Bulletin d'information de mai 2022

Bonjour,

L'objet de cette infolettre est d'abord de vous informer de l'évolution de mon tarif horaire dans le contexte de l'inflation galopante.

Ensuite, de vous donner ou rappeler des informations sécuritaire dans le contexte de la 3^e décennie du 21^e siècle :

• Contextualisation de la cyberguerre
• Les données de santé valent de l'or, votre compte "Espace santé" aussi…
• Faire attention à la vie privée pour renforcer la sécurité, et vice-versa
• Renforcer la résilience de la société civile par la sobriété et le localisme numériques
• Conseils pour les emails et SMS
• Conseils pour les mots de passe
• Conseils pour les mises à jour
• Conseils pour les sauvegardes
• Conseils pour les antivirus (Kaspersky dans le contexte des boycotts anti-russes)

Les lettres d'information par email apportent généralement très peu d'informations. Elles sont souvent creuses et superficielles, afin de s'adresser au plus grand nombre. Je suis conscient que des informations et conseils de cette infolettre ne correspondent pas aux compétences, aux aspirations et aux motivations de tous. Nous sommes tous différents. Pourtant, à un niveau ou à un autre, nous devons tous être sensibilisés aux enjeux de sécurité informatique de notre époque. Libre à vous de parcourir cette infolettre à votre convenance.

Vous pouvez retrouver ce message sur mon site web à l'adresse suivante : aide.ordi49.fr > infolettre_2022.05

....

L'inflation des prix à la consommation me contraint à mettre à jour mon tarif horaire, qui correspond à mon salaire horaire net. Celui-ci était de 17,50 € depuis août 2018. Prenant en compte les six hausses du SMIC intervenues dans l'intervalle, depuis mai 2022, mon tarif horaire est désormais de 19,50 €.

À cause de cette hausse, je jette à la poubelle 2900 flyers imprimés en couleur chez un professionnel en 2018. Le temps des flyers semble terminé, puisque l'épidémie de COVID-19 est laissée en roue libre¹⁾. Sur le comptoir des commerçants, la manipulation des flyers par les clients successifs est propice à la transmission virale. Et le port fortement recommandé du masque en intérieur ruine toute cordialité qui me permettait de ne pas essuyer un refus de dépôt de mes cartes de visites ou flyers, tous les deux mois chez certains artisans boulangers, coiffeurs ou fleuristes. En contrepartie, mon tarif horaire qui évolue par pallier de 0,50 €, sera plus facile à modifier pour suivre l'inflation.

Par manque de temps, mais aussi pour ne pas vous harceler, je n'enverrai probablement pas d'email à chaque réajustement de mes tarifs si l'inflation continue son envolée comme c'est prévisible. Quoi qu'il en soit, mon site aide.ordi49.fr que j'ai restructuré à la mi-mars 2022, sera tenu à jour pour afficher mes modalités d'interventions :

• La page Zones d'intervention précise les forfaits déplacements, hors de la période épidémique de COVID-19 (sinon : assistance par Prise en Main À Distance (PMAD) de votre ordinateur)
• La page Tarifs indique mon tarif horaire valable au moment ou est affiché cette information

Concrètement, d'après l'estimateur CESU en ligne, depuis mai 2022, une heure de mon travail d'assistance informatique ou administrative à 19,50 € doit vous coûter aux alentours de 17,01 € sans avantage fiscal, ou bien 14,42 € si vous bénéficiez d'un avantage fiscal (70 ans, etc.).

À toute fin utile, je rappelle la grande actualité CESU de fin janvier 2022. Les innovations techniques entre l'URSSAF et la Direction Générale des Impôts qui ont rendu possible la prise en compte de l'impôt à la source à partir de janvier 2020 (CESU+), permettent désormais de satisfaire une vieille revendication de la Fédération des particuliers employeurs de France (FEPEM) : le tiers payant. C'est-à-dire l'avance immédiate du crédit d'impôt²⁾.

Je vous remercie pour votre compréhension.

Depuis le 24/02/2022, nous sommes entrés dans le contexte de la 3^e guerre mondiale. Il faut d’emblée noter quelques différences notables par rapport aux précédentes périodes de pré-guerre mondiale : d'une part la très importante et très fragile dépendance des sociétés civiles aux infrastructures de communication de l'information, c'est-à-dire aux réseaux électriques et numériques interconnectés qui constituent Internet ; d'autre part du fait de la centralité, de l'intensité et de la rapidité de circulation de l'information, une démultiplication potentielle des effets de celle-ci sur les sociétés civiles.

Dans le but de favoriser la propagande pour retourner la population en pays russophone occupé, ainsi que de repérer et neutraliser les dissidents³⁾, le dictateur russe et ses généraux militaires ont choisi de laisser l'infrastructure de communication ukrainienne à peu près intacte⁴⁾. D'où les appels à l'aide insistants du dirigeant ukrainien, dont le talent oratoire de comédien professionnel a servi de catalyseur aux discours manichéens dans toute l'Europe et au-delà.

Enseignante des enjeux politiques de l'économie numérique à Sciences Po Paris, Asma Mhalla explique⁵⁾ que l'actuelle guerre informationnelle de haute intensité, — ces actions sur les usages numériques et sur les contenus pour contrôler les opinions publiques —, n'est que le premier volet des actions militaires contre le cyberespace. L'autre volet de la cyberguerre est constitué par les attaques informatiques contre les infrastructures, c'est-à-dire contre les machines reliées à Internet. Les cyberattaques sont pour l'instant de basse intensité, probablement en vertu d'un accord tacite conclu entre les dirigeants états-uniens et russes à Genève en juin 2021⁶⁾, suite à la cyberattaque contre l'oléoduc Colonial Pipeline qui a déstabilisé une grande partie des USA pendant une semaine de mai 2021.

En contexte de forte tensions géopolitiques ou de guerre(s) militaire(s), il est acquis que lorsque le niveau des cyberattaques passent en haute intensité, par le ciblage massif d'entreprises, des administrations et/ou des infrastructures qui permettent l'accès normal à Internet⁷⁾ — attaques pouvant contraindre les états ciblés à couper d'urgence tous les accès à Internet⁸⁾ —, alors la probabilité de frappes militaires imminentes (missiles, etc.) est très forte. Dans l'intervalle entre ces deux états de basse et haute intensité de cyberattaques, beaucoup de choses imprévisibles peuvent se passer. Car en contexte de guerre, les événements dépendent moins des règles ou des accords passés, que des rapports de force⁹⁾, avec tous les risques de dérapages que cela implique…

Mais au niveau des individus, la problématique des cyberattaques se pose différemment. Comme les ordinateurs personnels et les smartphones sont reliés entre eux par Internet et que beaucoup de personnes possèdent les deux, le potentiel de nuisance par propagation d'un appareil à l'autre pour déstabiliser la société est gigantesque. C'est pourquoi la sécurité informatique collective dépend aussi du comportement de chaque utilisateur particulier ou professionnel. Or ce comportement dépend lui-même du niveau de conscience et de culture numérique individuelle.

Ainsi, de même que les "gestes barrières" permettent de lutter contre les épidémies de maladies infectieuses, la culture numérique générale et les comportements d'hygiène informatique participent à la résilience de toute la société. Malheureusement, les pratiques numériques des particuliers et professionnels non informaticiens sont très loin d'être au niveau des risques sécuritaires de cette 3^e décennie du 21^e siècle, comme l'illustre le nombre record d'entreprises piratées puis immobilisées par des rançongiciels en 2021¹¹⁾.

C'est pourquoi ci-dessous à ma manière, j'essaie de contribuer au renforcement de la résilience numérique de la société civile.

Pour chacun d'entre nous en ce printemps 2022, l'état français crée automatiquement un compte sur sa plateforme "Mon espace santé", qui est censé compléter et améliorer le fiasco du Dossier Médical Partagé (DMP). Mais l'usine à gaz "Mon espace santé" est un mauvais outils, chronophage et ineficace pour les professionnels de la santé. L'objectif de la plateforme est surtout de collecter et de centraliser un maximum d'informations intimes sur la population. C'était déjà ce que faisait l'ancienne plateforme facultative Dossier Médical Partagé (DMP), en important une fois par jour, depuis Ameli, les nouvelles données de remboursement des actes médicaux provenant de la Sécurité Sociale. Le côté positif est que ces informations peuvent servir à mener des études scientifiques avec les technologies du "big data" comme l'intelligence dite artificielle. Mais le côté négatif est que toutes ces informations font peser une très lourde menace sur la vie privée intime, dans le contexte actuel du piratage massif des entreprises et des administrations dans le monde entier, et qui va continuer à s'amplifier…

Si les avantages ne sont pas supérieurs aux bénéfices, je conseille de vous opposer à la création de votre compte "Mon espace santé" ou de le désactiver.

Si vous avez besoin d'une aide extérieure à votre foyer pour vos démarches médicales (aidant familial, etc.), alors vous avez peut-être plus d'avantages à utiliser "Mon espace santé" que d'inconvénients, parce que cela permet à la personne de confiance qui vous assiste d'accéder à votre dossier sans devoir être présente à votre domicile.

Dans le cas contraire, si vous ne l'utilisez pas, alors vous devriez probablement désactiver votre compte "Mon espace santé" afin d'éviter toute fuite de données intimes.
Pour désactiver votre compte "Mon espace santé", ça se passe sur cette page :
monespacesante.fr > Accueil, activation et opposition

Voici quelques liens qui conseillent la désactivation de "Mon espace santé" :

• 04/02/2022: numerama.com > Comment s'opposer à Mon Espace Santé (ou supprimer mon compte)
• 04/02/2022: youtube.com > Labo des Réseaux > Tutoriel s'opposer à "Mon espace santé" (désactiver et annuler la création d'un compte automatique)
  
• 10/02/2022: youtube.com > Pourquoi refuser "Mon Espace Santé" (En Bref) par l'association transféministe XY Media soutenue par La Quadrature du Net
• 17/02/2022: blogs.mediapart.fr > "Mon espace santé" : débranchons nos données ! par Jean-Marc B.
  
• 13/04/2022: atoute.org > Putain de doctrine. La politique publique du numérique en santé, exemple de problème démocratique par Philippe Ameline (article à destination des intellectuels cultivés) : […] Refuser "Mon espace santé", c'est exprimer votre refus d'une politique publique à la fois catastrophique pour le domaine santé-social et authentiquement anti-démocratique. C'est tout simplement affirmer que vous pouvez avoir une opinion. Et ça, je vous garantis que ceux qui ont décidé, puisque l'adoption volontaire du DMP a toujours été très faible, de vous inscrire d'office à l'espace de santé numérique ne s'y attendent pas. […] Refusez "Mon espace santé", vous méritez tellement mieux et il est encore temps de l'exprimer.
• 20/04/2022: atoute.org > Mon Espace Santé : faut-il ou non l'accepter ? par le docteur Dominique Dupagne

Toute base de données médicales centralisées d'une population intéresse les sociétés privées du secteur marketing, les sociétés d'assurance, les courtiers de données ou "data brokers"¹²⁾ et surtout les pirates informatiques du monde entier¹³⁾ (à qui les courtiers de données peuvent aussi acheter des informations au marché noir). La journaliste scientifique Coralie Lemke et autrice de "Ma santé, mes données" affirme que la vente d'un seul dossier médical rapporte 250 dollars US¹⁴⁾. C'est pourquoi la plateforme "Mon espace santé" est une menace supplémentaire non négligeable pour l'intimité.

Désactiver "Mon espace santé" est assez simple et rapide. Elle peut constituer un premier pas vers une démarche de reprise en main plus systématique de votre vie privée. Par exemple en vérifiant que votre pharmacie ne travaille ni avec le n°1 mondial des courtiers de données médicales IQVIA (réseau Pharmastat), ni avec OSPHARM (réseau OSPHAREA). Heureusement, il existe encore des logiciels sous-traitants de pharmacies qui ne collectent pas d'informations permettant l'identification des malades. Par exemple Offisanté (réseau Vigirupture) dont la déclaration de confidentialité (PDF) respecte réellement l'anonymat des patients. Pour en savoir plus (et retrouver le lien vidéo vers le magazine Cash Investigation de mai 2021), voir la page suivante :
wiki.ordi49.fr > Collecte de données et déclin de la vie privée > Chapitre Santé : Votre intimité violée

Au cours de la 2^e décennie du 21^e siècle, les menaces informatiques ont connu un développement technologique considérable :

• Développement industriel de l'espionnage systématique des communications de tous les citoyens de nombreux états peu ou prou développés¹⁵⁾ à l'instar de PRISM et XKeyscore, les programme états-unien de surveillance planétaire du World-Wide-Web et d'Internet à partir de décembre 2007,
• Sophistication phénoménale des logiciels malveillants furtifs de type APT ("Advanced Persistent Threat" ou "menace persistante avancée") grâce aux innovations technologiques majeures, apportées conjointement par les services de renseignement des USA et d'Israël
• Prolifération incommensurable des cyberarmes accessibles par tous et pour tous les budgets¹⁶⁾, suite au piratage des services de renseignement états-uniens par le groupe The Shadow Brokers (les courtiers de l'ombre),
• Développement exponentiel des infiltrations malveillantes dans les systèmes informatiques et de l'exfiltration de leurs données. Consolidation du marché très lucratif de l'extorsion numérique de fonds. Professionnalisation des groupes privés du cybercrime international et industrialisation de leurs méthodes de travail

Au cours de la dernière décennie, les cyberdélinquants / cybercriminels privés ou étatiques ont montré leur capacité à pénétrer dans tous les systèmes informatiques pour y voler des données et y placer des logiciels malveillants¹⁷⁾. Dans les micro-ordinateurs utilisés par les particuliers et les professionnels, comme dans les serveurs des plus grandes entreprises de la "big tech" qui créent des logiciels et vendent du stockage en ligne¹⁸⁾.

Partout dans le monde, contre l'avis unanime des autorités policières et des spécialistes en sécurité informatique, un nombre considérable d'entreprises et d'administrations publiques ont payé des rançons dans le but de pouvoir — peut-être — débloquer et déchiffrer leur système informatique qui avait été infecté et chiffré par un ransomware. Ce comportement n'a fait qu'enrichir et renforcer les groupes de cyberattaquants en nombre et en compétences d'ingénierie.

En sous-effectif chronique dans beaucoup d'entreprises, les équipes informatiques sont débordées de travail²⁰⁾. L'exigence de sécurité informatique est progressivement passée très très loin derrière l'exigence de productivité²¹⁾. La pression constante des cadres pour tolérer la connexion des tablettes et smartphones aux réseaux des entreprises, le télétravail organisé sur les bases de l'improvisation pandémique de mars 2020, et le manque chronique de moyens, génère chez certains informaticiens, un sentiment de défaitisme face aux attaques informatiques, qui sont de plus en plus considérées comme banales et inéluctables. Si bien que l'idée progresse, selon laquelle prévenir les intrusions informatiques serait moins prioritaire (urgent) qu'investir dans de nouveaux outils de restauration des données volées puis corrompues.

Car une nouvelle technologique innovante, le "stockage immuable" (parfois vendue comme "virtualisation du stockage 2.0"), permet de redémarrer relativement rapidement le système informatique d'une entreprise dont les données ont été volées puis chiffrées par ransomware. Il s'agit de déplacer la quasi-totalité du système informatique dans le centre de données d'un prestataire qui effectue une copie inviolable de tout ou partie des disques durs de l'entreprise toutes les 90 secondes ! (Bonjour l'empreinte carbone…).

De surcroît, les entreprises piratées préviennent rarement leurs clients ou la presse via un communiqué Twitter ou Facebook. Et il est avéré au-moins une fois récemment, qu'un cadre d'une grande entreprise française ose télécharger puis revendre les données personnelles de 33 millions de clients pour s'enrichir personnellement²²⁾.

En cette 3^e décennie du 21^e siècle, aucune donnée personnelle n'est à l'abri dans les entreprises privées comme publiques.
Au cours de la décennie, la dissémination des données privées va multiplier les vols d'identité et les arnaques sophistiquées²³⁾.

Plus vos données sont collectées avec ou sans votre consentement éclairé, plus celles-ci sont éparpillées par les revendeurs de données, les courtiers de données (data brokers), plus les cybercriminels disposent d'informations utiles pour vous induire en erreur en vous faisant cliquer sur un mauvais lien ou ouvrir une pièce jointe malveillante afin de prendre le contrôle, discrètement, ou pas, de votre ordinateur. Ces pirates informatiques (petits groupes privés ou étatiques) utilisent les bases de données des entreprises du marketing qu'ils ont achetées au marché noir²⁴⁾ ou eux-même piratées. Plus les critères ciblés sont précis, plus une campagne d'email malveillants sera productive et rentable.

Pour réduire la surface d'attaque des données personnelles (et donc augmenter la sécurité informatique), il faut adapter son comportement à ces menaces. En n'utilisant le stockage en ligne – les cloud comme Apple iCloud, Microsoft OneDrive, Google machin Docs, Drive ou One, etc. – qu'avec la plus grande sobriété numérique. Idem concernant les informations, photos et vidéos publiées sur les plateformes de comérage narcissique (Facebook²⁵⁾, etc.). Il faut refuser systématiquement les cookies lors de la navigation sur les sites web. Il faut utiliser un navigateur qui n'appartient ni Google, ni Microsoft ni à Apple, et qui soit de préférence un logiciel libre (Mozilla Firefox, Brave, Chromium, Tor Browser, etc.), paramétré pour bloquer les publicités et codes informatiques espions qui sont inclus dans les pages web. Concernant le contenu de notre boîte mail qui est stocké à l'extérieur de notre ordinateur, sur un serveur, il faut veiller à en réduire le contenu au minimum, et à ne pas y stocker de pièce jointe qui pourraient opportunément fournir des informations à un pirate, lui pemettant de ré-attaquer avec plus d'intelligence et de force.

En contexte de 3^e guerre mondiale (qui n'en n'est qu'à ses prémisses en tant que guerre économique), la résilience de la société civile ne peut qu'être affaiblie si son fonctionnement dépend de services numériques gérés de manière centralisées, et de surcroît, de l'autre côté de l'Océan Atlantique.

Il faut d'abord rappeler que l'accès aux services numériques états-uniens dépend de très longs câbles transatlantiques qui reposent sur le plancher océanique. Or le principe d'un sous-marin, c'est "pas vu, pas pris" et celui de la guerre, c'est "la fin justifie tous les moyens".

Mais le nombre de câbles transatlantiques est tellement important (voir submarinecablemap.com), que l'on assisterait plutôt à un ralentissement et à un encombrement progressif des services numériques si des attaques physiques étaient portées contre eux.

Les atteintes au fonctionnement d'Internet seraient évidemment beaucoup plus importantes et rapides en cas d'attaques militaires physiques coordonnées non anonymes contre des infrastructures. C'est-à-dire si les attaques n'étaient plus seulement des sabotages de câbles par des tirs sous-marins, mais par exemple des attaques physiques contre des points d'échanges Internet (noeuds de raccordement entres les réseaux des fournisseurs d'accès, comme Orange, SFR, British Telecom, Belgacom Proximus, Deutsche Telekom T-Online, etc…). Mais là encore, sauf pour les territoires faiblement reliés à Internet comme les petites îles, la diminution des capacités de flux, c'est-à-dire l'encombrement d'Internet, se ferait par paliers progressifs, avec probablement des inégalités géographiques importantes à l'intérieur d'un même pays.

Car de par sa conception, le réseau des réseaux qu'est Internet est décentralisé. Précisément parce qu'il a été conçu pour résister le plus longtemps possible à une guerre, par l'agence états-unienne DARPA, grâce à de nombreuses innovations techniques, dont une, créée en France par l'ingénieur français Louis Pouzin (Plus d'infos sur les retraités qui ont participé au projet Cyclades : youtube.com > Le projet Cyclades).

Pourtant, la société civile a fini par croire aux deux mensonges suivants :

• Internet serait le synonyme du Web
• Le Web serait un ensemble de services fournis par une poignée de grandes sociétés comme Google, Amazon, Facebook, Apple, Microsoft, etc.

Plus plus d'informations sur ce sujet, vous pouvez consulter ma page wiki.ordi49.fr > Vidéos sur... Qu'est-ce qu'Internet ?

Pour déstabiliser les sociétés civiles, les attaquants auraient tout intérêt à s'en prendre à ces grandes sociétés de services qui ont rendu leurs usagers si dépendants en collectant énormément d'informations sur eux… Or la grande cyberattaque de 2020 contre les États-Unis a montré que pirater les sous-traitants de ces grandes sociétés est une méthode qui ouvre énormément de portes, jusqu'aux tréfonds des systèmes informatiques gouvernementaux²⁶⁾.

Il est difficile d'imaginer l'évolution prochaine de la situation de guerre froide et économique mondiale actuelle. Guerre larvée, diffuse, par procuration… des lignes rouges qui une fois franchies ne sont plus vraiment rouges²⁷⁾… ou bien un événement moins grave qui tournerait à l'étincelle… Mais ce qui est certain, c'est que ça ne va pas en s'arrangeant, et que la réalité dépasse toujours la fiction, y compris lorsque beaucoup d'événements (funestes) sont prévisibles (comme c'est le cas depuis 2020).

Quand une monoculture commence à être attaquée par un insecte ravageur, c'est une catastrope pour la population de végétaux. Parce que la trop faible biodiversité du site ruine complètement la résilience que l'écosystème aurait naturellement acquise avec moins de contraintes sur son développement. C'est pourquoi les objectifs de biodiversité forestière sont pris en compte de plus en plus sérieusement au fur et à mesure des décennies, et que les pionniers de la permaculture sont pris de plus en plus au sérieux²⁸⁾.

Le même raisonnement peut être appliqué concernant le fonctionnement numérique de la société civile : est-il souhaitable que les relations économiques et sociales s'arrêtent au moment même où Google, Facebook et Microsoft seront paralysés par une attaque informatique de grande ampleur ?

Heureusement, des services numériques alternatifs existent :

• ils sont locaux et déconcentrés, ce qui confère des capacités de résilience numérique à la société civile
• de plus, leur éthique allie la confidentialité réelle des données (éthique des logiciels libres) et la sobriété numérique (volonté de rester de petites structures associatives, lutte contre l'effet rebond, etc.)

En France, le plus connu des fournisseurs de services alternatifs éthiques est l'association d'éducation populaire Framasoft, qui se définit comme une AMAP du numérique (AMAP = Association pour le Maintien d'une Agriculture Paysanne). Elle a initié le Collectif d'Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires (CHATONS, chatons.org) se reconnaissant dans une charte fixant un certain nombre de principes, parmi lesquels l'attachement au logiciel libre et le refus d'exploiter les données personnelles des utilisateurs²⁹⁾.

Si vous souhaitez devenir indépendant(e) des services en ligne concentrés GMail, Yahoo!, Microsoft, Apple, et par votre propre résilience numérique, contribuer à celle de la société civile, vous pouvez visiter les sites suivants :

• framasoft.org (Association pour s'instruire, découvrir des logiciels libres, etc.)
• degooglisons-internet.org (Association Framasoft) : une quantité de services en ligne
• entraide.chatons.org (Collectif d'associations et de petits entrepreneurs numériques éthiques) : une quantité de services en ligne
• zaclys.com (Association La Mère Zaclys) : service email éthique et services de stockage / partage (cloud)
• sud-ouest2.org (Association Sud-Ouest) : service email éthique

Vous devez savoir que les emails (ou courriels) sont la porte d'entrée royale des logiciels malveillants dans les systèmes informatiques des particuliers et des entreprises, que les pièces jointes et les hyperliens sont potentiellement dangereux, que les campagnes de hameçonnage vers des faux sites web se sont multipliées depuis le début de la pandémie de COVID-19, et encore re-multipliés depuis le début de l'invasion russe en Ukraine³⁰⁾.

Lorsqu'un site web sur lequel on est client nous invite à cliquer sur un lien, la bonne pratique est de se demander si l'on peut accéder à la ressource par un autre moyen. Par exemple, si un email nous signale qu'une facture est disponible en cliquant sur un lien, alors il est prudent de ne JAMAIS cliquer sur ce lien. Mais au contraire de se connecter normalement sur le site, puis d'aller dans la section factures pour la visualiser / télécharger, puis de se déconnecter.

Sur un smartphone, il est sage de ne JAMAIS suivre un lien SMS, sauf cas très très exceptionnel. Par exemple un SMS envoyé en direct par le support téléphonique Orange souhaitant obtenir une photographie de l'écran de votre ordinateur.
Sur un smartphone, il est recommandé de ne pas suivre les liens emails.

Deux cas de figure se présentent si vous recevez un courrier électronique que vous n'avez pas sollicité :

• L'expéditeur a obtenu votre adresse de manière illégitime parce que vous ne vous êtes pas inscrit comme client(e) chez cet expéditeur –> Marquage comme SPAM — Courrier indésirable
• L'expéditeur a obtenu votre adresse de manière légitime –> Suppression normale de l'email. ATTENTION : Aucun clic sur un lien de cet email si quelque chose vous fait penser que la boîte mail de l'expéditeur a peut-être été piratée. Si vous êtes inscrit(e) chez ce commerçant et que vous avez vérifié que toutes les phrases et liens du messages sont cohérents, alors vous pouvez vous désinscrire en cliquant à l'endroit idoine situé à la toute fin du message

Bien que de nombreux professionnels non informaticiens le fassent (y compris les conseillers financiers), envoyer des données personnelles non chiffrées par email en dehors d'emails internes à une entreprise³¹⁾, est une mauvaise pratique, déconseillée par l'état (ANSSI) et la CNIL³²⁾. Le chiffrement du contenu des emails par cryptographie asymétrique ³³⁾ s'est démocratisé grâce au courrielleur logiciel libre Mozilla Thunderbird qui en simplife considérablement la démarche³⁴⁾ (cette cryptographie permet aussi d'authentifier l'identité de l'expéditeur qui joint sa signature électronique).

Malheureusement, le chiffrement du contenu des emails est hors de portée de la majorité des utilisateurs³⁵⁾, car le niveau de maîtrise de l'informatique par la population est globalement assez faible.
Heureusement, des alternatives plus simples sont accessibles au grand public :

• Si vous avez le choix, privilégiez le transfert direct d'un document sur le site officiel qui vous le demande, via le formulaire d'une page web dont la connexion ordinateur ↔ serveur est chiffrée (https://), plutôt que son envoi par email non chiffré
  
• Si vous en avez la possibilité et les compétences, privilégiez le transfert d'un document via un stockage temporaire sur un cloud éthique basé en France (Zaclys, etc.), plutôt que son envoi par email non chiffré

Gardez à l'esprit qu'une boîte mail en ligne n'est ni inviolable, ni un coffre-fort à l'abri des sinistres³⁶⁾. Et que beaucoup de boîte mail soit-disant gratuites (GMail, Yahoo!, etc.) sont financées par l'exploitation commerciale de vos données personnelles, ainsi que celles de vos correspondants.

Vous devez savoir que les mots de passes des comptes en ligne doivent impérativement être uniques, long et compliqués à deviner, tant pour un être humain qui connaît vos informations publiques, que pour une machine qui essaie des millions de combinaisons en très peu de temps. Dans l'état actuel de la technologie, un mot de passe de moins de 11 caractères est insuffisant³⁷⁾.

Suite au développement phénoménal des piratages, la connexion aux comptes en ligne par double authentification est de plus en plus recommandée et utilisée : il s'agit de confirmer la première validation d'identité à l'aide d'un code reçu sur un autre appareil en votre possession (smartphone, lecteur de carte bancaire, etc.). Cette méthode est imposée depuis fin 2020 par toutes les banques de l'Union Européenne (directive DSP2). Mais sur les autres sites web, cette double authentification est parfois difficile à utiliser quand on n'est pas à l'aise avec un smartphone. Si c'est votre cas, je vous conseille d'opter pour la complexification sérieuse de votre mot de passe, plutôt que cette double authentification.

Si vous souhaitez opter pour la double authentification mais que ce changement d'habitude vous est difficile, sachez qu'à partir de 2023 (peut-être à la fin 2022), la procédure va encore changer de manière progressive selon les sites web, dans le but de supprimer le recours aux mots de passe… à condition de faire communiquer le smartphone et l'ordinateur par Bluetooth³⁸⁾. Comme la fonction Bluetooth des smartphones est généralement éteinte afin d'économiser la batterie (minimiser l'empreinte carbone) et de diminuer les occasions d'attaques sur les vulnérabilités Bluetooth³⁹⁾, cette fonction devra être activée avant la nouvelle méthode d'authentification sans mot de passe dans la page web de l'ordinateur, puis re-désactivée…

… Et parallèlement à cette technologie développée par les grandes sociétés états-uniennes de service, l'état français est également sur le point d'apporter une nouvelle méthode d'authentification sans mot de passe sur les sites web du service public. En effet, une nouvelle application installée dans le smartphone (espérons que ce soit un logiciel libre), permettra de s'authentifier sur FranceConnect en posant sa nouvelle carte d'identité électronique (CNIe) contre l'appareil⁴⁰⁾.

Afin de renforcer la sécurité, l'utilisation d'un gestionnaire de mots de passe est fortement recommandée, à condition que ce gestionnaire n'envoie pas les mots de passe sur un serveur distant (cloud). Pour les personnes qui sont à l'aise avec la gestion des fenêtres et le copier-coller, je recommande le logiciel libre de référence KeepassXC (keepassxc.org)⁴¹⁾ qui est recommandé par le Socle interministériel de logiciels libres. Pour les personnes qui sont moins à l'aise, je recommande l'utilisation du gestionnaire de mot de passe de Mozilla Firefox⁴²⁾ avec un très bon antivirus (payant), et si possible, la tenue d'un carnet de notes sur ces mots de passe.

Attention au gestionnaire de mots de passe Google Chrome. Lorsque ce navigateur est connecté à un compte Google (GMail), il est fréquent que les mots de passe soient synchronisés en miroir dans le compte Google en ligne. Or comme il est également fréquent que les utilisateurs se fassent pirater leur boîte mail (GMail), le risque d'un piratage en cascade devient très élevé.

Traditionnellement, Microsoft publie un paquet de mises à jour de sécurité pour Windows et MS Office, chaque 2^e mardi de chaque mois, le "patch tuesday" (souvent livré le mercredi en France). Mais des mises à jour de sécurité surviennent souvent avant le prochain 2^e mardi du mois.

La mise à niveau vers Windows 11 (qui est réservé aux PC récents) est facultative jusqu'à l'obsolescence de la dernière sous-version de Windows 10 le 14/10/2025.
Les anciennes sous-versions de Windows 10 sont obsolètes, tandis que Windows 8.1 ne sera obsolète que le 10/01/2023. Pour connaître votre sous-version de Windows 10, tapez Winver dans le menu système (Démarrer) de Windows. Pour savoir si votre sous-version est obsolète, visitez la page suivante :

• wiki.ordi49.fr > Dates de péremption > Chapitre Microsoft Windows

Pour connaître les dates d'obsolescence de Microsoft Office, visitez la page suivante :

• wiki.ordi49.fr > Dates de péremption > Chapitre Microsoft Office

Les navigateurs web Google Chrome et Mozilla Firefox se mettent à jour relativement fréquemment, et de manière indépendante de Windows. Mais il faut pour cela que l'utilisateur autorise Mozilla Firefox ou Google Chrome à se mettre à jour lorsque cela est requis (boîte de dialogue affichant le mot "update").

Sur les smartphone Google Android, les mises à jour de sécurité sont au bon vouloir du constructeur. Lorsque l'appareil est encore récent, elles sont diffusées la plupart du temps avec un certain retard, qui implique donc que l'utilisateur ne retarde pas leur exécution. De manière générale, les smartphones fonctionnant sous Google Android contiennent de très nombreuses failles de sécurité dues à l'incurie des constructeurs. Quant-aux téléphones mobiles à touches, ils contiennent tous des tonnes de failles de sécurité non corrigées. Il vaut mieux éviter de les connecter à Internet.

Les objets connectés ne sont généralement pas conçu pour être mis à jour par l'utilisateur. Les programmeurs qui travaillent à toute vitesse sur ces produits ne se préoccupent pas beaucoup de la sécurité. Les entreprises les conçoivent et les vendent pour une saison. D'autres modèles ou gammes les remplacent à la prochaine saison, et la sécurité des anciens produits est vite oubliée.

Les imprimantes font exception et des mises à jour peuvent être téléchargées pendant deux ou trois ans. Si votre imprimante est connectée en WiFi plutôt qu'en USB, alors elle est directement connectée à Internet (et à son serveur qui reçoit les informations collectées). Dans ce cas, il est judicieux de vérifier régulièrement, si une mise à jour est disponible pour l'imprimante (très facile chez HP grâce au logiciel HP Support Assistant). Si l'imprimante n'est pas connectée à Internet, alors les mises à jour ne sont pas cruciales.

Concernant les "SMART TV" dites intelligentes et qui une fois connectées à Internet, sont surtout douées pour espionner le consommateur à son insu, il faut vérifier dans le manuel si les mises à jour sont prévues.

Si vous possédez une caméra directement connectée à Internet, vous prenez un risque pour votre propre sécurité, à cause du piratage fréquent de ces objets connectés. Ces gadgets doivent être utilisés avec la plus grandes précaution, et contrôlés / supervisés en permanence par des informaticiens. Ils conviennent mieux aux entreprises qu'aux particuliers, parce que les informaticiens d'entreprise disposent d'outils de surveillance et de supervision du réseau.

Si vous possédez un NAS (serveur de fichiers accessible par le réseau) et que vous l'avez configuré pour être accessible par Internet, c'est un risque considérable pour vos données personnelles. Une telle configuration pouvait s'envisager chez un particulier au début des années 2000. Mais ce temps est révolu.

Un particulier n'a ni les compétences, ni le budget, ni les ressources en supervision réseau d'une entreprise : sauf exception, il ne devrait jamais jouer à se prendre pour une entreprise, en autorisant l'accès à ses webcams ou à son NAS depuis Internet. Car toutes les box des particuliers comme des professionnels, sont sondées par des automates qui cherchent à entrer dans les systèmes.

Les sauvegardes de données sont rarement effectuées par les particuliers. C'est une erreur.
Elles devraient être effectuée régulièrement, plus ou moins fréquemment selon le nombre de nouvelles données, ou de leurs réactualisations.

Il existe une multitude de méthodes pour effectuer les sauvegardes :

• La méthode la plus concrète, c'est de copier-coller tout ou partie du dossier personnel de l'utilisateur sur le support externe : cette méthode manuelle nécessite un nombre plus ou moins important de manipulations. Beaucoup de manipulations –> sauvegarde précise qui optimise la place sur le disque dur externe. Peu de manipulations avec copie intégrale du répertoire caché AppData –> sauvegarde grossière avec de nombreux fichiers temporaires inutiles (et parfois volumineux)⁴³⁾
• La méthode la plus simple, la plus efficace et la plus sécurisée, c'est d'utiliser le logiciel Fab's AutoBackup Home & Office⁴⁴⁾ qui coûte 10 euros sur le sous-site e-commerce de son créateur Fabrice Parisot
  
• La méthode la plus risquée, c'est la sauvegarde sur un espace de stockage distant (cloud). C'est la meilleure méthode pour vous faire pirater vos données personnelles, soit par la société qui vous fournit "gratuitement" ce service, soit par un de ses clients coutiers de données, soit par le premier pirate qui devinera votre mot de passe⁴⁵⁾
• La méthode la plus assistée, c'est d'utiliser un logiciel de sauvegarde automatique sur votre disque dur externe. Celui qui est intégré à Windows 10 s'appelle "Historique des fichiers"⁴⁶⁾. Il existe une multitude d'autres logiciels de ce type. Beaucoup sont fournis sur les disques dur externes et proposent également la sauvegarde distante (cloud) à éviter.

Sous Microsoft Windows, un antivirus de qualité (payant) est fortement recommandé.
Sous Apple MacOS, il est également recommandé d'avoir un antivirus, en cette 3^e décennie du 21^e siècle.

Les utilisateurs GNU/Linux doivent se méfier car ils ne sont pas à l'abri de logiciels malveillants.
Ainsi les hackers, qui ne sont pas des pirates mais au contraire des utilisateurs bienveillants et expérimentés de GNU/Linux⁴⁷⁾, se contraignent à utiliser le navigateur web à l'intérieur d'un conteneur étanche ("bac à sable"), qui est configuré aux petits oignons pour interdire l'accès à tout un tas de ressources de l'ordinateur, dont les données utilisateurs (à l'instar du live CD / USB Tails qui est basé sur GNU/Linux Debian).

Concernant l'excellent antivirus Kaspersky – d'origine russe –, j'ai mis à jour ma page web wiki.ordi49.fr > Logiciels antivirus qui explique à quoi s'attendre à moyen terme. Si votre antivirus est un produit Kaspersky, je vous invite à la lire.