Vous êtes ici : Accueil Actualités Interview avec Marc Herbstritt

Interview avec Marc Herbstritt

Comment réussir une bonne sauvegarde des données Dans presque tous les domaines, on travaille aujourd'hui avec des informations numériques. Mais comment les sécuriser de manière judicieuse ? Klaus d'uniONLINE s'est entretenu avec le Dr Marc Herbstritt du centre de calcul de l'université au sujet des mots de passe sûrs, des sauvegardes et des courriers indésirables.

Bonjour Monsieur Herbstritt, vous vous occupez de la sécurité de l'information à l'université de Fribourg. Les informations numériques sont souvent protégées contre l'accès de personnes non autorisées au moyen d'un mot de passe. Qu'est-ce qui caractérise un bon mot de passe ?

Il y a différentes recommandations. La tendance est d'aller vers la longueur pour mieux se protéger contre les attaques dites de "force brute". Lors de telles attaques, toutes les possibilités de mot de passe sont essayées et cela devient évidemment plus difficile plus le mot de passe est long. C'est un peu comme une serrure à combinaison : avec 3 touches de réglage, il y a 1000 options et avec un 4e chiffre, on a tout de suite un ordre de grandeur de plus.

Entre-temps, on recommande une longueur de mot de passe d'au moins 10 caractères, j'irais même plutôt vers 12 et j'inclurais toujours des caractères spéciaux.

Il est également clairement recommandé d'utiliser un mot de passe différent pour chaque service. Car si, par exemple, les données d'un client d'une boutique en ligne sont exposées suite à une attaque - et cela arrive régulièrement - les pirates ont accès à toutes les données qui concernent cet accès client. Utiliser le même mot de passe pour différents services peut donc être très risqué.

Un bon mot de passe doit être sûr, mais aussi toujours disponible. Se souvenir de tous ses mots de passe semble irréaliste, et personne ne veut toujours avoir un carnet de notes sur soi. Quelles sont les possibilités de gestion des mots de passe que vous pouvez recommander ?

Les gestionnaires de mots de passe sont une bonne solution. Ici, il suffit de se souvenir d'un mot de passe principal pour pouvoir accéder à tous les autres mots de passe. Les gestionnaires de mots de passe ont également l'avantage de proposer souvent la génération automatique de mots de passe.

Il existe quelques options gratuites dans le domaine open source. Au sein de l'université, nous recommandons le programme KeePass (lien dans l'infobox).

Il convient toutefois d'être prudent avec les fournisseurs qui enregistrent leurs mots de passe dans un nuage. Dans le passé, il y a eu des cas où ceux-ci ont été compromis par un pirate, qui a alors naturellement accès à un grand nombre de mots de passe. Je me méfierais de tels gestionnaires de mots de passe.

Pour les gestionnaires de mots de passe qui fonctionnent localement et qui enregistrent les mots de passe sur leur propre système, il faut en tout cas assurer une sauvegarde externe du fichier de mots de passe. En effet, en cas de perte de l'ordinateur, il est toujours possible d'accéder aux mots de passe. C'est là qu'intervient la question des sauvegardes.

Quelles sont les options disponibles pour effectuer des sauvegardes de données importantes et à quelle fréquence faut-il effectuer une sauvegarde ?

Dans tous les cas, il est important de se fixer une certaine régularité. Pour ce faire, il est judicieux de travailler avec des disques durs externes ou des clés USB.

Les différents systèmes d'exploitation proposent leurs propres mécanismes pour organiser les sauvegardes. La fonction de recherche du système d'exploitation concerné permet de trouver facilement les paramètres de sauvegarde.

On peut alors définir soi-même quels contenus doivent être sauvegardés et avec quelle régularité. Il est important de déterminer quelles données on souhaite sauvegarder. Les données du système d'exploitation ne doivent pas être sauvegardées régulièrement, cela demande beaucoup de mémoire et elles peuvent être restaurées sans problème.

Pour les étudiants, il est judicieux de sauvegarder les données privées importantes et les documents relatifs aux études. Pour les travaux de fin d'études et les travaux de séminaire, il convient de faire une sauvegarde au moins une fois par semaine, voire plus souvent selon l'ampleur des modifications quotidiennes.

Les étudiants ne pourront pas éviter de gérer leur propre compte de messagerie. Quel est le degré de sécurité de l'échange d'informations par e-mail ?

C'est une question passionnante. Si l'on demandait ici aux opérateurs, la réponse serait probablement "très sûr". Disons que tous les protocoles à la base d'un échange d'e-mails sont aujourd'hui un peu dépassés et ne sont pas forcément adaptés aux exigences de sécurité actuelles.

Cela peut conduire à ce que des informations soient divulguées par des tiers. Les fournisseurs tentent ici de combler peu à peu les lacunes en matière de sécurité et de mettre en place une infrastructure de plus en plus fiable afin de préserver la confidentialité des données. Le cryptage des e-mails est en outre une autre option pour protéger les données contre l'accès.

Un de mes amis reçoit constamment des e-mails d'inconnus contenant des liens vers des offres douteuses sur Internet. Est-il vrai que l'on peut être lésé par de tels e-mails ?

Vous parlez de la catégorie des e-mails dits de phishing ou de spam. Ici, il y a surtout le risque de se faire avoir par de tels e-mails. Les scénarios sont très variés. Il se peut par exemple qu'une pièce jointe soit jointe à l'e-mail et qu'un logiciel malveillant y soit installé ou que l'on soit invité à saisir ses données d'accès sur un site web falsifié.

De nombreux fournisseurs de messagerie proposent des dossiers de spam. En y déplaçant de tels e-mails indésirables, la boîte aux lettres peut apprendre et, en théorie, trier directement ces e-mails à l'avenir. Cela peut aider à réduire la quantité de courriers de ce type que l'on reçoit. Le problème est que même de cette manière, il est techniquement impossible de reconnaître automatiquement tous les e-mails de phishing.

Il n'est donc malheureusement pas possible de ne plus recevoir ces e-mails. La seule solution est d'être sensibilisé en conséquence et de savoir à quelles caractéristiques on peut identifier de tels e-mails.

Des collègues de l'Institut de technologie de Karlsruhe, le KIT, ont développé à cet effet le No-Phish-Quiz. De mon point de vue, il s'agit d'une mesure très utile pour les étudiants afin de développer leurs propres compétences en matière d'identification et d'évaluation des e-mails de phishing (lien vers le quiz NoPhish dans l'infobox).

Outre les e-mails, de nombreux étudiants utilisent les médias sociaux, les services de messagerie comme WhatsApp, Telegram, Signal et autres, pour échanger des informations. Dans quelle mesure ces informations sont-elles protégées ?

Les services de messagerie évoqués ont différents niveaux de protection des communications qui ont lieu par leur intermédiaire. Certains d'entre eux disposent d'un cryptage de bout en bout qui empêche un "homme du milieu" d'intercepter les données. S'il n'y a pas de cryptage de bout en bout, la communication est relativement ouverte, comme dans le cas du courrier électronique.

Ma recommandation est de veiller dans tous les cas, lors du choix du service de messagerie, à ce que celui-ci prenne en charge le cryptage de bout en bout.

Non seulement les mots de passe et les messages privés peuvent être interceptés, mais aussi les données des utilisateurs*, et ce en toute légalité, à l'aide de ce que l'on appelle des "cookies". Quelles sont les possibilités de réglage pour la protection de la vie privée des utilisateurs* ?

Pour l'instant, il ne reste malheureusement qu'à examiner attentivement les exigences des opérateurs en matière de cookies et à procéder à ses propres réglages. En général, lors de l'ouverture d'une page web, une fenêtre vous est présentée, dans laquelle vous avez la possibilité d'accepter tous les cookies, de les refuser ou de trouver un compromis entre les deux.

Lors de ces demandes de cookies, on a en fait toujours la possibilité de procéder à des réglages. Si l'on utilise souvent un site, il est judicieux d'y jeter un coup d'œil et de décider quelles données on souhaite ou non transmettre. Par ailleurs, les navigateurs Internet typiques disposent souvent de fonctions permettant de bloquer certains cookies et de mieux surveiller ces processus. Il vaut donc la peine de consulter les paramètres de son propre navigateur Internet.

Pour travailler en toute sécurité, les mises à jour du système sont également importantes. Mon ordinateur me signale constamment les mises à jour en attente et demande alors à être redémarré. Je pense que je parle au nom de beaucoup de gens quand je dis que je repousse souvent ce genre de choses. Une telle attitude est-elle dangereuse ?

Dangereux n'est peut-être pas le bon terme, c'est plus risqué. Il faut simplement voir que ces mises à jour n'apportent pas seulement de nouvelles fonctionnalités, mais qu'elles comblent souvent des lacunes de sécurité. C'est pourquoi la recommandation fondamentale est d'appliquer rapidement les mises à jour.

Cela vaut bien sûr non seulement pour les mises à jour du système d'exploitation, mais aussi pour les mises à jour des programmes que vous utilisez.

Quel programme antivirus est utile pour les étudiants ?

En règle générale, les programmes fournis par défaut par le système d'exploitation sont suffisants. Dans le domaine de MacOS, vous obtenez également des mises à jour du système en ce qui concerne la protection antivirus. Pour les systèmes Windows, le Defender, qui est préinstallé par défaut chez Microsoft, offre une bonne protection de base.

Que doivent faire les étudiants s'ils remarquent des activités suspectes sur leur propre ordinateur ou profil d'utilisateur ? Par exemple en recevant un message de leur propre programme antivirus.

La principale recommandation est de commencer par déconnecter l'appareil d'Internet. Cela permet d'éviter que le logiciel malveillant qui s'est éventuellement installé puisse communiquer avec l'extérieur et télécharger d'autres contenus pour se propager davantage sur l'appareil. Cela signifie désactiver le WLAN ou retirer le câble LAN.

Selon la gravité du cas, il ne vous restera plus qu'à réinitialiser le système. Si vous avez une bonne sauvegarde, c'est acceptable. En général, cette solution est la plus simple et la plus sûre.

Y a-t-il à l'université un service qui peut aider les étudiants en cas de problèmes informatiques ?

L'université ne peut malheureusement pas offrir un tel service aux étudiants pour le moment.

Il existe cependant des magasins commerciaux à Fribourg qui disposent des connaissances et des appareils nécessaires et qui peuvent vous aider.

Si l'on est victime d'un virus, je conseille aux étudiants de mettre à jour leur système d'exploitation. Une sauvegarde, dont je devrais m'occuper au préalable, joue ici un rôle important. Il faut également vérifier et, le cas échéant, modifier les données d'accès aux services en ligne que l'on utilise, notamment dans les domaines du courrier électronique, des achats en ligne et des opérations bancaires.