Sécuriser nos
sites de presse
Gregory Fabre
Mardi 3 mai 2016
Plan
- Règles de base
- Piratage de son site
- Réseaux sociaux
- Protection des sources
Qui suis-je ?
- Ingénieur IT - ENSIIE
- Cofondateur de Terra eco
- Spécialisé en cybersécurité
1. Règles de base
- Regards et Voyages
- Session
- Cybercafé
- Derniers conseils
Regards et Voyages
- Regards indiscrets
- Filtre de confidentialité
- En voyage ne vous séparez pas de votre matériel
- La paranoïa est une maladie
Sessions
- Protégez votre session avec un mot de passe
- Chiffrez vos données
- Contrôlez l'accès : dans gmail on peut voir qui s'est connecté
Cybercafé
- Effacez vos traces sur un ordinateur public
- Déconnectez-vous
- Effacez votre historique de navigation
- Ne stockez jamais votre mot de passe dans le navigateur
- Utilisez une session de navigation privée
Derniers conseils
- Utilisez la double authentification si possible
- Ne cliquez pas n’importe où ! Attention aux pièces jointes, au phishing
- Gardez vos logiciels à jour
- Sécurisez votre surf : http / https
- Wifi sur un réseau public → VPN
Et n'oubliez pas...
- Quand vous avez un doute : demandez : à un confrère, à un informaticien, à un spécialiste
- La sécurité est un processus, progressif, faillible
- Social engineering : formez tout le monde (*)
- Le maillon faible : rien ne sert de fermer la fenêtre si la porte est ouverte
2. Piratage de son site
- Mots de passe
- Serveur
- Logiciels
Gérer ses mots de passe
- Back office et juridique
- Pas de mots de passe partagés
- Des vrais mots de passe : des phrases de passe
- Les changer mais pas trop souvent
- Dès qu'un mot de passe est grillé le changer
- Ne pas avoir le même mot de passe pour tout (*)
- Utiliser un produit payant de gestion des MDP
S'occuper de son serveur
- Infogéré et monitoré par des professionnels
- Eviter l'hébergement pas cher à 5€ par mois géré par le développeur dont ce n'est pas le métier
- On trouve des bonnes solutions en mutualisé à partir de 50€ par mois
- Réfléchir à la conservation des logs
Logiciels du site web
- Préférer les CMS standards qui sont très régulièrement testés et mis à jour
- Les garder à jour, ainsi que les plugins
- Ne pas afficher les message d'erreur en prod
- Ne réinventez pas la roue
- Demander au développeur s'il est sensibilisé, sinon qu'il se renseigne un peu sur les bonnes pratiques
- Idéalement, faire tester le site à sa sortie, et à chaque grosse mise à jour
4. Réseaux sociaux
- Avoir une politique de mots de passe
- Attention aux applications tierces authentifiées : aller voir cette liste régulièrement
- Twitter : utilisez l'authentification avec téléphone portable
- Facebook : ajustez les règles de confidentialité
- Attention aux faux profils
4. Protection des sources
- Téléphone portable
- Sécurité informatique standard
- Le mail
- Les fichiers
- Les outils principaux
Nos bien aimés smartphones
- Géoloc
- Son
- Texte
- Sécurité physique et courrier postal
Sécurité informatique standard
- Antivirus sur Windows
- Connaître son parc
- Ne pas apporter des appareils externes
- Utiliser son matériel
- En cybercafé utiliser Tails et changer les mots de passe en rentrant, voire tous les jours
- Chiffrer ses supports externes
S'occuper de sa messagerie
- Où est herbergé votre mail ?
- Qui peut y avoir accès ?
- Sans commission rogatoire ?
Les fichiers
- Métadonnées (texte, images...)
- Vérifier l'intégrité d'un fichier
- Retaper un fichier texte avant publication
- Pas effacés réellement
Outils principaux
- Thunderbird
- PGP
- TOR
- Tails
Conclusion
- Attention aux illusions de sécurité
- Il n'y a pas de baguette magique mais
- Des menaces
- Des réponses circonstanciées à ces menaces
Présentation : http://www.resaction.com/prez/cyberpresse/