Publié le 12 novembre 2012
Publié le 04 octobre 2012
* On pense souvent que les virus et autres malwares
contaminent les ordinateurs uniquement par des supports
amovibles infectés ou le téléchargement de fichiers
suspects, mais il est également possible d’être infecté
uniquement en visitant un site web compromis comportant
des iFrames invisibles.
* La balise IFRAME permet d’insérer une page HTML dans une autre page. Comme toutes les balises HTML, elle dispose de divers attributs dont trois qui nous intéressent particulièrement :
· Frameborder : permet d’activer ou désactiver la bordure de la page insérée.
· Height/width : permettent de définir la hauteur/largeur de la page insérée. Il est ainsi possible d’insérer dans une page une autre page avec une hauteur et une largeur de zéro et sans bordure, donc totalement invisible pour le visiteur.
Si l’affichage d’une page non souhaitée n’est pas dangereux en soit, le code que celle-ci exécute peut l’être. En effet l’IFRAME peut insérer une page contenant des scripts malicieux et causer des dommages au poste du visiteur.
Pour compromettre un site avec des iFrames malveillantes, il faut modifier le code source des pages, donc accéder directement au serveur qui les héberge. Soit une faille d’un des logiciels du serveur est exploitée, soit les identifiants de connexion à l’administration du site sont compromis. L’hébergeur doit donc veiller à maintenir l’ensemble des logiciels du serveur à jour et le webmaster doit établir sa connexion depuis un poste sûr et privilégier des protocoles sécurisés. De plus il doit respecter certains « bons usages » lors du développement de ses pages.
Même si le visiteur accède à des sites infectés, il peut également se protéger en suivant quelques recommandations :
· Eviter d’utiliser un compte ayant des droits d’administrateur sur le poste, de cette façon même si du code malicieux s’exécute, aucune modification importante ne peut être apportée au poste
· N’activer l’interprétation de code dynamique (JavaScript, Flash) que sur les sites dignes de confiance. En clair aucun code ne peut s’exécuter sans l’autorisation explicite de l’utilisateur, certains navigateurs proposent des plugins à cet effet, d’autres disposent de l’option de façon native.
· Lire les e-mails au format texte au lieu du format HTML, ainsi aucun code ne peut être exécuté
· Utiliser un antivirus et le garder à jour
· Maintenir le système à jour
Publié le 22 août 2012
Le journal "Le Figaro" a publié il y a plusieurs mois un article dont le sujet est le dossier "Mes documents" au bureau. Ce dernier est considéré comme document public malgré qu'il porte le déterminant adjectif possessif "Mes" (Documents):
Au bureau, gare aux fichiers personnels et autres informations sensibles. Contrairement à certaines idées reçues, un employeur a tout à fait le droit de consulter l'intégralité du disque dur du poste de travail de ses employés, et ce sans leur demander l'autorisation. Les fichiers récoltés (images ou films pornographiques le plus souvent, mais aussi documents prouvant des contacts avec la concurrence ou dénigrant l'entreprise auprès de tiers) peuvent alors servir de preuves pour un licenciement. Seule exception: les fichiers personnels.
Mais comment détermine-t-on qu'un fichier est personnel? La Cour de cassation a rendu à cet effet plusieurs arrêts au cours des dernières années.Le dernier en date (mai 2012), explique qu'un fichier rangé dans un dossier nommé «Mes documents» ne peut pas, malgré sa dénomination, être considéré comme personnel, et peut donc être consulté librement par le supérieur de l'employé visé.
Nommer son dossier avec ses initiales ou son prénom ne suffit pas non plus. La Cour de cassation a rendu deux décisions en 2009 expliquant que ces dénominations ne suffisaient pas à identifier ces dossiers comme étant privés.
Pour s'assurer que certains fichiers ne peuvent pas être consultés à son insu par son employeur, l'employé doit créer un dossier nommé «Personnel». Pour plus de sécurité, mieux vaut également ajouter la mention «Personnel» dans le nom des fichiers contenus dans le dossier.
Mais attention! Si l'employeur n'a pas le droit de consulter les dossiers «Personnel» sans demander l'autorisation de son employé, cela ne veut pas dire qu'il n'a pas droit de regard. La Cour de cassation a rappelé à plusieurs reprises que l'ouverture de ces dossiers devait se faire en présence de l'employé, ou suite à un appel téléphonique visant à le prévenir, «sauf risque ou événement particulier justifiant l'atteinte à la vie privée».
Mieux vaut donc faire preuve de prudence en ne laissant rien traîner sur son poste de travail en dehors de ses documents professionnels. Si un document sensible doit transiter par votre poste de travail, transférez-le sur un support vous appartenant, comme un disque dur externe, une clé USB ou votre smartphone ... personnel.
ÉCONOMIE EMPLOI & ENTREPRISE
Vie de bureau
Le Figaro.fr, publié le 11/05/2012