Mon optimisation pour sécuriser nos boites mails

l’Almanet doLys Gnu/Linux – Open Source – Entreprises Forums L’almanet doLys Open Source Mon optimisation pour sécuriser nos boites mails

Ce sujet a 9 réponses, 4 participants et a été mis à jour par hackoeur hackoeur, il y a 3 mois et 1 semaine.

10 sujets de 1 à 10 (sur un total de 10)
  • Auteur
    Messages
  • #4069
    nam1962
    nam1962
    Admin bbPress

    Sécuriser nos boites et comptes mails : trucs, astuces et méthode

    La sécurisation d’une boite e-mail est un sujet important et pourtant, vous comme moi trouvons cela fastidieux ! 😀

    A tort ! Passez les deux tests de la première section de ce tuto : vous serez édifiés ! 😛

    Après avoir aidé plusieurs amis ou entreprises qui se sont fait pirater ou voler leurs boites mails, j’ai une petite idée de ce qui permet de protéger nos mails en restant simples.

    Aucune méthode n’est infaillible, mais avec ces conseils vous serez convenablement sereins : mieux vaut passer 15 minutes à s’assurer de la sécurité de nos emails que plusieurs jours à courir derrière quand on s’est fait pirater !

    Je vous propose 5 étapes :

    • les tests de l’intégrité de l’adresse mail
    • la gestion des mots de passe
    • le choix du fournisseur de boites mail
    • l’organisation des adresses mail
    • la méthode de gestion de ses mails, par webmail ou client mail

    Allez hop ! On y va :

    Nous commençons par tester notre adresse e-mail

    Premier test : cliquez sur ce lien  –> mon adresse mail a-t’elle été l’objet de piratage ?

    Ce test est très simple (à propos, son auteur utilise des ressources open source), il va en gros vous indiquer si un site sur lequel vous êtes enregistré s’est fait voler les emails et mots de passe de ses visiteurs.  Il va aussi vous indiquer quel site est coupable !

    Ne nous affolons pas : dans beaucoup de cas, le vol de données est imparfait, car si le pirate a volé l’adresse mail, il n’a pas forcément volé le mot de passe ou, celui-ci étant crypté, il ne l’a pas forcément en clair. Et surtout, il n’a volé que le mot de passe que vous utilisiez sur le site en question.

    Par contre ce genre de vol explique une grande partie du spam : les hackers revendent les listes d’e-mail aux spammers !

    Second test : cliquez sur ce lien –> mon adresse e-mail est-elle considérée comme saine ?

    Là aussi nous avons un test très simple : vous recopiez l’adresse fournie par le site et vous lui envoyez un email depuis le compte mail à tester, puis vous cliquez sur la case “vérifiez votre score”.

    Vous obtiendrez une analyse complète et pourrez par exemple comprendre pourquoi vos mails atterrissent dans la boite spam de certains interlocuteurs !

    Dans de nombreux cas, ce n’est pas votre compte mail lui-même qui a un problème, mais le domaine (monnom@domaine.com).

    Si votre domaine est mal vu : soit changez de fournisseur, soit demandez à votre fournisseur (qui peut être le service informatique de votre société) de régler le souci.

    Nous allons ensuite voir à qui nous confions la gestion de nos boites mails !

    Nous entrons dans un sujet crucial où pourtant le plus grand laisser-aller règne.

    Confieriez-vous vos contrats confidentiels ou vos lettre d’amour à un inconnu contre un vague reçu ?

    Eh bien, c’est ce que la majorité des internautes fait (et je l’ai fait, donc je puis en rigoler sans cruauté !)

    Tous les gros fournisseurs d’adresses gratuites sont cet inconnu. Ils présentent deux problèmes : ils lisent nos mails (pour nous balancer de la pub, histoire de se rémunérer, ou pour d’autres raisons moins avouables) et ils sont la cible permanente des hackers.

    Un exemple : Yahoo qui a vu des centaines de millions d’utilisateurs se faire pirater.

    Je vous suggère deux solutions :

    Solutions mail gratuites (mais forcément limitées d’une manière ou d’une autre)

    Pour vos boites mails génériques ou sans besoin particulier de confidentialité, les prestataires dont c’est le métier, si possible avec mentalité open source.

    • Par exemple La Poste (après tout, leur métier est historiquement de préserver et sécuriser notre correspondance !)
    • de petits fournisseurs comme e-nautia (qui sont sérieux et qui vous proposent une version payante : chez eux, si c’est gratuit c’est que c’est un produit d’appel.)

    Solutions email payantes (mais pas trop et là c’est vous qui avez les clefs !)

    Le métier des prestataires payants est de nous héberger et d’assurer notre sécurité et non de nous fourguer de la pub ou de revendre notre adresse.

    • Si vous avez un site, bien sur utilisez votre hébergeur, je suis toujours étonné par les entreprises qui ont un site à leur nom : macheproh.com et par ailleurs une adresse mail @**mail.com plutot que @macheproh.com
    • Si vous n’avez pas de site, de nombreux hébergeurs proposent des offres mail qui commencent à 3€/mois (le prix de 4 timbres…)
    • Mon hébergeur, PlanetHoster, propose ainsi des emails personnalisé. (comme il m’aime bien, si vous cliquez sur ce lien, il vous offrira un rabais de 10% avec le code : PHA-PLANETDOLYS )

    C’est parfaitement abordable et c’est la meilleure solution pour au moins votre adresse principale.

    En plus cela fait plus sérieux ! A moins de choisir un nom de domaine farfelu, évidemment.

    Au moment de le choisir, pensez juste : “et si je dois chercher un boulot avec ce domaine ?”, ça vous évitera de choisir troulala.net ou bimbadaboum.com 😀

     

    Puis nous allons organiser nos adresses mail

    “Pourquoi met-il ça au pluriel ? je n’ai qu’une adresse, c’est plus pratique, non mais !” vous dites-vous !

    Là je vous contredit ! Il faut plusieurs adresses !

    C’est une base de la sécurité (et ce n’est pas plus compliqué, vous verrez).

    Si vous êtes un particulier, l’optimal est :

    • Une adresse chez votre hébergeur pour tout votre courrier important ou officiel
    • Une adresse chez un prestataire gratuit mais sérieux pour vos achats et communications banales
    • Une adresse gratuite pour vos communications poubelle (inscriptions test sur le net, trucs légers, etc 😉 )

    Comme ça vous ségréguez vos risques (et si un prestataire est en panne, vous survivez aisément.)

    Si vous êtes une entreprise, pensez à offrir à vos collaborateurs deux adresses mail

    • Une pour les communications externes
    • Une pour les communications internes

    Et ceci, même si vous utilisez un intranet ou des outils collaboratifs comme Slack, Github, Trello  ou autre.

    Vous verrez, cela simplifie la vie et… que ce soit pour un particulier ou une entreprise, cela permet une piste d’audit qui fait comprendre facilement d’où vient un risque sur les mails.

    Enfin, nous allons voir avec quel outil gérer nos mails

    Il y a deux outils possibles :

    Le webmail (ou gestion des emails en ligne) à laquelle on accède via notre navigateur.

    Je déconseille cette option :

    • elle est fastidieuse (surtout si on a plusieurs boites mail, or il faut plusieurs boites mail comme nous l’avons vu)
    • elle est plus risquée : mème si l’on sécurise son navigateur comme je sécurise Firefox,  les hacker sont de plus en plus sophistiqués et peuvent créer de fausses pages webmail auxquelles tout le monde peut se faire prendre
    • elle conduit (par flemmingite) à ne pas nettoyer nos historiques sur le navigateur, ce qui présente un risque supplémentaire

    Le client mail, logiciel spécialisé dans la gestion des mails

    Je préfère nettement cette solution, c’est bien mieux pour sécuriser et gérer les mails, il y a en particulier un client mail optimal que je décris en détail sur ce lien :  Thunderbird

    thuderbird dolysAvec un client mail,

    • on isole les mails du reste de la navigation sur le net
    • on préserve le mot de passe qui est stocké dans le logiciel
    • on gère sans soucis de multiples adresses mail
    • on peut sauvegarder régulièrement ses mails (comme cela, même si le fournisseur tombe en panne on garde nos mails)
    • on peut crypter nos mails

    Le cryptage des mails : un outil précieux pour la correspondance précieuse

    Nous avons vu comment gérer nos différents types de courrier en créant une boite ad hoc.

    Nous avons vu comment sécuriser les bases et choisir un prestataire de confiance.

    Cela dit, un mail est un texte en clair, pour la correspondance critique il est judicieux de le chiffrer.

    Si une faille subsiste, l’indiscret qui aurait réussi à intercepter notre correspondance en sera pour ses frais.

    Avec Thunderbird, c’est (relativement) facile avec l’extension Enigmail. Sur Thunderbird, il suffit d’installer l’extension Engimail, puis de suivre la procédure indiquée par la fondation Mozilla

    Attention ! Il faut que votre correspondant ait aussi de quoi lire votre message sinon parfaitement incompréhensible ! (cela vous permettra d'”évangéliser” les correspondants qui n’ont pas Thunderbird 😛 )

    Maintenant, nous allons sécuriser et simplifier la gestion de nos mots de passe.

    Comme vous avez vu, les adresses mail peuvent-être subtilisés.

    Un vol de mot de passe et hop ! Un indésirable peut prendre la main sur nos comptes.

    Carrément facile si on tombe sur un benêt qui utilise un mot de passe idiot comme 123456, sinon, le hacker va tenter des techniques de type brute force ou de type dictionnaire (mots courants, mots trouvés dans les communications de la cible, par exemple les gens qui ont un chien qui s’appelle Médor et qui pensent que le nom du chien va garder leur email 😛 )

    Pour sécuriser nos comptes mail, nous allons donc prendre quelques précautions.

    1. les mots de passe des comptes mail doivent absolument être différents des mots de passe utilisés sur des sites !
    2. les gestionnaires de mots de passe sont une fausse bonne idée (surtout si ils sont stocké sur le cloud) : on concentre le risque à un endroit unique ! (Et les hackers le savent, donc ils ciblent ces services de gestion)

    Ce qui est surtout important avec les technos actuelles est la longueur du mot de passe.

    Je commence par penser à une phrase ou expression dont je me souviens toujours, par exemple : “mon mot de passe est génial”

    Je l’améliore en remplaçant les a par @ et le . par une * et je mets au moins une majuscule : Monmotdepasseestgeni@l*

    On ne risque pas de l’oublier, on peut même s’amuser à stocker les phrases d’origine dans un fichier à part (sur une clef USB par exemple)

    Vous pouvez bien sur peaufiner avec vos propres trucs, mais une petite phrase “améliorée” va bien embêter celui qui tentera de vous hacker ! 😛

    Un ami utilise des phrases contextuelles :

    • monmotdepassemaison
    • monmotdepassebureau
    • monmotdepasseskype

    Facile à retenir (et si on a un client mail, comme vous le verrez plus bas, pas besoin de retenir…)

    Quand je veux peaufiner un mot de passe, je passe par un traducteur leet : http://md5decrypt.net/Leet-traducteur/

    Après passage au traducteur, il devient : M0nm07d3p455335793n1@1*  ce qui a peu de chances de se trouver dans un dictionnaire 😉

    Avant de terminer : quelques conseils pour l’interface chaise/clavier

    Ce qu’il y a entre la chaise et le clavier est un important facteur de sécurité… or c’est nous !

    Les hackers sont de plus en plus tortueux et ils cherchent aussi à abuser l’utilisateur : après tout, plutôt que du brute force, il est plus facile de demander poliment à l’utilisateur son mot de passe !

    Ne rigolez pas, je décris sur ce lien un exemple de phishing : la conception même montre que le pirate a réfléchi et construit patiemment le piège ! (bon, je ne suis pas tombé dedans ce coup là 😉 )

    Et le même type de piège peut-être tendu en simulant votre banque ou votre fournisseur d’électricité…

    Donc, prêtez l’attention nécessaire (sans devenir parano, hein !) à tout mail inhabituel. Sécurisez votre navigateur, bien sûr.

    Enfin, faîtes attention à votre OS : je suis sous Linux et du coup, je peux me permettre d’ouvrir des mails pour les étudier, sans risque de voir mon ordi torpillé. Je vous conseille, vous aussi d’avoir un ordinateur sous Linux

     

    • Pour un particulier ça me semble évident.
    •  Pour une entreprise, avoir au moins une partie du parc sous Linux est également logique.

    Particulier ou professionnels auront les même résultats : sécurité accrue, coût nettement moindre !

    Voilà ! Nous pouvons maintenant respirer, et gérer nos mails sans appréhension !

    Bonus : la sécurité de votre parc d’ordinateurs

    N’hésitez pas à poser des questions sur ce tuto, grâce à vous il pourra s’améliorer.

    Si vous avez des questions concernant votre entreprise, je serai ravi d’y répondre à titre professionnel.


    ? Un jeune site que j'aime bien, la ferrari du T-shirt  ...bio en plus : https://goudronblanc.com
    C'est notre mécène ! 🙂

    #4130
    RedJ
    RedJ
    Participant

    Merci!
    J’aime beaucoup la simplicité de tes présentations!


    ? Ce n'est pas parce que c'est ainsi que c'est comme çà!

    RedJ

    #4206

    tuxmarc
    Participant

    Bonsoir !

    Très instructif, je savais certaines choses et j’en apprends pas mal.

    Quand j’ai ouvert ma première boîte mail au boulot, je n’avais pas de bécane adéquate à la maison et savoir pourquoi, j’ai choisi Yahoo.

    J’ai le privilège d’être parmi les 200 millions d’utilisateurs à avoir été piraté, comme dirait Virenque “à l’insu de mon plein gré”. Un mois plus tard, Yahoo avouait qu’il s’était un peu planté dans ses comptes, nous sommes 1 milliard dans le club 😉

    Quand j’ai eu autre chose qu’un 386 SX, j’ai pris un abonnement et un boite Wanadoo. J’ai entendu dire que quelqu’un qui a une adresse Wanadoo est un dinosaure, et bien j’assume ;p

    Encore plus tard, j’ai ouvert une boite Gmail.

    Et encore plus tard, ayant changé de bigophone, après avoir reçu un SMS d’Orange, j’en ai ouvert une autre !

    C’est celle là qui n’a jamais voulu marcher sur le bigophone, pas un message d’émis, et qui m’a inondé de spams !

    Un peu gênant, “mon” mail m’envoyait un mail pour vendre des Rolex frelatées, du viagra, des faux sacs Vuitton etc ….. Mais un jour, argh !!!! voila que “mon” mail propose des péripatéticiennes russes !!!!!! Oh le bazar ! Là, j’ai réagi, j’ai vite fait contacté Orange et depuis plus le moindre spam. Rien ne dit que “mon” adresse continue à faire des ravages ailleurs !

    Je suis allé voir déjà pour mon adresse Yahoo.

    J’ai un score fabuleux !!! Je sais que je suis bavard, mais à ce point !

    592.394.406 Emails found avec exploit.in, 111.636.180 Emails found avec badoo (le méga plan drague 😉 ) et avec 145.563 Emails found c’est Mint dont les serveurs ont été piratés.

    J’ai un ident chez Mint.fr, OK, à une époque une copine d’enfance m’avait invité à m’inscrire chez badoo, croyant que c’était un réseau comme copains d’avant, perdu, c’est de la drague.

    Mais exploit.in, je ne vois pas ce que j’ai fait, ou c’est le piratage de Yahoo ???

    Quand on entend se gargariser avec des chiffres mirobolants de mails en une seconde, combien de mails pas du tout volontaires ???

    Je vais appliquer ta méthode pas à pas, sachant qu’il y a une recommandation que j’observe à 100% depuis 2008 : du Linux, rien que du Linux. J’ai aussi compris depuis une paye que le cliqueur fou s’attire un max d’emmerdes 😉

    Comme navigateur en ce moment, c’est un que j’ai découvert grâce à toi : Brave !

    Merci Nam de ces éclaircissements !!

     

    #4212
    nam1962
    nam1962
    Admin bbPress

    Super merci pour tes compliments !

    Tu sais le pire ?

    Devine…

    ..tes réponses arrivaient comme SPAM ! 😛

    Sans doute à cause de ma sécurisation WordPress ! Hihihi !

    @redj : je suis touché 😉


    ? Un jeune site que j'aime bien, la ferrari du T-shirt  ...bio en plus : https://goudronblanc.com
    C'est notre mécène ! 🙂

    #4215

    tuxmarc
    Participant

    Salut !

    Super merci pour tes compliments !

    Tu sais le pire ?

    Devine…

    ..tes réponses arrivaient comme SPAM !

    Sans doute à cause de ma sécurisation WordPress ! Hihihi !

    Le suivant va suivre le même chemin ?? Je remarquais une partie des messages de dolys qui se pointent dans ma boite à spams, un peu bizarre, mais on s’y fait.

    J’ai testé mes autres adresses à la moulinette et là, surprise !

    Gmail le bien trop curieux qui regarde par dessus mon épaule pour me dire ce que je dois faire, il est vierge, tout comme l’adresse Orange, celle jamais utilisée qui m’a envoyé les pires calamités dès l’ouverture !! Par contre, c’est l’adresse Wanadoo qui se gargarise avec badoo, le même chiffre que Yahoo ??!!?? (surprise). Le plus curieux, il n’y a aucune adresse de repli de ou vers Wanadoo et Yahoo ! Les tuyaux du net sont bien étranges !  Faut pas le dire maintenant, j’ai aussi testé l’adresse Wanadoo de ma femme, il y a ça : anon- Unknown gigadump 382m user plain- darknet- 64.058.237- 12.98 GB. Elle s’obstine à surfer avec W$, mais son score est inférieur au mien.

    Nous pouvons utiliser du costaud, ça ne nous épargne pas de nous faire pirater ailleurs !

    Il y a un truc que j’ai vu quand j’ai envoyé ma carte de vœux perso (merci GIMP et Libre Office) fin 2016 : j’ai découvert dans mes contacts des gens qui se sont “invités”. J’ai pensé que ça s’était ajouté quand j’avais fait “répondre à tous”, mais je ne me souviens pas d’avoir fait ça en répondant à un copian, Raymond, dont je retrouve tous les mômes, neveux, nièces, cousins, cousines dans mes contacts !

    Maintenant, je vais ouvrir ma boite mail avec plein de suspicion : qu’est ce que tu es en train de me faire dans le dos, saleté ???

    A++

    Marc

     

    #4216
    nam1962
    nam1962
    Admin bbPress

    Là, ton message est bien arrivé !

    Quelle est l’adresse doLys qui part dans tes spams ? Il faut que je la vérifie !

    A moins qu’elle n’ait été marquée manuellement spam par erreur, ça m’arrive de le faire pour des émetteurs légitimes, par exemple quand je nettoie ma boite lors d’un retour de vacances ! 😀


    ? Un jeune site que j'aime bien, la ferrari du T-shirt  ...bio en plus : https://goudronblanc.com
    C'est notre mécène ! 🙂

    #4221

    tuxmarc
    Participant

    Bonsoir !

    Pas d’erreur d’aiguillage, chouette !

    Il va falloir que je pense à mettre le message de côté au prochain coup, les spams, je ne les garde pas en souvenir, à part dans le dossier “bizarre” quand c’est une arnaque puante, mais très parfumée pour cette pauvre Madame Michu, éternelle héroïne des forums 😉

    Dans la boite principale (je reste sur le serveur en ligne) je n’ai jamais marqué un message comme spam, ça file direct à la poubelle comme les sempiternelles pubs.

     

    #4222

    tuxmarc
    Participant

    Suite ……
    J’ai vérifié des adresses supplémentaires sur hacked-emails.com
    À court d’adresses persos, je suis allé piocher dans mes contacts, des membres de la famille et autres.
    Pour certains, rien, mais quand il y a quelque chose comme qui dirait, ça cloche >>>>>
    Surprise, je tombe sur le même chiffre sur  : anon, exploit.in (compilation), darknet, 592.394.406, 24.09 GB et anon, Badoo, darknet, 111.636.180, 15.23 GB !!!!!?????
    Bizarre ! Vous avez dit bizarre mon cousin, comme c’est étrange 😉
    Il est intéressant de suivre les liens du site, on y voit que Twitter est une passoire, Myspace a la médaille d’argent et la médaille d’or est exploit.in.
    Ne voulant pas me coucher idiot, j’ai cherché ce que peut être exploit.in, réponse : un site en cyrillique (mon russe est trop nul pour comprendre) mais ça traite de ….. sécurité !! Si, si ! Et le suffixe “.in” me direz vous, d’où ça sort ?
    Réponse : d’Inde ! Mince alors, un site hindou tout en russe, mes neurones font des nœuds 😉
    Nam, tu m’ouvres les yeux sur un domaine que je ne connais que très peu, merci encore 😉

    #4366
    nam1962
    nam1962
    Admin bbPress

    Petit complément d’actu : 1.4 milliard d’adresses email piratées ! (Si vous voulez le lire en français )


    ? Un jeune site que j'aime bien, la ferrari du T-shirt  ...bio en plus : https://goudronblanc.com
    C'est notre mécène ! 🙂

    #4488
    hackoeur
    hackoeur
    Participant

    Excellent tuto encore une fois !
    Il m’a enfin motivée à finaliser mon projet d’un nom de domaine.
    – 9/10 pour mon adresse actuelle “riseup mail”, qui est sécurisée mais le nom fait partie des non-fiables…
    – “Gmail” la cata, j’ai été piratée, je sais par qui grâce à “my email has been hacked ?”.
    Et signalé à notre département judiciaire d’internet, fallait pas entrer chez moi, bien que j’étais consciente que cette adresse est un vrai attrape-piratage, elle n’est là que pour les besoins d’Android avant tout.

    Sinon, MDP sains.

    Merci nam.


    ? manjaro-xfce - Voyager-xfce - ...in process

10 sujets de 1 à 10 (sur un total de 10)

Vous devez être connecté pour répondre à ce sujet.