Geekly articles weekly

Je n'ai rien à cacher

À quelle fréquence entendez-vous cette phrase simple, à première vue, de vos amis, parents et collègues?

Alors que l'État et les entreprises géantes mettent en œuvre des moyens plus sophistiqués de contrôler les informations et de suivre les utilisateurs, le pourcentage de personnes malavisées qui prennent pour la vérité commune la déclaration plutôt évidente à première vue augmente: «Si je ne viole pas la loi, Je n'ai rien à craindre. »

En effet, si je n'ai rien fait de mal, le fait que les gouvernements et les entreprises géantes veuillent collecter toutes les données me concernant, e-mails, appels téléphoniques, images webcam et recherches ne fait aucune différence, car ils sont tous De même, ils ne trouveront rien d'intéressant.

Après tout, je n'ai rien à cacher. N'est-ce pas?




Quel est le problème?


Je suis administrateur système. La sécurité des informations est très étroitement intégrée dans ma vie et, en raison des spécificités de mon travail, en règle générale, la longueur de l'un de mes mots de passe est d'au moins 48 caractères.

Je connais la plupart d'entre eux par cœur et parfois lorsqu'une personne au hasard regarde par hasard comment j'introduis l'un d'entre eux, il soulève généralement la question raisonnable - "pourquoi est-ce si ... volumineux?"

"Pour la sécurité?" Mais pas aussi longtemps! Par exemple, j'utilise un mot de passe à huit caractères, car je n'ai rien à cacher . "

Récemment, j'ai de plus en plus entendu cette phrase de gens de mon entourage. Ce qui est particulièrement déprimant - parfois même de ceux qui sont davantage associés aux technologies de l'information.

Ok, reformulons.

Je n'ai rien à cacher, car ...


... tout le monde connaît déjà mon numéro de carte bancaire, son mot de passe et son code CVV / CVC
... tout le monde connaît déjà mes codes PIN et mes mots de passe
... tout le monde connaît déjà la taille de mon salaire
... tout le monde sait déjà où je suis en ce moment

Et ainsi de suite.

Cela ne semble pas très crédible, non? Cependant, lorsque vous prononcez à nouveau la phrase «je n'ai rien à cacher», vous voulez dire ceci. Bien sûr, vous n'êtes peut-être pas encore au courant, mais la vérité ne dépend pas de votre volonté.

Il est important de comprendre qu'il ne s'agit pas de dissimulation, mais de protection. Protégez vos valeurs naturelles.

Vous ne pouvez rien cacher si vous êtes absolument sûr qu'il n'y a aucune menace pour vous et vos données de l'extérieur


Cependant, la sécurité absolue est un mythe. "Seul celui qui ne fait rien ne se trompe pas." Ce sera une énorme erreur de ne pas prendre en compte le facteur humain lors de la création de systèmes d'information étroitement liés à la sûreté et à la sécurité des données des utilisateurs.

Tout verrou nécessite une clé . Sinon, à quoi ça sert? Le château a été conçu à l'origine comme un moyen de protéger la propriété de l'interaction des étrangers avec elle.

Vous ne serez guère ravi si quelqu'un accède à votre compte sur un réseau social et commence à diffuser des messages obscènes, des virus ou du spam en votre nom.

Il est important de comprendre que nous ne cachons pas les faits. En effet: nous avons un compte bancaire, email, compte Telegram. Nous ne cachons pas ces faits au public. Nous protégeons ce qui précède d'un accès non autorisé.

Mais à qui ai-je renoncé?


Une autre idée fausse tout aussi courante qui est généralement utilisée comme contre-argument.

Nous disons: "Pourquoi les entreprises ont-elles besoin de mes données?" ou "Pourquoi un pirate devrait-il me casser?" ne tenant pas compte du fait que le piratage peut ne pas être sélectif - le service lui-même peut pirater, auquel cas tous les utilisateurs qui ont été enregistrés dans le système en souffriront.

Il est important non seulement de respecter les règles de sécurité de l'information, mais également de choisir les outils que vous utilisez correctement.

Permettez-moi de vous donner quelques exemples pour clarifier ce qui est discuté.

Ils n'avaient rien à cacher


  • MFC
    En novembre 2018, des données personnelles ont été divulguées par les centres multifonctionnels de Moscou pour la fourniture des services publics et municipaux (MFC) «Mes documents».

    Sur les ordinateurs publics du MFC, de nombreuses copies scannées de passeports, de SNILS, de questionnaires indiquant des téléphones portables et même des coordonnées bancaires ont été trouvées, auxquelles tout le monde pouvait accéder.

    Sur la base des données obtenues, il a été possible d'obtenir des microcrédits ou même d'accéder à des fonds sur les comptes bancaires des personnes.
  • Sberbank
    En octobre 2018, une fuite de données s'est produite . Les noms et adresses e-mail de plus de 420 000 employés étaient du domaine public.

    Les données clients ne sont pas tombées dans ce déchargement, mais le fait de leur apparition dans un tel volume indique que le voleur avait des droits d'accès élevés dans les systèmes de la banque et pouvait y accéder, y compris aux informations clients.
  • Google
    L'erreur dans l'API du réseau social Google+ a permis aux développeurs d'accéder à des données de 500 mille utilisateurs telles que: identifiants, adresses e-mail, lieux de travail, dates de naissance, photos de profil, etc.

    Google affirme qu'aucun des 438 développeurs qui avaient accès à l'API n'était au courant de cette erreur et ne pouvait pas l'utiliser.
  • Facebook
    Facebook a officiellement confirmé la fuite de données de 50 millions de comptes, alors que jusqu'à 90 millions de comptes étaient potentiellement affectés.

    Les pirates ont pu accéder aux profils des propriétaires de ces comptes grâce à une chaîne d'au moins trois vulnérabilités dans le code Facebook.

    En plus de Facebook lui-même, les services qui utilisaient les comptes de ce réseau social pour l'authentification (Single Sign-On) ont également souffert.
  • Google à nouveau
    Une autre vulnérabilité de Google+ qui a divulgué des données à 52,5 millions d'utilisateurs.
    La vulnérabilité permettait aux applications de recevoir des informations des profils d'utilisateurs (nom, adresse e-mail, sexe, date de naissance, âge, etc.), même si ces données étaient privées.

    De plus, grâce au profil d'un utilisateur, il était possible de recevoir des données d'autres utilisateurs.

Source: «Fuites de données les plus importantes en 2018»

Les fuites de données se produisent beaucoup plus souvent que vous ne le pensez


Il est vrai que toutes les fuites de données ne sont pas ouvertement revendiquées par les attaquants ou les victimes elles-mêmes.

Il est important de comprendre que tout système pouvant être piraté le sera. Tôt ou tard.

Voici ce que vous pouvez faire maintenant pour protéger vos données.


→ Changez d'avis: n'oubliez pas que vous ne cachez pas vos données, mais protégez-les
→ Utiliser une autorisation à deux facteurs
→ N'utilisez pas de mots de passe légers: mots de passe qui peuvent vous être associés ou trouvés dans le dictionnaire
→ N'utilisez pas les mêmes mots de passe pour différents services
→ Ne stockez pas les mots de passe en texte clair (par exemple, sur une feuille de papier collée au moniteur)
→ Ne communiquez votre mot de passe à personne, même au personnel d'assistance
→ Évitez d'utiliser les réseaux Wi-Fi gratuits

À lire: articles utiles sur la sécurité de l'information


Sécurité de l'information? Non pas entendu
Programme éducatif sur la sécurité de l'information aujourd'hui
Fondements de la sécurité de l'information. Erreur de prix
Vendredi: Paradoxe de la sécurité et de la survie


Prenez soin de vous et de vos données.

Source: https://habr.com/ru/post/fr463937/

More articles:


All Articles