industrie musicale et cinématographique, et les possesseurs de documents de pornographie dure sont poursuivis par la police.

  • Prudence avec les réseaux poste à poste et les bourses d'échange
    En plus des aspects de protection du droit d'auteur évoqué, la participation à des bourses d'échange va de pair avec d'autres risques. Nombre de fichiers proposés sont infectés par des virus ou des chevaux de Troie. Le logiciel poste à poste peut contenir du code espion ou de la publicité non désirée, ainsi que des lacunes de sécurité. Par ailleurs, la participation à de tels réseaux et à de telles bourses d'échange fait courir le danger que l'utilisateur rende accessible par mégarde des données personnelles et ou confidentielles.

 

Dernière modification 15.08.2018

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/schuetzen/verhaltensregeln.html