Petite analo­gie avec des bijoux et un coffre-fort qu’on va consi­dé­rer invio­lable pour l’exer­cice.

Chif­fre­ment au repos
[...]
Bon, par contre c’est le person­nel de la banque qui a la clef de tous les coffres, le votre aussi. Ce sont eux qui vont cher­cher vos bijoux, accé­der à la salle des coffres, ouvrir le coffre, et vous les rame­ner au guichet à chaque vous que vous voulez y accé­der.
[...]
Chif­fre­ment en tran­sit

Quand la banque vous donne accès aux bijoux, elle vous les livre chez vous. Pour ça elle utilise un petit coffre-fort dont vous avez échangé les clefs à l’avance. La banque en a une copie, la seconde est entre vos mains. Personne d’autre ne peut ouvrir le coffre en l’état actuel des tech­no­lo­gies pour peu que ni vous ni la banque ne laisse traî­ner les clefs.
[...]
Chif­fre­ment au repos et en tran­sit

Bien évidem­ment votre banque est sérieuse, elle s’oc­cupe donc du stockage et du tran­sit.

Sauf qu’au final c’est quand même la banque qui va accé­der et ouvrir votre coffre à la banque, prendre les bijoux, puis les stocker dans le coffre qui sert à l’en­voi. Au passage elle les mani­pule direc­te­ment sans protec­tion, par exemple pour les nettoyer.
[...]
Chif­fre­ment de bout en bout

Vous avez un coffre, que vous avez acheté dans une boutique de confiance ou construit de vos propres mains. La boutique de confiance peut être votre banque mais pour­raient aussi être un tiers, ou une banque concur­rente.

Seul vous en avez les clefs. Vous stockez vos bijoux dedans, donnez le coffre fermé au trans­por­teur. La banque stocke votre coffre tel quel, sans pouvoir l’ou­vrir, en inspec­ter le contenu, le copier ou le voler. Quand vous voulez accé­der à vos bijoux, on vous rend votre coffre et c’est à vous de l’ou­vrir. Personne n’a pu voir vos bijoux, ou même savoir si ce sont vrai­ment des bijoux.
[...]

Quand un fichier arrive sur un système, l'antivirus intercepte le fichier et le vérifie juste après qu'il ait été écrit sur disque. Et si le fichier est "infecté", l'antivirus l'efface ou le déplace. Mais il y a moyen, en exploitant les "directory junctions" (similaire aux liens symboliques sous Linux), d'intervenir juste entre le moment où l'antivirus a scanné le fichier et le moment où il le déplace.
Et comme l'antivirus tourne avec les droits maximum du système d'exploitation, on peut lui faire effacer des fichiers critiques... y compris des exécutables de l'antivirus lui-même.
Et cela semble marcher avec pratiquement tous les antivirus.
Et pas que sous Windows.

Au programme : mise en place de l’organisation, refonte d’architecture, Active Directory, poste de travail, cloud/SaaS, détection et réponse à incident, crise, audits, sensiblisations, etc.

Votre compte bancaire a été piraté et vous pensez être victime d’une usurpation d’identité. Comment éviter les problèmes en cascade ?

Chaque année, quelque 5 400 personnes déclarent avoir été victimes d’usurpation d’identité auprès d’un établissement financier ou de la Banque de France. Piratage de données personnelles, fraude bancaire… : un jour ou l’autre, vous pouvez aussi être confronté à ce problème.

Qu’est-ce que cela signifie ? En clair, vos données personnelles (votre fiche de paie, avis d’imposition, carte d’identité ou passeport…) ont été volées – très souvent après une recherche de location sur Internet ou à la suite d’un piratage de votre boîte mail. Elles ont ensuite été utilisées par des escrocs pour ouvrir des comptes et/ou souscrire des prêts à votre nom.

Mais ce n’est qu’une fois les huissiers à votre porte, ou harcelé par les bureaux de recouvrement, que vous prenez conscience de l’escroquerie. Afin d’éviter d’entamer un véritable chemin de croix pour faire reconnaître votre statut de victime, réagissez au plus vite.

1. Portez plainte pour usurpation d’identité
2. Interrogez le fichier national des comptes bancaires et assimilés
3. Saisissez la Banque de France pour consulter les autres fichiers
4. Adressez l’attestation d’usurpation à tous les établissements
5. Ne demandez pas votre « défichage », sauf si…

Une checklist pour améliorer votre sécurité informatique: mots de passe, email, messageries sécurisées, ordinateur... la liste est très détaillée, précise et pertinente... mais c'est tellement long ! 😱