Dans cet article, je vais vous donner les bases d'une navigation sûre sur l'internet. Tout d'abord, vous devez décider : pourquoi en a-t-on besoin ?

Une opinion circule sur l'internet : "Je n'ai rien à cacher ou à craindre, il n'y a rien à emporter sur mon ordinateur".

Ce jugement est faux!

Sur tout appareil connecté à l'internet, il y a toujours quelque chose qu'un pirate peut utiliser. Par exemple, votre identité numérique, vos informations de paiement, vos comptes de divers services. Par exemple, on m'a volé une fois mon compte de livraison de petits pains, et des petits pains ont été commandés à partir de ce compte pour une raison inconnue. Il n'y avait pas de points bonus, mais le fait est là.

Votre ordinateur peut être utilisé comme serveur proxy pour commettre des délits. Si vous vous renseignez sur Internet au sujet de l'achat de serveurs mandataires, vous verrez de nombreuses offres dites "forfaitaires". Il s'agit d'offres où l'on vous donne des milliers de serveurs mandataires en une seule fois pour une certaine somme d'argent. Il s'agit dans tous les cas de machines compromises par des personnes qui pensaient n'avoir rien à leur prendre. Les vrais IPV4 coûtent généralement à partir de 1€ par mois.
Outre le fait que l'internet fonctionnera plus lentement, votre adresse IP peut être incluse dans diverses bases de données de spam. Lorsque vous vous rendez sur n'importe quel site web, y compris Google, un captcha s'affiche, et ce dans le meilleur des cas. Au pire, une adresse IP enregistrée à votre nom pourrait commettre un délit. À votre avis, où ira le camarade Major ? Vers un attaquant inconnu utilisant une chaîne de proxy ou un VPN, ou vers une personne dont les données de passeport font l'objet d'un contrat avec le fournisseur d'accès à Internet ?

Vecteur d'attaque ou d'où viennent les logiciels malveillants ?

Dans la plupart des cas, l'utilisateur installe lui-même des logiciels malveillants sur son PC. Comme il est maintenant de bon ton de le dire, j'estime que 100 % des logiciels piratés dotés d'une protection complexe, qui ont un crack et sont publiés sur l'internet, sont infectés par des logiciels malveillants ou contiennent une sorte de CHARGE DE RESPONSABILITÉ qui peut être activée à distance au moment opportun.

Le raisonnement simple et élémentaire est le suivant. Prenons l'exemple du système DENUVO, conçu pour protéger les jeux vidéo contre le piratage. Le piratage d'un système de ce niveau nécessite certaines compétences et aptitudes qui ne sont pas anodines. Il faut au minimum connaître les langages de programmation C++ / C, l'assembleur, avoir, comme il est désormais de bon ton de l'écrire dans le CV, une connaissance approfondie du système d'exploitation et de l'ordinateur dans son ensemble. Cela signifie-t-il que n'importe quel programmeur C++, par exemple, peut facilement pirater des jeux et des applications ? Non, le développement classique n'enseigne pas ce genre de choses ; ces compétences doivent être acquises de manière indépendante, et vous devez en outre posséder des compétences de pentester.

Une personne possédant à la fois des compétences de programmeur et de pentester a encore plus de valeur sur le marché du travail. Mais il ne s'agit que d'une seule personne. La mise au point d'un contournement de sécurité nécessite généralement une équipe, et il est rare qu'elle soit réalisée par une seule personne. Imaginez maintenant une équipe complète de cinq personnes, dont chacune est un spécialiste de la catégorie la plus élevée. Cela se traduit par une masse salariale de l'ordre de 100 000 dollars par mois. Pensez-vous sérieusement qu'une équipe de spécialistes travaille gratuitement pour qu'un écolier, puisse télécharger un nouveau jeu sur un torrent ? De même pour divers logiciels avec des crackers. Ensuite, en fonction de la charge de travail, tout va directement aux équipes, qui le monétisent, ou est déversé dans le darknet comme un déchet.

Outre le téléchargement d'un fichier contenant des logiciels malveillants, il est possible de se rendre sur un site dont le code contient des logiciels malveillants, d'ouvrir un lien dans une messagerie provenant, par exemple, d'une fille que vous connaissez, et au lieu d'une photo d'elle en maillot de bain, il y a un chargement d'un certain type. À une époque, sur Facebook, les personnes qui ne se souciaient pas de la sécurité de leurs informations envoyaient divers messages à leur liste d'amis : des demandes d'emprunt d'argent à l'envoi de fichiers. Ce n'est plus le cas, mais c'est un exemple de vecteur d'attaque.

En outre, les appareils eux-mêmes, les périphériques et les caméras peuvent être infectés. J'ai fait mes propres recherches sur la sécurité de l'information et j'ai trouvé une charge utile loin d'être utile dans le micrologiciel de caméscopes chinois. Pour que le code fonctionne, il faut brancher la caméra sur le réseau et se rendre à son adresse pour la configurer. En effet, dans les entreprises, le circuit de vidéosurveillance est généralement séparé du réseau général, mais dans les petites et moyennes entreprises, ou chez les utilisateurs ordinaires, la caméra vidéo est directement connectée au réseau.

Nous connaissons les principales méthodes utilisées par un pirate pour accéder à un ordinateur ou à ses données, mais que faire ?

Il existe de nombreuses façons de garantir la sécurité. Il faut tenir compte du fait que tout et n'importe qui peut être piraté, ce n'est qu'une question de ressources. S'il suffit à l'oncle Pierre de Paris de télécharger un fichier à partir d'un torrent pour accéder à son PC, l'accès à un réseau d'entreprise doté d'un système de sécurité intégré nécessitera beaucoup plus d'efforts. Cependant, le maillon le plus faible est généralement le facteur humain.

Le circuit fermé est le plus sûr en termes d'intrusion dans le réseau. Il n'est pas connecté à l'internet, il est généralement interdit d'apporter des clés et des disques, et les modules Bluetooth et Wi-Fi sont physiquement désactivés sur les appareils. Le maillon faible reste les employés. Dans les films, on voit James Bond ou des personnages similaires infiltrer de telles installations.

Mais pour un utilisateur ordinaire, un tel système n'est pas adapté. Les entreprises utilisent souvent VDI ou ReCoBS. Cependant, pour un utilisateur ordinaire qui souhaite regarder YouTube ou communiquer dans des messageries, ces solutions ne sont pas adaptées.

Pour un usage domestique, les méthodes restantes comprennent la virtualisation et l'isolation des processus, qui seront abordées plus loin. Ces méthodes offrent une protection tout en restant conviviales. L'idée de base est le principe de séparation et d'isolation des différents aspects de votre vie numérique.

Méthodes de base permettant de surfer en toute sécurité sur un PC domestique sans exigences ni restrictions excessives en matière de sécurité :
1. Navigation à partir d'un système fonctionnant dans une machine virtuelle.
2. Utilisation de différents bacs à sable, tels que le populaire Sandboxie ou le bac à sable intégré au navigateur, ainsi que le bac à sable standard de Windows.
3. Utilisation de conteneurs Docker avec un navigateur pour surfer.

Commençons par la moins pratique : l'utilisation de conteneurs Docker pour surfer. Certes, ils sont légers, ils peuvent être facilement clonés et ils isolent le navigateur du système hôte, mais pour les tâches multimédias, cette méthode n'est guère adaptée.

L'utilisation de divers bacs à sable est probablement la méthode la plus conviviale, mais pas la plus sûre. Certes, un bac à sable isole les processus en son sein, mais il n'est pas difficile d'en sortir, comme le montre l'exemple du populaire bac à sable Sandboxie.

Pour cette version 5.26 du bac à sable, une vulnérabilité très simple a été découverte, enregistrée sous le numéro CVE-2018-18748. L'essence de la vulnérabilité était la suivante : exécuter du code Python avec les deux lignes de code les plus simples. Importer OS et appeler la ligne de commande ou PowerShell avec les commandes os.system("cmd") et os.system("powershell"). D'autres commandes ont été exécutées en dehors du bac à sable. Un code de sortie aussi simple pourrait être écrit même par un écolier, ce qui soulève des questions sur la sécurité. Les développeurs ont contesté cette vulnérabilité, affirmant qu'il s'agissait d'une fonctionnalité déclarée du produit. Malgré la controverse, la vulnérabilité a été reconnue et classée comme critique dans diverses bases de données sur les vulnérabilités. La base de données nationale sur les vulnérabilités (NVD) lui a attribué une note de base de 10,0, ce qui indique un niveau de gravité critique.

Exécuter le navigateur à partir de machines virtuelles telles que VMware en utilisant le mode Unity.

La solution la plus sûre et la plus pratique consiste à utiliser la virtualisation et à faire fonctionner le navigateur à partir de machines virtuelles telles que VMware en utilisant le mode Unity.

Tout d'abord, vous pouvez diviser vos tâches en différents groupes. Par exemple :
1. Première machine virtuelle : utilisée exclusivement pour les services de confiance, tels que les https://www.impots.gouv.fr, les applications bancaires et divers systèmes de paiement. Il peut également s'agir de comptes connectés sur des places de marché.
2. Deuxième machine virtuelle : elle sera utilisée à des fins professionnelles : courrier électronique professionnel, correspondance, messageries, suite bureautique. Ainsi, les fichiers qui vous seront envoyés pour le travail (par exemple une feuille de calcul Excel infectée) ne quitteront pas ce système et ne pourront pas accéder aux données d'autres machines virtuelles ou de l'hôte.
3. Troisième machine virtuelle : elle peut être utilisée exclusivement pour surfer sur Internet. Vous pouvez vous connecter une seule fois à tous les services et réseaux sociaux nécessaires, prendre un instantané et choisir de ne pas sauvegarder l'état de la machine virtuelle, mais de toujours démarrer à partir de cet instantané. De cette manière, même si vous attrapez quelque chose, cela reste à l'intérieur de la machine virtuelle.

De même, un système hôte compromis par un torrent téléchargé ne mettra pas en danger les données des machines virtuelles ; en outre, leurs disques peuvent être cryptés et protégés par un mot de passe. Pour plus de sécurité, installez un antivirus sur les systèmes à l'intérieur des machines virtuelles et supprimez tout ce qui n'est pas nécessaire.

L'utilisation de Linux sur une machine virtuelle pour surfer ajoute de la sécurité mais pas de la commodité, j'utilise personnellement VMWARE et le mode Unity où vous pouvez exécuter une application directement à partir du système hôte, elle se présente et s'affiche de la même manière et est mise en évidence par un cadre jaune qui peut être désactivé. De cette façon, vous pouvez rester dans votre navigateur, utiliser des programmes de bureau comme vous en avez l'habitude et ne pas risquer de mettre quelque chose sur le système hôte, vous devez faire attention à activer le presse-papiers entre le système hôte et le système virtuel.

Pour optimiser l'utilisation des ressources, en particulier lorsqu'il s'agit de naviguer sur Internet, je préfère utiliser Windows Server 2022 en mode Core, c'est-à-dire sans l'interface utilisateur graphique (GUI). Cette approche réduit considérablement la charge du système : le système d'exploitation n'occupe que 500 à 600 mégaoctets de mémoire, ce qui le rend idéal pour les machines virtuelles dont les ressources sont limitées.

Il est intéressant de noter qu'une interface graphique n'est pas nécessaire pour naviguer sur Internet, car le navigateur peut être lancé directement à partir du mode Unity dans VMware. L'utilisateur peut ainsi interagir avec le navigateur comme s'il était installé sur le système hôte, tout en conservant tous les avantages d'un environnement virtuel isolé.

Si vous souhaitez savoir comment préparer Windows Server 2022 Core pour surfer sur Internet et l'utiliser en tant que machine virtuelle, je suis prêt à vous en faire part dans l'article suivant. En général, le processus de préparation est simple : il suffit d'installer le système, d'installer VMware Tools et de télécharger le navigateur nécessaire. Un guide détaillé sur la configuration d'un tel système peut être utile à ceux qui souhaitent maximiser l'utilisation des ressources de leur ordinateur pour surfer en toute sécurité sur Internet.