windows, gnu/linux, navigateur, malware, espionnage, vie privée, publicité

Bonnes pratiques

Cette page fait le point sur les méthodes et savoirs que tout utilisateur d'ordinateur doit connaître.

(Crédit: Klinkow pour Pixabay sous licence libre Creative Commons CC0)

Charte de l'utilisateur responsable

Vie privée

Je sais que la vie privée n'existe pas sur les plateformes de commérage narcissique (Facebook, Twitter, etc.) ainsi que la majorité des plateformes dites gratuites, car toutes ces sociétés ou bien leurs sous-traitants commerciaux, revendent chèrement les informations personnelles à des sociétés privées qui les exploitent ou les revendent à d'autres sociétés et ainsi de suite…
En conséquence, je comprends que toute donnée envoyée via ce type de plateforme constitue de fait une donnée semi-publique ou publique
Je sais que chaque année, un nombre croissant de sociétés informatiques hébergeant des données de particuliers et d'entreprises subissent des pénétrations systèmes et des exfiltrations de données ("data leaks")
Je sais qu'un nombre croissant d'entreprises vendent certaines données de leurs clients à des sous-traitants, et que la plupart des sites web y compris des services publics le font, par l'intermédiaire des mouchards intégrés aux pages web

Voir aussi la page : Collecte de données et déclin de la vie privée

Vie privée > Sextapes et autres pornographies amateures

Bien qu'il soit à la mode – pour ne pas dire entré dans les mœurs – depuis les années 2010, de créer et diffuser via smartphones et ordinateurs ses propres images et films pornographiques couramment appelés "sexting de premier niveau" ou "sextapes" (cf. Pornographie amateur sur wikipedia),
- Je sais que mon ordinateur – surtout s'il fonctionne sous Windows – et mon smartphone quelle qu'en soit la marque, contiennent des programmes espions qui ont accès à tous ses composants dont la webcam
- Je sais que le ou la destinataire de ces données numériques intimes peut un jour les égarer, et ses propres appareils numériques éventuellement sous surveillance peuvent (facilement) se faire pirater
- Je sais que les services et plateformes numériques (leurs salariés) et particulièrement leurs sous-traitants ont potentiellement accès au contenu intime diffusé, même s'ils prétendent le contraire (surveillance anti-terroriste, détection automatisée de nudité dans le cadre de la lutte contre la pédopornographie, etc.)
- Je sais que dans de très nombreux pays dont la France, la pratique du "Revenge porn" ou pornodivulgation est interdite. Je sais que le code pénal français interdit formellement de diffuser, rediffuser ou faire la promotion par un lien hypertexte de ce type de contenu, même si beaucoup de personnes – y compris des personnalités – donnent l'impression que ce délit pénal est toléré (comme par exemple le député français Joachim Son-Forget et le célèbre libertarien transhumaniste français Laurent Alexandre (ses excuses sur Twitter) à l'égard de l'ex-ministre Benjamin Griveaux¹⁾)
- Je sais que depuis 2016, les technologies numériques appelées Deepfake permettent de réaliser de fausses vidéos présentant n'importe quelle personne dans n'importe quelle situation, et que la pornographie a constitué le premier domaine d'application civile de cette technologie

Depuis la loi n°2016-1321 du 7 octobre 2016 pour une République numérique, a été introduit dans le Code pénal français l'article 226-2-1 réprimant le revenge porn. Il dispose que :

"Lorsque les délits prévus aux articles 226-1 et 226-2 portent sur des paroles ou des images présentant un caractère sexuel prises dans un lieu public ou privé, les peines sont portées à deux ans d'emprisonnement et à 60 000 € d'amende. Est puni des mêmes peines le fait, en l'absence d'accord de la personne pour la diffusion, de porter à la connaissance du public ou d'un tiers tout enregistrement ou tout document portant sur des paroles ou des images présentant un caractère sexuel, obtenu, avec le consentement exprès ou présumé de la personne ou par elle-même, à l'aide de l'un des actes prévus à l'article 226-1"

Extrait de la section Législation > France de l'article Revenge porn de fr.wikipedia.org.

Logiciels piratés

Je sais que les cybercriminels utilisent des copies piratées de logiciels comme un moyen privilégié de diffuser rapidement des chevaux de Troie informatiques qui permettent de "lancer sur le marché" de nouveaux virus totalement inconnus des sociétés de sécurité
Je sais qu'il existe souvent des logiciels libres qui remplissent les mêmes fonctions que les logiciels commerciaux (par exemple Gimp remplaçant Adobe Photoshop). Je sais que ces logiciels libres sont gratuits, n'ont pas de clé de licence, peuvent être librement copiés, modifiés et distribués, que certains d'entre eux, comme le navigateur Mozilla Firefox, sont mis à jour plus souvent, et qu'ils sont donc plus sécurisés

Système d'exploitation

Je sais que je ne dois pas éteindre mon ordinateur en lui coupant brutalement le courant, et encore moins pendant une mise à jour du système d'exploitation
Je sais que si le système démarre ou s'arrête plus lentement que d'habitude, c'est qu'il y a une raison et qu'il faut attendre en vérifiant la diode d'activité du disque dur si elle existe
Je sais que tous les systèmes d'exploitation doivent être mis à jour régulièrement et qu'aucun d'eux n'est immortel (durée de vie maximale : 10 ans pour Microsoft Windows, 5 ans pour GNU/Linux 4 ans pour Apple macOS, très variable pour les smartphones, très courte pour les objets connectés).
Je sais que je ne dois pas utiliser de navigateur web si mon système n'est pas à jour
- Windows :
  - Si ma version de Windows est périmée – comme Windows XP, Windows Vista, Windows 7 –, je sais qu'il ne faut pas utiliser de navigateur web
  - Si ma version de Windows n'est pas authentique :
    - Je sais que je prends des risques vis-à-vis de la sécurité et/ou de la confidentialité de mes données
    - Je sais que les professionnels de l'informatique ont de grands pouvoirs mais ne transforment pas le plomb en or et n'ont pas vocation à légitimer les pratiques de contre-façon
    - Je sais que je peux régulariser la situation en achetant une licence, à condition que Windows ne soit pas "bidouillé"
- GNU/Linux :
  - Si mon système GNU/Linux n'est pas à jour et que j'utilise un navigateur web, ou bien que mon système est à jour mais que le navigateur que j'utilise ne l'est pas, alors je sais que dans le meilleurs des cas j'expose mes propres données personnelles au risque de pénétration par un programme malveillant.

Disques durs et clés USB

Je sais que les disques durs internes ou externes classiques (électro-mécaniques) sont très fragiles aux chocs et peuvent durer plus de 10 ans, tandis que les disques durs de type SSD ne craignent pas les chocs mais vieillissent sensiblement selon l'intensité des écritures qui y sont faites (les durées de vie indiquées par les constructeurs sont pour des usages modérés)
Je sais qu'un grand choc corrompt irrémédiablement des zones de la surface des disques durs électro-mécaniques, et que des petits chocs répétés les font vieillir prématurément, particulièrement s'ils sont sous tension
Je sais qu'une clé USB ne craint pas les chocs
Je sais qu'une clé USB ne constitue pas un stockage pérenne, qu'elle sert essentiellement au transfert de données entre deux appareils, et que toute donnée stockée dessus doit être une copie d'un original situé sur un support plus fiable
Je sais que les cases mémoires des clés USB et disques durs SSD s'usent à chaque écriture, et qu'il faut éviter de les remplir complètement pour les garder plus longtemps
Sous Microsoft Windows, macOS et GNU/Linux, je sais que je dois procéder à une éjection logique des périphériques USB de stockage puis attendre le feu vert du système, avant de les débrancher physiquement de la machine

Boîtes de dialogue

Lorsqu'un message inhabituel s'affiche, je commence par me demander de quel programme provient le message
Je fais la différence entre les boîtes de dialogues dessinées dans le bureau – car déplaçables dans celui-ci –, et les boîtes de messages dessinées dans les pages web (limitées aux dimensions de la fenêtre du navigateur)
Cliquer sur un bouton signifie prendre une décision : je lis toujours ce qui est écrit AVANT de cliquer

Mots de passe

Lorsque je crée un nouveau mot de passe, je sais qu'il devra répondre aux critères "PSI" (Personnel, Secret, Introuvable), et qu'au cours de sa création je dois respecter les critères "PUMA" (Proportionné, Unique, Mélangé, Ample) (cf. page "Mots de passe")
Je sais qu'il ne faut jamais mémoriser dans un navigateur l'identifiant et le mot de passe d'un site web bancaire
Je sais qu'il ne faut jamais autoriser un site de e-commerce (Amazon, etc.) à mémoriser le numéro de carte bancaire²⁾
Je sais que certains programmes JavaScript inclus dans des pages web – ou leurs sous-traitants marketing – cherchent à collecter les identifiants mémorisés dans le coffre-fort de mots de passe de mon navigateur

Navigateur web

Je sais que je dois toujours me déconnecter des sites sur lesquels je me suis authentifier AVANT de fermer la fenêtre du navigateur web
Si je navigue sur un ordinateur qui n'est pas le mien, Je sais que je dois toujours le faire en mode de navigation privée³⁾

Messagerie

Je prends toujours le temps de lire avant de cliquer
Je sais qu'il existe des virus diffusés par email
Je sais qu'il existe de nombreuses escroqueries diffusées par email
Je vérifie toujours une information avant de la propager par email
Lorsque je transmets une information, je m'assure qu'un lien ou une note dans le message permet au destinataire de remonter jusqu'à la source de l'information
J'indique toujours un objet (subject en anglais) à mes messages par email

Téléchargement et installation

Je sais que télécharger un programme depuis un autre site que son propre site officiel est dangereux
Je sais qu'il ne faut JAMAIS télécharger un programme depuis un site de téléchargement
Je sais que les sites de téléchargement abusent frauduleusement des internautes en faisant passer des packs de logiciels mouchards publicitaires et malveillants pour les logiciels d'origine⁴⁾

Logiciels antivirus

Sous Windows :
- Je n'utilise pas de navigateur web si je n'ai pas un logiciel antivirus maintenu à jour
- J'ai conscience que mon antivirus n'est pas pleinement efficace si Windows lui-même n'est pas à jour
- Je sais qu'il faut toujours désinstaller un antivirus avant d'en installer un autre, et que certains antivirus possèdent un mécanisme d'auto-protection contre la désinstallation
- Je sais que les antivirus gratuits de Microsoft sont très médiocres :
  - Article "Sécurité : Microsoft Essentiel, le pire des antivirus". Christophe Lagane, 04/10/2017, silicon.fr
  - Article "Windows Defender offre le niveau de protection le plus décevant". Michael Guilloux, 28/03/2015, developpez.com
  - test comparatif de la société indépendante AV-TEST
- Pour une utilisation simple et classique du PC, je sais que certains antivirus gratuits comme Avast offrent une protection basique mais sont plus efficaces que d'autres antivirus payants
  - Lorsque j'installe l'antivirus AVG – depuis son site officiel –, je sais qu'il est fortement recommandé de refuser les partenariats avec les sites de téléchargement ou les logiciels (publicitaires mouchards)
  - Lorsque j'installe l'antivirus Avast, je sais que l'installation des partenaires Google Chrome ou Dropbox est facultative
Sous GNU/Linux :
- Je sais qu'il est superflu d'utiliser un antivirus sur mon ordinateur personnel GNU/Linux que j'utilise correctement
- Je sais que les antivirus gratuits sous GNU/Linux – y compris le logiciel libre ClamAV – protègent essentiellement contre les vieux virus très connus et peu sophistiqués
- Je sais que des antivirus payants sous GNU/Linux et de bonne qualité existent à destination des professionnels dont les serveurs de messagerie électronique, les groupwares ou les serveurs de fichiers fonctionnent sous GNU/Linux

Dépannage de mon ordinateur par un tiers

N'autorisez pas tout le monde à manipuler votre ordinateur ! (Crédit : Infographe_Elle pour morguefile.com sous licence libre morguefile.com

Intervention par téléphone :
- Je sais que des cybercriminels intimident leurs interlocuteurs en se faisant passer pour ce qu'ils ne sont pas
- Je sais que je ne dois jamais faire confiance :
  - aux personnes que je ne connais pas via un contact physique de qualité
    (Premiers contacts de mauvaise qualité : contact par webcam, contact sommaire dans un contexte non propice au dialogue)
  - aux professionnels qui n'ont jamais été en contact physique avec mon ordinateur, avec qui je n'ai pas (encore) d'engagement, et qui basent leur première prestation sur une prise en main à distance
Intervention en atelier ou à mon domicile :
- Je refuse toute intervention si la personne refuse de me fournir les deux éléments suivants :
  1. son prénom et son nom et/ou la raison sociale de son entreprise dont je vérifie l'authenticité
  2. ses coordonnées physiques et téléphoniques
- Si j'accepte qu'une personne non diplômée et/ou non déclarée intervienne sur mon PC, je sais que je prends un risque.
  Quelques soient les compétences de la personne, je m'assure d'obtenir de sa part un résumé écrit de l'intervention pour faciliter (et accélérer) toute maintenance future

Charte de l'utilisateur non débutant

Voici les connaissances et pratiques minimales que doit connaître l'utilisateur familier++ ou expérimenté :

Fragmentation

Sous Windows :
- Je sais que le fait de défragmenter fréquemment les fichiers, a un effet direct sur le vieillissement prématuré du disque dur
- Je sais que la fragmentation des fichiers est un processus normal qui n'impacte pas les performance en deçà d'un certain seuil
- Vis à vis de la fragmentation et d'autres paramètres, je sais que le système de fichier NTFS des Windows contemporains est bien plus performant que l'ancien système "FAT32" qui continue à être utilisé sur les clés USB…
- Je sais que défragmenter une clé USB conduit à son vieillissement ultra-accéléré
GNU/Linux :
- Je sais que les systèmes de fichiers utilisés sous GNU/Linux ont une grande résilience à la fragmentation
- Je sais que la fragmentation des fichiers concerne également GNU/Linux, à très faible échelle
- Je sais qu'il n'existe pas de programme pour défragmenter les systèmes de fichiers GNU/Linux

Logiciel CCleaner

Je sais que par manque de vigilance en 2017, la société Piriform rachetée par Avast a été piratée et a diffusé à son insu pendant 3 semaines des mises à jour malveillantes de CCleaner (plus d'informations sur la page Événements > 18/09/2017 : Le logiciel privateur CCleaner a été un cheval de Troie). Par ailleurs, je sais que la maison mère Avast a été piratée pendant 5 mois par des intrus qui ont obtenu le niveau maximal d'accès au système informatique de l'entreprise (plus d'informations sur la page Événements > 23/10/2019: Entreprise encore piratée : Produits Avast dont AVG, CCleaner, Recuva, Defraggler, Speccy à proscrire)
Je sais que mal utilisé ou de façon désinvolte, le logiciel CCleaner peut causer des problèmes à mon PC, notamment supprimer de manière irréversible toutes les données du disque dur
Je sais que le logiciel CCleaner doit être CONFIGURÉ avant de l'utiliser pour nettoyer le système
Je sais que le logiciel CCleaner non ou mal configuré, supprime toutes les informations utiles et parfois indispensables au dépannage informatique
Je sais que le site officiel pour télécharger CCleaner s'appelle piriform.com (en anglais) et que les autres sources sont dangereuses même si leurs sites sont écrits en français (voir ci-dessus "Téléchargement et installation")
Je sais que si je n'ai pas une confiance absolue dans la société Piriform qui diffuse CCleaner, je peux désinstaller ce logiciel privateur de liberté et le remplacer par le logiciel libre BleachBit sur Windows (site officiel) et le logiciel libre Cache Cleaner sur Android (page officielle sur F-Droid) qui suppriment les fichiers temporaires obsolètes aussi bien que CCleaner

Logiciel Java

Je sais que le logiciel Java présente très souvent des failles de sécurité non corrigées ("vulnérabilités 0 day"), et qu'il est systématiquement mis à jour en retard par l'entreprise Oracle qui l'a racheté
Je sais que le logiciel Java sert très rarement aux particuliers (par exemple, pour le contrôle parental numericable) et qu'il n'est plus livré systématiquement avec les ordinateurs sous Windows 8
Je sais que je peux conserver ce logiciel Java sans risque si les modules java des navigateurs web sont désactivés ou supprimés (désactivé par défaut dans Firefox)
Je sais que l'utilisation des modules Java des navigateurs est potentiellement dangereuse quelque soit le système d'exploitation Windows, Mac OSX ou GNU/Linux
Je peux vérifier si Java fonctionne dans mon navigateur : Vérifier la version de Java
Je peux désactiver les modules Java de mes navigateurs : Java victime d'une importante faille de sécurité, nouvelobs.com, 11/01/2013

¹⁾

Source : 14/02/2020: francetvinfo.fr > RECIT. D'une fuite sur un site pornographique à un abandon la gorge serrée, les 48 heures qui ont fait tomber Benjamin Griveaux

²⁾

08/07/2020: 01net.com > 570 sites d'e-commerce piratés, dont 25 français : attention à votre numéro de carte bancaire

³⁾

Mode de navigation privée :

Mozilla Firefox et Internet Explorer : CTRL MAJ P ; Google Chrome : CTRL MAJ N
Voir aussi la page Liste de tutoriels > Navigateurs web (procédures communes)

⁴⁾

Une explication détaillée de ce phénomène est donnée par Pierre Pinard sur la page "Installer une application - Attention aux trucs indésirables livrés avec" de son site.