Comment sécuriser son PC
Paris, le 26 octobre 2016
La dernière attaque en date sur Internet, sous forme de Déni de service (DOS) contre les serveurs DNS de la société DYN, bloquant ainsi l'accès aux serveurs Spotify, Twitter, Amazon ou Netflix depuis les Etats-Unis, le montre bien : le niveau global de sécurité d'un système informatique est défini par le niveau de sécurité du maillon le plus faible. En l'occurrence, il s'agissait dans ce cas précis de systèmes d'enregistrement vidéo numériques (caméras de surveillance connectées) dont le mot de passe par défaut ne peut être changé ! Il suffisait donc, pour prendre le contrôle de ces caméras, de connaitre le mot de passe communiqué par le constructeur à tous ses clients.
Il suffit pourtant de prendre quelques mesures simples pour élever considérablement le niveau de sécurité de son informatique. Notamment son PC favori sous Windows. Je vous explique comment.
Vacciner son PC contre les virus et autres maladies contagieuses du Net
La première mesure de sécurité consiste à installer un anti-virus sur son PC. Par défaut, Windows vous est livré avec l'anti-virus maison de Microsoft, Windows Defender. Si les premières moutures de cet anti-virus laissaient à désirer, la dernière version de Defender est plus aboutie, proposant même une protection temps réel. Mais sa mission première reste de scanner les fichiers d’un ordinateur pour y débusquer les logiciels espions et autres virus qui pourraient infecter votre système. Il assure cependant une protection minimale et bloque les virus et les malwares les plus communs. Microsoft ne s’en cache d'ailleurs pas et dès qu’un antivirus tiers est installé sur une machine, Windows Defender s’efface au profit du nouveau logiciel de protection. Et les mesures comparatives le confirment avec des résultats sans appel
L'étude menée par AV-Comparatives entre mars et juin 2015 mesure la protection temps réel de Windows Defender : dans 90% des cas, l'anti-virus fait bien son travail (c'est la ligne blanche en pointillé sur le graphique ci-contre). Ce qui n'est pas si mal me direz-vous. Sauf que la plupart des concurrents font au alentours de 96 % (99 % pour le meilleur, 92% pour le moins bon). Cela laisse une sacré marge de progrès à Windows Defender.
Une autre étude comparative, cette fois-ci mené par AV Test, a soumis Windows Defender à une batterie de 167 fichiers et failles zero-day. L'anti-virus de Microsoft en trouve entre 80 et 90 %, là où la concurrence en trouve 98%. AV Test l’a également testé sur 22 500 fichiers comprenant les malwares les plus courants de ces 6 derniers mois et Windows Defender en a trouvé entre 89 et 95 %, là où les autres antivirus sont à 99 %. Au passage, vous pouvez comparer aussi les performances des autres anti-virus...
Force est de constater que Windows Defender n'est vraiment pas bon, même là où il devrait, c'est à dire le scan des fichiers. Car Windows Defender ne travaille que sur la mémoire et les fichiers stockés sur le disque dur. Il ne s'occupe pas de votre messagerie ni de votre navigation sur Internet.
Je crois qu'il est inutile d'insister. Il vous faut installer un autre anti-virus, et en la matière, vous avez l'embarras du choix : BitDefender, Norton, McAfee, F-Secure, Kapersky, TrendMicro et consorts offrent tous une bonne protection. Ils sont aussi tous payants. Le seul logiciel gratuit à pouvoir rivaliser, dans une moindre mesure, est Avast. Même si les mauvaises langues le taxent régulièrement d'être capable de rater un virus dans un couloir, les précédents tests donnent une vision plus objective du niveau de protection offert par l'éditeur allemand. Si vous ne téléchargez rien d'illégal, comme des logiciels piratés généralement infestés par des chevaux de troie et autres malwares, vous n'avez pas besoin de plus. Avast suffit à vous protéger et fait le job sans ralentir outre mesure votre PC. Si votre passe-temps favori consiste à télécharger des exécutables d'origine douteuse, offrez-vous un abonnement à Kapersky.
Une fois votre anti-virus installé, n'imaginez pas que la sécurité de votre PC soit pour autant complète. L'anti-virus ignore généralement certains logiciels espions (spyware) ou publiciels (programmes qui saturent de publicités ciblées l'ordinateur qui les contient). La plupart des publiciels s'installent en effet avec votre consentement. Ils sont généralement livrés avec d'autres logiciels gratuits forts utiles mais qui au lieu de vous faire payer leur utilisation se rémunèrent en proposant de manière très subtile d'installer en même temps un publiciel. Si vous cliquez ou répondez un peu trop vite ou de manière distraite aux différentes questions posées par le programme d'installation, vous pouvez hériter de tout un tas de logiciels espions et autres adware qui ralentiront votre PC et vous inonderont de publicités ciblées car inspirées par votre navigation.
Ces logiciels ne sont pas considérés comme viraux car ils s'installent avec votre consentement. Il suffit en effet de décocher la case qui vous propose ce publiciel en complément du logiciel gratuit que vous être en train d'installer. Le hic est qu'il est impossible de désinstaller ces publiciels par la procédure standard. Pour se débarrasser de ces adwares et autre spyware, le meilleur outil du moment reste "ADWCleaner". Ce logiciel français vient juste d'être racheté par son concurrent américain, Malwarebytes, qui propose aussi d'une version gratuite de son anti-malware. On ne sait donc pas trop comment ADWCleaner évoluera mais espérons qu'une version gratuite continuera à exister car ce logiciel rend vraiment service.
ADWCleaner ne s'installe pas, contrairement à d'autres logiciels. Il vous faut simplement télécharger la dernière version à jour et lancer son exécution. ADWCleaner scannera votre PC et vous proposera de supprimer les différents logiciels espions ou entrées illégales de la base de registre. Il suffit de répéter l'opération régulièrement, car même en étant très prudent, il est toujours possible d'attraper une saloperie sur un site Web infecté, même si ce dernier a pignon sur rue comme on dit dans le jargon.
Combler les failles de sécurité rapidement
Les pirates s'attaquent de préférences aux systèmes informatiques vulnérables. C'est à dire des systèmes sur lesquels on n'a pas appliqué les correctifs de sécurité et qui présentent donc des failles de sécurité exploitables rapidement. Il est donc important de maintenir à jour son PC. Pour cela, vous avez naturellement Windows Update. Si sur Windows 7, Microsoft vous laissait encore la maîtrise des mises à jour, ce n'est plus le cas avec Windows 10. Vous êtes tenu de mettre à jour votre PC (à moins de le déconnecter d'Internet). Pour les irréductibles, sachez qu'il est encore possible de désactiver Windows Update, en inhibant le service au moment du démarrage du PC, mais ceci est contraire aux bonnes pratiques de sécurité et je ne peux que vous le déconseiller.
Mais Windows Update ne suffit pas. Ce service ne met à jour que le système Windows et les programmes de Microsoft, dont Office.De trop nombreuses failles existent encore dans les logiciels que vous installez, de Adobe Flash Player à Firefox ou Chrome en passant par Java et iTunes. La plupart des éditeurs installent en même temps que leur logiciel des services de mises à jour mais qui ne fonctionnent que pour les produits de l'éditeur, comme Google Update ou Oracle Java Updater par exemple. Qu'à cela ne tienne. Les éditeurs d'anti-virus se sont engouffrés dans la brèche, puisqu'il s'agit avant tout d'un problème de sécurité. Avast inclut donc dans son anti-virus gratuit un outil d'analyse et de mise à jour des principaux logiciels. Il suffit de lancer le scan pour identifier ceux qu'il faut mettre à jour et lancer la mise à niveau. Vous pouvez également paramétrer Avast pour que ce dernier fasse la mise à jour de manière automatique.
Vous trouverez également d'autres outils du même type comme Kaspersky Software Updater (en mode béta à ce jour), FileHippo App Manager ou le très complet Secunia PSI (pour Personal Software Inspector). Personnellement, je préfère éviter la multiplication des logiciels et m'appuie donc sur mon éditeur d'anti-virus préféré, mais à vous de choisir...
Tant que nous en sommes à la mise à jour de votre PC, pensez aussi de temps en temps à mettre à jour vos pilotes (drivers). Non rassurez-vous, il n'y a généralement pas de problème de sécurité avec les pilotes, juste des bugs. Pour mettre à jour vos pilotes, le plus simple est de passer par un scanner hardware en ligne, puis de télécharger les pilotes qu'il vous propose. Il vous suffit généralement d'installer un petit bout de logiciel pour analyser votre matériel avant de passer aux mises à jour. Celui que j'utilise régulièrement est l'ancien ma-config.com, devenu DriversCloud.com ;
Protéger sa vie privée et bannir les publicités
-
Utiliser la navigation privée. Tous les navigateurs proposent aujourd'hui une navigation privée. Ce mode ne vous rend pas anonyme, comme le précise Mozilla par exemple, mais bloque, ou tente de bloquer les cookies traceurs. En sus, votre historique de navigation ne sera pas conservé, ainsi que les fichiers temporaires mis en cache. Ce mode n'est pas 100% efficace et a aussi quelques effets de bord sur l'affichage de certains sites, qui s'appuient justement sur ces cookies espions pour vous afficher les éléments vous concernant.
-
Les bloqueurs de publicité. Le plus connu et le plus efficace est l'outil gratuit Adblock Plus, qui se présente comme un add-on à votre navigateur préféré (Firefox, Chrome, Safari ou Opéra) pour bloquer les publicités les plus intempestives. Certains sites détecteront votre logiciel de blocage et vous afficheront des messages destinés à désactiver ce blocage, mais passez outre. Sachez toutefois que Eyeo, la société éditrice de Adblock Plus laisse passer les "publicités dites acceptables" c'est à dire celles qui dérangent le moins. Mais en fait, il s'agit ni plus ni moins que des publicités autorisées par Adblock Plus, contre le versement d’une somme à Eyeo (vous trouvez que cela ressemble à du racket ?). Bon, en même temps, si de nombreux services sur Internet sont gratuits, c'est parce qu'ils comptent sur les revenus de la publicité. Si vous bloquiez toutes les publicités, il faudrait alors un jour ou l'autre passer à la caisse. Aujourd'hui, si c'est gratuit, c'est parce que c'est vous le produit. Notons que grâce à Adblock Plus, vous pouvez également bloquer la plupart des formes de pistage, sans toutefois surfer de manière anonyme comme Eyeo l'annonce de manière un peu abusive.
-
Naviguez incognito : Il suffit pour cela d'utiliser les services d'un "proxy VPN" (pour Virtual Private Network). Ces services vous permettent de chiffrer toutes les communications entre votre PC et le fournisseur de service et de masquer aux sites Web votre adresse IP. Le fournisseur VPN peut - ou non - garder des traces de vos connexions à ses services, ce qui pourrait néanmoins permettre de remonter jusqu'à vous. La plupart des services VPN sont payants (sinon, ils seraient obliger de vous vendre de la publicité, et donc de cesser de protéger votre anonymat, ce qui va à l'encontre du service qu'ils proposent). Les plus connus et les meilleurs sont entre autres expressVPN, NordVPN, PureVPN, saferVPN. Ils utilisent tous OpenVPN comme logiciel d'encryption (logiclel open source que vous pouvez télécharger gratuitement). Évitez le protocole PPTP, pas assez sûr. Il vous suffit de créer un compte sur le site du fournisseur et de configurer le OpenVPN avec les données qui vous seront communiquées. Sachez enfin que certains fournisseurs sont gratuits et ne gardent pas traces de vos connexions, comme freevpn.me (situé à Malte). Attention, freeVPN fait de la publicité, notamment pour les autres fournisseurs de VPN (saferVPN comme le montre la capture ci-dessous). Il faut donc éviter de cliquer sur la publicité déguisé en offre gratuite. Pas toujours facile. Il faut ici télécharger le OpenVPN certificate Bundle pour l'utiliser avec OpenVPN.
-
Enfin, pour les plus téméraires d'entre vous, sachez que vous pouvez utiliser l'anonymat procurée par le réseau Tor et son navigateur. Tor est un réseau superposé à celui d'Internet (à savoir qu'il utilise Internet pour fonctionner mais qu'il dispose de ses propres "routeurs" pour acheminer le trafic chiffré. Tor est un projet financé par les Etats-Unis et il a pour vocation à protéger la vie privée et préserver l'anonymat des Internautes. Mais bien sûr, qui dit anonymat dit aussi criminalité. Tor est donc utilisé par de nombreux malfrats et on trouve donc des sites Web uniquement accessibles via Tor, sites sur lesquels on peut embaucher des tueurs à gages, acheter des données piratées, etc.
Pour finir sur une belle note, n'oubliez pas que Microsoft vous espionne aussi jusqu'à plus soif. Vous pouvez vous protéger en appliquant les quelques paramètres décrits dans un de mes précédent article.
Protéger son PC contre des tentatives d'intrusion
Récapitulons : nous avons installé un anti-virus, mis à jour notre PC automatiquement, et installé éventuellement un bloqueur de publicité voire un client OpenVPN pour protéger notre vie privée. Mais la sécurité de notre PC ne s'arrête pas là. Car il est encore possible d'attaquer votre PC en utilisant certains services vulnérables ou mal configurés, et ceci via Internet puisque votre PC y est connecté. Il vaut donc mieux contrôler le trafic entre Internet et votre PC. Et pour cela, rien de tel qu'un logiciel pare-feu. Microsoft fournit d'ailleurs un pare-feu intégré à Windows, et ce depuis Windows XP. Ce pare-feu ne fonctionne d'ailleurs pas si mal que çà depuis Windows 7, mieux que Defender en tout cas. Mais s'il est très simple à mettre en oeuvre (il suffit de définir ce qui fait partie de votre réseau domestique ou pas), il est tout de même difficile d'aller plus loin dans sa configuration sans être expert. La plupart des règles sont créées par les logiciels au moment de leur installation, et ne sont pas toujours supprimées quand vous les désinstallez. La copie d'écran ci-dessous vous montre un exemple de règles, accessibles via le panneau de configuration -> réseau et Internet -> pare-feu Windows
La première chose à faire est donc de définir correctement son réseau domestique, dit réseau privé par opposition au réseau public qu'est Internet. C'est assez simple : en général, c'est tout ce qui se trouve raccordé à votre Box, derrière votre connexion ADSL ou fibre. Il faut ensuite faire confiance aux logiciels que vous installez ; s'ils ont besoin de communiquer avec Internet, ils mettront à jour les règles du pare-feu Microsoft. Si les règles du pare-feu sont inadéquates, vous avez généralement le message d'erreur suivant :
Il faut ensuite contrôler régulièrement ces règles. Car comme je vous l'ai dit, la plupart des logiciels oublient de supprimer les règles qui les concernent quand vous les désinstaller. Pour cela, il y a deux remèdes très efficace.
-
Désinstallez vos logiciels avec Revo Uninstaller ou IObit Uninstaller (versions gratuites, car il existe des versions pro payantes) ; ces outils désinstallent tous les logiciels en utilisant les mécanismes propres à Windows mais nettoient aussi la base de registre et les règles du pare-feu.
-
Nettoyez votre système (base de registre et règles de pare-feu) avec Piriform CCleaner. Cet outil éliminera toute entrée ou règle obsolète.
Si vous souhaitez contrôler plus finement les règles de votre pare-feu, savoir quelles sont réellement les applications qui accèdent à Internet et vice-versa, deux possibilités s'offrent à vous :
-
Installer un logiciel supplémentaire, unique en son genre : TinyWall. Ce logiciel se base sur le pare-feu Microsoft (inutile donc de rajouter un logiciel de plus) et vous permet d'avoir accès à des options avancées
-
Installer un pare-feu en lieu et place de celui de Microsoft. Le plus connu et le plus efficace est sans nul doute ZoneAlarm. Son éditeur, Zone Labs, a d'ailleurs été racheté par l'éditeur CheckPoint, pionnier des logiciels pare-feu en entreprises. ZoneAlarm existe en version gratuite ou payante, avec ou sans anti-virus. La version gratuite est assez limitée et moins aboutie que Tinyall au final. En version payante, et avec anti-virus, ce logiciel vous apporte une protection maximale. Néanmoins, ce pare-feu est beaucoup plus intrusif que celui de Microsoft et peut vous gâcher la vie, même s'il est censé vous protéger. Personnellement, je préfère rester sur TinyWall...
Menu principal de TinyWall
Pour résumer
Installez a minima :
-
Avast version gratuite ou toute version payante d'anti-virus
-
ADWCleaner ou Malwarebytes AM ; scanner régulièrement votre PC avec pour supprimer tout adware.
Pensez à mettre à jour régulièrement voire automatiquement votre PC
-
Windows Update pour tous les produits Microsoft, y compris Office.
-
Avast version gratuite ou Secunia PSI pour mettre aussi à jour les produits tiers comme Java, Adobe, etc.
-
DriversCloud.com pour téléchargez aussi les derniers pilotes spécifiques à votre matériel.
Protégez votre vie privée
-
via la navigation privée de votre navigateur, ou grâce à Adblock Plus, voire grâce à un fournisseur VPN.
Pour sécuriser encore plus votre PC
-
Désinstaller correctement vos logiciels inutilisés avec Revo Uninstaller et nettoyer votre base de registre avec CCleaner
-
Configurer votre firewall Windows via TinyWall
A découvrir aussi
- Les meilleurs outils pour convertir vos vidéos, musique, photos et documents
- Comment optimiser vos recherches avec Google
- Connexion Internet à tous les étages