Comment garder votre PC ou Mac sécurisé

Saviez-vous que même si votre PC ou Mac a les dernières mises à jour, l'anti-virus le plus récent et comporte un pare-feu local, il peut malgré tout être infecté ?

Quand les ordinateurs sont utilisés de façon personnelle, plutôt que professionnelle, les risques d'infections ou d'autres incidents de sécurité augmentent - les films, jeux, musiques et autres applications personnelles entrainent tous des risques.

Si vous gérez votre propre ordinateur ou installez vos propres applications, vous êtes responsables de leur sécurité :

• Assurez-vous que le logiciel est permis selon les restrictions du CERN concernant les logiciels pour l'utilisation personnelle et professionnelle
• Assurez-vous que le système et les applications sont configurés de manière sécurisée
• Assurez-vous que vous avez des connaissances suffisantes du logiciel que vous installez ou configurez
• Assurez-vous que les patches de sécurité sont régulièrement installés - cela peut nécessiter l'installation d'une nouvelle version
• Utilisez un antivirus qui est automatiquement mis à jour
• Renforcer votre pare-feux local
• Ne téléchargez pas, n'installez pas et n'exécutez pas de logiciels depuis des sources non sures, par exemple via Internet ou un support physique tel que DVD ou clefs USB
• Tapez « [ALT][F4] » (à la place de « Annuler », « OK » ou « Non ») pour fermez les fenêtres surgissantes (ou « pop-up »)
• Limitez les privilèges administrateur et le nombre d'utilisateurs autorisés à accéder au système au minimum
• Verrouillez votre écran

Voici quelques conseils pour vous aider à garder votre PC sécurisé. Ces conseils, utiles pour toutes les plateformes, sont surtout destinés aux utilisateurs de Windows.

Permettez l'installation automatique des mises à jour

De nombreux problèmes de sécurité sont causés par des logiciels qui n'ont pas les dernières mises à jour installées. La plupart des logiciels peuvent installer les mises à jour automatiquement. Assurez-vous que les logiciels installés ont cette fonctionnalité activée.

• Pour les ordinateurs Windows, assurez-vous que la « Mise à jour Windows » (« Windows Update ») est activée et est éxécuté régulièrement;
• Pour les ordinateurs Linux, assurez-vous que yum autoupdate (Redhat/SLC) ou apt-get autoupdate (Debian/Ubuntu) est activée et est éxécuté régulièrement.
• Pour les ordinateurs Mac, assurez-vous que « Software Update » soit actif (System Preferences/Software Update) et exécuté périodiquement.

Si vous préférez ne pas assumer cette responsabilité: utilisez les systèmes du CERN recommandés et gérés centralement de Windows ou CERN Scientific Linux. Pour l'utilisation privée/utilisation à la maison, le système d'exploitation Windows peut être obtenu ici à un coût décent.

Utilisez un antivirus qui est automatiquement mis à jour

Multiple nouveaux virus apparaissent quotidiennement. Les PCs NICE du CERN gérés centralement sont équipés d'un antivirus et sont automatiquement mis à jour afin de limiter les dommages des virus connus. Si un virus est découvert, l'antivirus vous le signalera, et l'empêchera de fonctionner (en le mettant en quarantaine). Vous pourrez continuer à travailler normalement, le service antivirus sera automatiquement informé et vous contactera si d'autres actions sont nécessaires. Parfois, l'antivirus ne peut pas empêcher complètement les dommages, si vous rencontrez des problèmes, contactez helpdesk@cern.ch (tél: 78888), fournissez le nom de votre PC, les détails du message d'erreur et du problème, et demandez une vérification de virus.

Toute personne gérant son propre PC Windows ou Apple Mac est responsable d'obtenir, d'installer et de mettre à jour son antivirus. Cela s'applique à tous les PCs sur le réseau du CERN, y compris ceux des visiteurs. Une version gratuite pour l'installation au CERN et à la maison est disponible ici pour les Apple Mac et Microsoft Windows.. Une option open source existe aussi pour les utilisateurs « Linux ». « ClamAV » pourrait été utilisé pour rechercher les fichiers malveillants sur votre système, bien que ce ne soit pas une solution antivirus complète... Un antivirus mis à jour régulièrement est particulièrement important pour les PCs portables qui sont utilisés à d'autres endroits et connectés à d'autres fournisseurs d'accès à Internet, vu qu'ils évitent les protections de sécurité du CERN. Non seulement cela augmente leur chance d'infection, mais met le site du CERN en danger, vu que, une fois infectés, ils peuvent propager l'infection depuis l'intérieur du pare-feu du CERN.

Renforcer votre pare-feux local

Un moyen simple supplémentaire de protéger votre ordinateur des intrusions est d'utiliser un pare-feux local, bloquant toutes les connections non-requises, non-solicitées ou non-voulues, lesquelles peuvent potentiellement être utilisées pour endommager votre ordinateur ou voler vos informations personnelles. Un tel pare-feux est gratuit avec Windows et avec toutes les distributions Linux.

Le pare-feux Windows est déjà activé par défaut. Cependant, vous pouvez le vérifier depuis le bouton « Démarrer » (allez dans « Panneau de Contrôle », puis « Centre de Sécurité » et enfin « Pare-feux »). Dans le cas idéal, cela devrait ressembler à ceci :

Avec les paramètres par défaut, le pare-feux Windows bloquera la plupart des programmes pour empêcher les requêtes non-solicitées, et une fenêtre comme celle de droite ci-dessus apparaitra. Si vous décidez de débloquer le programme, il sera alors ajouté aux exceptions (listées sous l'onglet « Exceptions » à gauche de l'image).

Pour Scientific Linux CERN (ou Fedora Linux/CentOS/RHEL et les versions de Linux similaires), veuillez s'il vous plait utiliser l'interface graphique utilisateur et selectionner la configuration « Pare-feux » depuis le sous-menu « Administration » du menu « Système » (voir l'image de gauche ci-dessous), or entrez sytem-config-firewall depuis la console. Le mot de passe administrateur vous sera demandé afin de pouvoir utiliser cette application. L'interface de configuration suivante vous sera présentée :

Par défaut, votre pare-feux est pré-configuré pour autoriser les connections SSH entrantes et les accès au système de fichiers distribué AFS (voir sous « Autres Ports »).

Si vous êtes suffisamment expert et préférez utiliser la ligne de commande, veuillez noter que la configuration du pare-feux est enregistrée dans le fichier /etc/sysconfig/iptables. Les détails sur la configuration des iptables sont disponibles dans Red Hat Enterprise Linux Security Guide.

Ne téléchargez pas, n'installez pas et n'exécutez pas de logiciels depuis des sources non sures

(Parmi ces sources non sures on trouve : Internet, les clés USB, CDs, DVDs, etc.)

Un nombre croissant d’incidents de sécurité informatique détectés au CERN est dû à des logiciels téléchargés, installés ou exécutés depuis des sources douteuses. Les virus sont souvent cachés à l'intérieur des fichiers. Lorsque vous copiez et exécutez un fichier contenant un virus, vous pouvez non seulement infecter votre propre PC, mais également commencer à propager un virus à l'intérieur du pare-feu du CERN. « Logiciels gratuits » ne signifie pas nécessairement « Logiciels amis » : certains de ces logiciels « gratuits » populaires disponibles sur le Web peuvent introduire des problèmes de sécurité, soit lorsque le logiciel est installé (par exemple en installant des logiciels espions (« spyware ») ou publiciels (« adware ») ou plus tard, à cause du manque de mises à jour servant à éliminer les failles de sécurité. En particulier, il existe des antivirus gratuits dont la publicité est faite sur Internet qui peuvent contenir des logiciels malveillants. Cette forme d' « ingénierie sociale » peut cacher des logiciels malicieux à l'intérieur d'un « package de sécurité » pour vous faire croire que ce logiciel est fiable. Des versions « gratuites » de logiciels sous copyright contiennent souvent des chevaux de Troie (« Trojan horses »), des logiciels espions ou d’autres logiciels malveillants – cela est un problème en plus du fait que l’on viole le droit d’auteur. De plus l'installation d'un module d'extension (en anglais « plug-in ») peut aussi télécharger un logiciel malicieux que l'extension peut contenir. Si un site web nécessite un « plug-in » pour être visualisé, il vaut mieux ne pas l'accéder.

En plus des problèmes de sécurité, les logiciels installés pour l’utilisation personnelle créent souvent des problèmes de support. Les logiciels additionnels peuvent rendre l’analyse des problèmes plus difficile et celle-ci peut prendre plus de temps. Et même si l’installation initiale semble ne pas avoir d’impact sur le fonctionnement du système, elle pourrait poser problème plus tard lorsque l’on voudra effectuer des changements sur le système. La désinstallation de logiciels additionnels peut requérir une réinstallation complète du système, pour récupérer de tous les changements qui lui ont été faits. Des réinstallations ont été requises après l’installation de certains « téléchargements gratuits ».

Par conséquent, copiez seulement les fichiers provenant de sources sures, telles que des entreprises commerciales qui ont un contrat/accord avec le CERN concernant leurs logiciels. Les logiciels qui ne sont pas indispensables aux fonctions professionnelles d’un utilisateur introduisent un risque inutile et ne devraient pas être installés ou utilisés sur des ordinateurs connectés au réseau du CERN. Installez plutôt les logiciels qui sont fournis centralement pour les ordinateurs href="https://cern.ch/winservices/">Windows ou Scientific Linux du CERN.

Pour plus d'information sur les logiciels espions et comment les éviter, veuillez consultez la page : http://cern.ch/WinServices/Help/?fdid=16.

[ALT][F4]: Attention aux fenêtres surgissantes (ou « pop-ups »)

Visiter un site Web peut parfois résulter en l'ouverture de fenêtre surgissantes (ou « pop-up »). Certaines fenêtres surgissantes (en anglais « pop-ups ») peuvent être configurées de façon malicieuse de telle sorte que même si vous sélectionnez « Annuler » (« Cancel »), « OK » ou « Non » (« No »), ou si vous fermez la fenêtre avec la croix en haut à droite, un programme peut malgré tout s'exécuter sur votre ordinateur.

Sur un PC Windows fermez la fenêtre avec les clés [Alt][F4], qui assurent la fermeture de la fenêtre « active ».

Configurez le PC pour ne pas avoir en permanence les privilèges administrateur

Il y a un nombre croissant de vulnérabilités non-corrigées (zero-day exploits) - des failles de sécurité qui sont découvertes avant que les patches ne soient disponibles. Avec ces vulnérabilités, le simple fait de cliquer un lien du web en ayant les privilèges administrateur peut installer automatiquement quelque logiciel malicieux qui va infecter votre machine.

On vous recommande donc d'ouvrir la session sans les privilèges administrateur ce qui réduit les dommages qu'un logiciel malicieux peut faire. Pour plus d'information pour ouvrir une session sans les privilèges administrateur veuillez lire la page : http://cern.ch/WinServices/Help/?kbid=010121.

Verrouillez votre écran

Verrouillez votre écran à chaque fois que vous quittez votre bureau. Pour Linux, veuillez s'il vous plaît utiliser [Control][Alt][L]. Pour Windows, veuillez utiliser [Comtrol][Alt][Suppr] et sélectionner « Verrouiller l'ordinateur » (ou si vous avez un clavier Windows, appuyez simplement sur [Windows][L]). Pour un Mac, veuillez d'abord activer l'option « Afficher le status dans la barre de menu » dans les préférences de l'application « Trousseau d'accès », et dans ce menu, l'écran peut être verrouillé manuellement ou après un certain temps en cas d'inactivité:

Il est également recommandé de vérrouiller automatiquement votre écran après par exemple 10 minutes d'inactivité. Sur un Mac, le verrouillage de l'écran est activé dans « Préférences Système / Sécurité » (voir photo ci-dessus, à droite) tandis que le temps avant la mise en veille automatique est défini sous la rubrique « Économiseur d'énergie ». Pour Windows, clic-droit sur le bureau, choisissez « Propriétés » puis l'onglet « Écran de veille ». Modifiez ce paramètre pour « Attendre 10 minutes » et cliquez sur la case « À la reprise, protéger par mot de passe »:

Pour tous les utilisateurs
(experts ou non)

• Sept « good practices »
• Mots de passe &
  brosses à dents
• Commencer avec
  l'authentification
  à deux facteurs
• Mauvais mails pour vous:
  « hameçonnage », « SPAM » & fraude
• Comment identifier des courriels et documents joints malicieux
• Travailler à distance
• Comment sécuriser
  votre PC ou Mac
• Se connecter au CERN
• Chiffrer Windows PCs/laptops (Bitlocker), Macs (FileVault) and Linux (LUKS)
• Chiffrage avec SSH
• A propos des fichiers Windows, sécurité de Mozilla

Pour les développeurs

• Bonne programmation en C/C++, Java, Perl, PHP, ou Python
• Comment garder les secrets secrets
  (alternatives aux mots de passe)
• Checklist de sécurité
• Outils pour sécuriser GitLab CI (en anglais)
• Sécuriser les applications Web
• Outils d’analyse statique de code source
• Pour en savoir plus

Pour les propriétaires de systèmes

• Baselines de sécurité
• FAQ sur les vulnérabilités Linux du CERN
• Recherche de rootkits
• Sécuriser des conteneurs & pods
• Sécuriser les systèmes de contrôle (CNIC)

© Copyright 2024 CERN Computer Security Team

e-mail: Computer.Security@cern.ch Utilisez la clé PGP suivante pour encrypter vos messages : ID: 0x954CE234B4C6ED84 429D 6046 0EBE 8006 B04C DF02 954C E234 B4C6 ED84

Téléphone: +41 22 767 0500 (Écoutez les instructions enregistrées.)