Étiquette : sécurité

Gestion des cookies avec edition de cookies : plutôt cool

cookies_topo02Un cookie, c’est un bout de code laissé par un site internet sur votre ordinateur. 99,999% des cookies sont gentils, ils sont là pour vous éviter toutes sortes de tracas, comme mettre votre mot de passe à chaque session, se souvenir de pas mal de trucs pour vous. En revanche, il existe aussi des cookies de pistage, qui parfois vous espionne un peu et c’est pas forcément très bon. En tant que propriétaire de plusieurs noms de domaine, comme roget.biz, je sais que mon blogue vous laisse quelques cookies gentils sur votre ordinateur. Sauf, si je me fais hacker mon blogue, mes cookies sont 100% gentils. Ils sont générés par la plate-forme wordpress, mais je peux mettre des widgets de sites tiers qui peuvent aussi mettre des cookies sur votre ordinateur.

A ce titre, voilà une extension qui permet d’éditer, modifier, supprimer les cookies sur votre ordinateur. Cette extension s’appelle « edit cookies »  et on peut voir dans la photo d’écran qui suit tous les cookies issues de mon blogue. Du coup, j’en ai même éliminé un « Buzzea » qui est une régie de pub, qui a oublié que j’existais depuis 1 an, j’ai donc éliminé son widget et donc normalement le cookie ne devrait plus apparaître dans quelques heures.

Si vous n’êtes pas un webmaster chevronné  cette extension n’est pas de grande utilité, mais elle va vous aider à comprendre un peu mieux, tout ce qui se trame « derrière votre dos ».  Vous pourrez vous amuser à les supprimer pour voir un peu les effets. L’effet le plus remarquable est quand vous supprimez le cookies qui vous permet de ne pas avoir à retaper votre mot de passe. Vous comprendrez donc que le cookie est très utile dans la plupart des cas.

Pour les internautes confirmés vous pourrez faire des tas de choses avec cette extension comme  « exportez les cookies ou même importer les cookies(??)….

Pour les possesseurs de blogue, il serait bon de savoir quel type de cookies votre blogue émet et si, comme dans mon cas, vous trouvez un cookie tiers qui ne vous intéresse plus, et bien , supprimez le tout simplement. (Généralement il se trouve dans un widget).

Notez que ma connaissance sur les cookies est quelque peu limitée, il y a de fortes chances qu’une coquille se soit glissée dans ce que j’ai dit. 

ps : je blogue sous une extrême température, plus de 30 degrès dans mon bureau et je n’ai pas de climatisation, juste un ventilo qui souffle, qui souffle!

Un exemple de cookie, c’est celui qui vous met une fenêtre popup la première  fois que vous accédez au site. Oui vous connaissez, tous ses blogues qui veulent absolument vous refourguer le guide miraculeux et qui vous font sauter une pop up dans la figure. Et bien,  si vous revenez quelques minutes après sur le même site, il n’y a plus de popup.  Et bien c’est un cookie qui gère tout ça!  En revanche, si vous revenez le lendemain, il y a des chances que vous vous retapiez la même fenêtre pop up, car le cookie a expiré.

Sécurité : Scruter l’adresse ip des pc qui sont connectés à votre compte dropbox

Vous partagez votre compte dropbox entre plusieurs utilisateurs? C’est mon cas, dans ce cas je peux (veux) connaître l’adresse ip, de chacun des pc qui sont connectés à mon compte.

Sur votre  compte dropbox, allez  sur https://www.dropbox.com/account#security. Vous avez normalement la liste de tous les pc qui sont connectés à votre compte.  En passant la souris sur l’icone en forme de  i sur la partie « Dernière activité » vous pouvez voir l’adresse ip de la dernière connexion faite avec le pc.

A quoi ça sert? 

  • Savoir où votre collaborateur se trouve quand il se connecte sur le compte dropbox,
  • Retrouver éventuellement un voleur qui utilise le pc, à condition bien sûr qu’il ne supprime pas le programme drobpox avant de se connecter à internet.

Je sais qu’il y a mieux pour jouer à l’espion, mais c’est une astuce de plus à mettre dans un coin de sa tête.  I

Viax : Merci à Diego pour l’astuce

 

Comment on se fait hameçonner?

Le hameçonnage, ou phishing  est une technique utilisée par des filous pour récupérer des données personnelles comme des noms utilisateurs et surtout des mots de passe. Aujourd’hui, je vous montre un peu comment ça marche avec une démonstration, car je suis souvent « victime » de  hameçonnage ou phishing , mais jusqu’à aujourd’hui, j’arrive à déjouer les petits filous qui essayent d’usurper mon identité ou voler mes mots de passe.

Tentative de hameçonnage par étape

  • Etape 1 : On reçoit un message par mail ou sur un réseau social avec un lien qui semble inoffensif.  Dans l’exemple on me demande de cliquer pour voir une photo de moi qui va me faire rire j’en suis sûr! (lol) . 

  • Etape 2 : On clique sur le lien et on atterrit sur une page qui semble être la page légitime du site en question. Dans l’exemple c’est twitter. 
    • généralement on n’oublie de regarder dans l’omnibar si l’url est le bon. (1) dans ce cas, ce n’est pas twitter, mais tivtter ! (ça prête à confusion),
    • on met son mail (2) et son mot de passe (3),
    • on lit éventuellement le message sur la droite (4)  (ne partagez pas vos mots de passe !! ha ha ! le comble).

 

  • Etape 3 : on est redirigé vers la page originale d’accueil. On pense qu’il y a eu un bug dans l’authentification précédente et on remet le mot de passe sur le vrai compte twitter. Mais déjà dans l’étape 2, le filou a récupéré votre pseudo et votre mots de passe, TROP TARD !

Dans cette vidéo je vous présente en live la technique de hameçonnage.

 

Comment éviter de se faire hameçonner?

Tout le monde peut se faire hameçonner, il faut tout de même prendre quelques précautions.

  • Dans la plupart des cas, les messages sont rédigés en anglais ou dans un français déplorable.
  • Si c’est un ami qui vous envoie le message, ce n’est pas forcément une critère pour cliquer sur le lien,  si vous avez un doute, demandez lui s’il a bien envoyé ce lien.
  • Si vous cliquez sur le lien, ayez toujours le reflex de regarder l’url dans l’omnibar. C’est vraiment à ce moment qu’on peut voir que l’url ne correspond pas. Dans l’exemple c’est tivtter.com et non twitter.com
  • Installer le plugin mywot sur votre navigateur.  On peut voir que le site en question est noté en rouge, ce qui veut dire « dangereux« 

  • N’utilisez jamais le même mot de passe sur des sites comme twitter et des sites comme paypal, un mot de passe doit rester unique. Ainsi, si le filou récupére votre email et votre mot de passe sur twitter, il va automatiquement aller sur un site comme paypal pour voir si vous avez utilisé le même mot de passe et hop, il va vous voler votre argent. 
  • Si vous avez un compte gmail, généralement, ce genre de message va dans les spams, (mais dans l’exemple cité, le message n’a pas été considéré comme spam, ce n’est donc pas sûr à cent pour cent.
  • Il se peut que votre navigateur détecte  la supercherie en affichant un message comme celui qui suit. FUYEZ. Dans l’exemple avec twitter, je n’ai pas eu ce message ! Ce n’est donc pas cent pour cent sûr.

Conclusion :

Il n’y a pas de technique sûre à cent pour cent pour déjouer les techniques de hameçonnage, En suivant ses conseils vous mettez toutes les chances de votre côté pour ne pas en être victime. Pour ce qui est des sites « sensible » accédez toujours à l’url qui figure dans vos favoris, dans ce cas vous êtes sûr de ne pas vous faire hameçonner.

Pin It on Pinterest