La dernière actualité liée à Synolocker, ce virus touchant les NAS de la marque Synology m’a poussé à rédiger ce billet car il me semble que la sécurité informatique est souvent laissée de côté et que quand quelque chose fonctionne on n’y touche plus.
Je suis confronté quotidiennement à des utilisateurs qui ont des programmes ou des sites internet qui fonctionne mais qui ne sont pas à jour. Quand je leur demande de mettre à jour on me regarde avec de grand yeux et on me répond que ça marche très bien donc autant ne pas y toucher.
Même si je peux comprendre le raisonnement je dois avouer que je n’adhère pas à cette politique. Si on prend comme exemples un site internet, un blog sous WordPress par exemples, dans bien des cas un particulier va mettre son site à jour régulièrement à chaque version de sécurité de WordPress et va également mettre à jour les plugins installés. Dans le cas des entreprises c’est malheureusement bien souvent différent. Les mises à jour sont mises de côtés et tant que tout fonctionne on n’y touche plus. Autant vous dire que les sites sont rapidement exposés à des failles de sécurités pouvant créer des dégâts très importants voir rendre le site définitivement inutilisable. C’est un peu ce qui c’est passé avec les disques réseaux (NAS) Synology. Une faille de sécurité a été découverte et corrigée en décembre. Cette faille a été exploitée par des pirates pour rendre les données inutilisables et forcer le propriétaire à payer une rançon de quelques centaines de francs.
Si je construis une maison et que cette maison à un garage je vais très certainement installer une porte pour le garage. En tant que personne normale je ne vais pas me lancer tête baissée et je vais me renseigner et aller chercher plus d’information sur la motorisation de porte de garage par exemples afin de choisir le bon système d’ouverture. Moteur suspendu et ouverture verticale, moteur latéral et ouverture coulissante ou à rotation, … en complément je vais également faire très attention à la sécurité en m’assurant que la porte soit solide, que l’électronique ne soit pas accessible, … afin d’éviter que des cambrioleurs pénètres dans ma demeure. De plus les câblages des bâtiments changent et la domotique fait son apparition en permettant une automatisation de la maison (stores, portes, alarmes, …). La domotique signifie également un risque de sécurité si l’installation est mal conçue.
Quand j’installe un appareil (un disque dur réseau, une radio wifi, …) je ne me renseigne pas ou pas suffisamment. Je l’installe et une fois que c’est en service je ne fais pas les mises à jour ce qui est bien évidement risqué.
Je tire les même conclusions avec les réseaux informatiques des entreprises (petites ou grandes). Bien souvent les informaticiens sont complètement paranoïaques et installe des firewall (éléments de protection du réseau entre Internet et le réseau), filtre le trafic sortant, verrouille les ordinateurs des utilisateurs mais laisse les ports libres des switch accessibles et la salle informatique n’est pas surveillée ni fermée à clé. On se verrouille de l’extérieur mais un grand nombre d’attaque de réseau et de vol de données sont effectués depuis l’intérieur du réseau. Encore une fois ces professionnels ne se renseigne pas suffisamment et exposes leurs réseaux et les données de l’entreprise à des risques sérieux.
Si je devais résumer cet article et en ressortir le message principal il serait le suivant: Renseignez vous un maximum et soyez curieux. Même si vous pensez savoir posez vous quand même les questions et n’oubliez jamais d’effectuer les mises à jour de sécurité même si l’appareil ou le programme fonctionne bien!
Les réflexes à avoir sont les suivants:
- Toujours mettre à jour les appareils. Si une correction existe ce n’était pas juste pour occuper les développeurs
- Toujours se poser la question si ça semble réaliste. De très nombreuses arnaques circule.
- Si j’ai un doute je demande à quelqu’un. Vous trouverez toujours dans votre entourage quelqu’un qui s’y connaît et qui pourra vous renseigner ou au pire contactez-moi.
PS: J’aimerais encore ajouter un dernier point. Arrêtez d’être crédule et de croire ce qu’on vous dis sans vérifier. Je vous recevez un mail en vous proposant des grosses sommes d’argent suite au décès d’une personne que vous ne connaissez pas ne tombez pas dans le piège. Internet est un monde magique mais ce n’est pas le pays de bisounours. C’est la même chose sur Facebook, si vous voyez un de vos amis partager un super concours d’une société qui va distribuer gratuitement des dizaines de Smartphone ou de Tablet car les cartons étaient un peu abîmés, renseignez-vous avant de participer car il y a de très forte chance que ce soit une arnaque comme celle que je décrivais ici.
Laisser un commentaire