Modélisation des menaces, ses intérêts pour la cybersécurité

La modélisation des menaces est un ensemble de principes, d’idées et d’outils utilisés par les développeurs de logiciels pour se représenter la forme que doit prendre leur système de cybersécurité. Heureusement, en tant qu’utilisateurs, nul besoin de passer plusieurs semestres dans une université de technologie pour apprendre les méthodes de codage qui l’accompagnent, mais nous pouvons plutôt nous concentrer sur la partie qui peut nous être utile et qui peut parfois s’avérer amusante.

La modélisation des menaces comporte trois étapes générales qui sont toutes traitées de façon très différente. La raison pour laquelle même les plus grandes entreprises ont souvent du mal à modéliser les menaces est qu’il faut commencer par une bonne dose de criminologie, poursuivre avec un peu de philosophie et terminer par de l’ingénierie. Pour utiliser ces systèmes, il nous faut adopter une approche globale. Dans la plupart des cas, personne n’a le temps ni l’énergie nécessaire pour étudier ces trois domaines de façon approfondie, mais le simple fait de savoir où chercher vous aidera à utiliser ces systèmes et à vous protéger beaucoup mieux que toute entreprise ne le ferait pour vous.

Les outils que nous utilisons sont bien connus. Si vous avez un système d’exploitation à jour, un bon antivirus et un fournisseur de VPN professionnel pour masquer votre adresse IP, vous serez certain d’être bien protégé. Les meilleurs fournisseurs de VPN comme Le VPN vous fourniront non seulement une adresse IP anonyme, mais aussi un large éventail de solutions pour vous protéger contre les escrocs qui en veulent à vos données personnelles.

Quelles sont les étapes de la modélisation des menaces ?

La première étape consiste à utiliser des techniques de criminologie pour identifier vos adversaires. Il s’agit des personnes, des groupes ou des organisations qui cherchent à vous nuire sur internet. Mais cela peut signifier des choses différentes selon les personnes, il faut donc déterminer ce qui est important pour nous et ce que nous cherchons à sécuriser.

La deuxième partie consiste à comprendre la façon de penser des personnes ou des groupes qui veulent nous nuire. La plus grave erreur serait d’imaginer que ces groupes agiront de façon rationnelle. Il faut plutôt accepter que l’humanité peut parfois se montrer ridicule et folle pour bien comprendre cette section.

Enfin, la troisième phase consiste à utiliser les bons outils pour nous protéger contre ces adversaires que nous avons imaginés. Cela dépendra de chaque personne, car il est beaucoup plus facile de protéger vos données sensibles s’il s’agit uniquement de renseignements personnels et que personne ne vous cible directement. Vous savez contre qui vous voulez vous protéger et qui peut avoir accès à vos données. Cependant, si vous possédez d’autres informations sensibles que les groupes malveillants souhaitent obtenir, leur protection pourrait s’avérer beaucoup plus difficile. Heureusement, si vous utilisez Le VPN, la majorité des outils les plus avancés seront immédiatement à votre disposition.

Qui sont les adversaires ?

Sans vouloir entrer dans une démarche philosophique, le théoricien militaire chinois Sun Tzu et l’homme politique médiéval italien César Borgia s’accordent à dire que se connaître soi-même et connaître son ennemi permet systématiquement de gagner une guerre.

Concrètement, nous ne pouvons théoriser et comprendre notre ennemi que si nous savons ce qu’il cherche à obtenir de nous. Il ne faut jamais sous-estimer le désir humain de richesse et de pouvoir, ni les folies occasionnelles de certaines personnes qui veulent simplement faire du mal. Les groupes qui courent après vos données sensibles sont tous là pour des raisons différentes. Ils emploient aussi des tactiques variées, c’est pourquoi vous devez vous défendre contre eux de différentes façons.

Gouvernements étrangers

Même si dans certains cas des personnes peuvent être en danger à cause de leur propre gouvernement, nous sommes en outre tous menacés par les gouvernements étrangers qui tentent d’obtenir nos données. Les gouvernements malintentionnés recherchent généralement deux choses. En premier lieu, il s’agit de vos communications, telles que les e-mails ou les chats. Ils y trouveront des informations et des rapports de sécurité, vous utilisant pratiquement comme un espion à votre insu, le glamour de James Bond en moins.

La deuxième chose qu’ils espèrent obtenir, c’est votre historique général de navigation. Cela leur permettra de créer des modèles de comportement social, de savoir ce que pensent les habitants d’autres pays et s’ils sont susceptibles d’influencer leur politique et enfin de connaître les comportements d’une manière générale.

Institutions nationales

Les institutions nationales sont différentes des gouvernements étrangers dans la mesure où elles ne veulent pas nécessairement utiliser vos données à mauvais escient. Elles restent toutefois dangereuses car même si leur « vol » de données n’est pas illégal, elles sont régulièrement piratées et détournées, compromettant ainsi vos informations.

Dans cette catégorie, vous trouverez un peu de tout, qu’il s’agisse de la NSA aux États-Unis, qui recueille les données à des fins de sécurité, ou des collectivités locales qui conservent vos informations dans leur base de données pour tenter d’offrir un meilleur service public. Bien qu’il s’agisse là de bonnes intentions, on sait que la route de l’enfer en est pavée. Parfois cela se traduit par une simple fuite de données, mais aussi dans d’autres cas par la mise en place d’un système de crédit social qui vous empêchera d’acheter un billet d’avion pour des motifs politiques, comme c’est le cas en Chine.

Grandes sociétés

La plupart des gens ne se rendent pas toujours compte que les grandes sociétés peuvent avoir plus de poids que les petits pays. De telles entités disposent de groupes peu scrupuleux qui mettront tout en œuvre pour offrir à leurs actionnaires un rapport trimestriel légèrement meilleur que le précédent.

En général, les sociétés recherchent vos données de navigation et vos habitudes d’achat, mais ne sont pas contre le fait de vous dérober quelques données personnelles au passage. En outre, ces entités malveillantes sont connues pour vendre les données personnelles qu’elles collectent à des tiers, faisant de votre code de sécurité sociale une simple monnaie d’échange dans leurs transactions.

Pour lutter contre cela, ne leur fournissez jamais vos données personnelles et utilisez toujours une adresse IP anonyme pour accéder à n’importe quel site internet si vous ne voulez pas que des sociétés comme Google ou Apple se mêlent de vos affaires.

Entreprises

Les entreprises sont beaucoup plus petites que les grandes sociétés évoquées précédemment, et elles sont aussi moins nuisibles. Il peut s’agir du boulanger au coin de la rue ou d’une petite chaîne locale de magasins. Contrairement aux autres, les entreprises ne pirateront probablement jamais vos appareils pour obtenir vos données personnelles, mais elles vous demanderont plutôt de les fournir vous-même. Ne le faites pas.

Dans le mesure du possible, expédiez vos factures et autres documents en provenance de ce type d’entreprises vers une boîte postale et non vers votre adresse réelle. Si vous payez par carte, ils disposeront déjà de vos informations de paiement. Et, si vous laissez en plus traîner vos informations personnelles, un pirate aura tout ce dont il a besoin pour usurper votre identité.

Groupes criminels

Le traitement des données personnelles est une activité très lucrative, et c’est la raison pour laquelle de nombreux groupes criminels passent leurs journées à les recueillir pour pouvoir en tirer quelques profits par la suite. Bien qu’ils ciblent habituellement des entreprises, des institutions et des personnes célèbres, ils sont toujours prêts à cibler quelqu’un d’autre si leurs renseignements sont facilement disponibles.

Le plus gros problème avec le vol de vos données par les groupes criminels est que cela ne se limite pas aux menaces en ligne. Ces groupes comptent de nombreux associés qui sont parfaitement capables de porter atteinte à votre sécurité physique si cela peut leur être profitable. La meilleure façon d’éviter cela est d’utiliser un VPN payant. Grâce aux services de fournisseurs tels que Le VPN, vous aurez accès à 100+ sites pour changer votre adresse IP de façon anonyme et laisser ces groupes vous traquer dans les collines de Mongolie pendant que vous êtes tranquillement assis à la maison.

Hackers

La plupart des gens imaginent les hackers tels des « cyberpunks » vêtus de couleurs fluorescentes et tapant frénétiquement sur leur clavier, un peu comme Angelina Jolie dans le film « Hackers », mais la vérité est bien différente. Le pirate informatique moyen est un jeune Suédois (grâce à leurs lois libérales), légèrement en surpoids, disposant de suffisamment de compétences et de temps libre pour collecter les données disponibles sur internet, soit pour un petit profit soit pour son simple plaisir.

En général, les hackers ne sont pas des personnes malhonnêtes, mais ils sont susceptibles de vous causer de nombreux problèmes s’ils accèdent à vos données. De plus, ils feront tout leur possible pour obtenir ces données, en tirant parti de la moindre faille dans votre ligne de défense pour ajouter une victoire à leur tableau de chasse. Avec ce genre d’adversaire, il est préférable de renoncer à toute notion de bon sens, car la plupart d’entre eux sont de vrais maniaques dont la vie dans le monde réel est souvent très limitée.

Logiciels malveillants

Enfin, l’adversaire le plus ennuyeux et le plus commun que vous rencontrerez est le logiciel malveillant ou espion. Ce type de logiciel aura rarement des effets néfastes sur vos appareils et vos renseignements personnels, mais il est surtout gênant car il ralentit votre connexion internet et vos équipements.

Pour rester protégé, vous devez disposer d’un logiciel anti-spyware et d’un autre pour bloquer les publicités sur votre navigateur, tout en procédant à des contrôles réguliers.

Pour défendre vos données susceptibles d’être compromises, vous devez toujours utiliser un VPN de qualité qui empêchera toute personne se cachant derrière un logiciel malveillant de faire le lien entre votre navigation et vos informations personnelles.

Hypothèses

La première étape pour créer un système de défense efficace consiste à émettre certaines hypothèses. Vous en aurez déjà établi la plupart en vous imaginant vos adversaires. Vous devriez en outre réfléchir à la façon dont ils pourront accéder à vos informations.

Le plus souvent, les espions obtiennent nos informations lorsque nous utilisons une adresse IP publique, par exemple dans un café, ou lorsque notre adresse IP réelle peut être reliée à nos informations personnelles. Dans de telles situations, la meilleure solution consiste à utiliser un serveur proxy ou des nœuds proxy anonymes comme le navigateur TOR, ou tout autre moyen permettant de masquer notre adresse IP.

Même si l’utilisation de TOR en tant que navigateur principal peut être une bonne idée, vous devriez toujours choisir un VPN payant plutôt qu’un simple proxy gratuit. Un serveur proxy gratuit peut être facilement compromis et constitue souvent une cible pour les entités malveillantes. Parfois même, celui-ci a été conçu par ces entités. Les autres avantages offerts par un VPN sont nombreux, notamment sa vitesse, sa facilité d’utilisation et ses nombreuses mesures de protection qui vous permettront de naviguer en toute sécurité sur internet.

Problème de l’objectif négatif

Les personnes expérimentées dans la résolution de problèmes ont sans doute remarqué que la modélisation des menaces pose une difficulté majeure en termes d’objectif. Il s’agit le plus souvent d’un objectif négatif. C’est à dire que vous n’essayez pas de faire quelque chose, mais vous essayez plutôt d’empêcher que cela ne se produise.

C’est ici que la créativité entre en jeu. La meilleure façon de modéliser les menaces pour votre cybersécurité personnelle consiste à laisser libre cours à votre imagination pour trouver les moyens les plus fous de compromettre vos données et d’en faire un mauvais usage. Qu’il s’agisse de vendre les photos de vos vacances d’été à des grandes sociétés ou d’utiliser votre carte de crédit pour acheter des jeux en ligne, les possibilités sont infinies quand vient le moment d’utiliser vos données.

Les différents échelons de sécurité entreront en jeu à partir de ce moment-là, et même si la plupart de vos données seront sécurisées avec un bon proxy anonyme, la seule façon de protéger vos informations les plus importantes consiste à utiliser un bon VPN, et de préférence en naviguant sur internet avec le navigateur TOR.

Le Guide du voyageur galactique

« Il y a là-dehors un nombre infini de singes qui aimeraient bien nous parler de ce scénario de Hamlet qu’ils viennent de terminer. »– Douglas Adams

Bien qu’il ne s’agisse pas de la stratégie la plus évidente en matière de cybersécurité, ce livre de Douglas Adams comporte plusieurs points cruciaux relatifs à la modélisation des menaces. Et c’est aussi un ouvrage particulièrement intéressant.

Le message de cette histoire est lié à la loi des grands nombres. Même si vous n’êtes pas une cible particulière du crime organisé, vous utilisez internet au quotidien, achetez en ligne avec votre carte bancaire et remplissez de nombreux formulaires pour différents services. La raison pour laquelle votre cybersécurité doit relever de la paranoïa est que vous ne savez jamais ce qui peut se passer et quel geste non intentionnel pourrait vous amener à partager vos précieuses données personnelles avec des hackers.

Si vous faites en sorte de vous protéger face à des situation inattendues, vous serez également à l’abri de ce qui est prévisible.

Meilleures pratiques de sécurité

Les pratiques de sécurité les plus avancées ont été mises au point au fil des ans dans le but de nous protéger contre les menaces potentielles et minimiser les risques pour notre sécurité. Lorsque vous connaissez les différentes menaces et vulnérabilités existantes, vous pourrez créer un modèle qui protégera votre ordinateur, vos appareils mobiles et vous-même contre tout risque en ligne.

Sécurité numérique

Il est assez facile de créer un environnement numérique sécurisé car les technologies dont vous avez besoin sont déjà disponibles.

En premier lieu, vous devez connecter tous vos appareils via un VPN. Les meilleurs fournisseurs comme Le VPN vous offriront une navigation anonyme aussi rapide que votre connexion traditionnelle, ainsi qu’une protection contre tous les espions face auxquels vous pourriez vous heurter en ligne. Ce service est capable de dissimuler facilement les personnes qui l’utilisent et leurs appareils, en plus de masquer l’emplacement réel de chacun d’entre eux.

La seconde ligne de défense vient du dispositif en lui-même, qui doit disposer d’un système de sécurité à jour et de tous les protocoles modernes. Vous devez aussi posséder un bon antivirus et un logiciel anti-spyware.

Enfin, il n’existe pas de meilleur moyen de protéger vos informations les plus précieuses que de les conserver sur un disque dur externe, qui restera déconnecté de votre appareil quand vous n’en avez pas besoin. Grâce à la technologie de stockage USB, cette solution est devenue relativement bon marché et garantit que les informations ne seront pas diffusées.

Sécurité physique

Cela nous amène à la sécurité physique, car une personne qui pénètre par effraction dans votre maison peut aussi vous dérober cette clé USB. Cet aspect de la cybersécurité est souvent négligé, mais il est pourtant incontestable que la diffusion de renseignements personnels, notamment votre adresse, peut faire peser une menace sur votre domicile.

Tout comme il est important de maintenir votre adresse IP réelle confidentielle à l’aide d’un VPN, vous ne devez pas divulguer votre lieu de résidence réel à une entreprise si rien ne vous oblige à le faire.

Protégez-vous au maximum

Pour bâtir votre système de sécurité, l’analyse des menaces ne suffit pas. Si vous êtes parfois tenté de renoncer à votre sécurité pour des raisons de confort, vous devez impérativement prendre des mesures qui vous permettront de surfer sur internet en étant protégé, même dans ces situations.

Par exemple, quand vous avez besoin de vitesses de connexion plus élevées, il peut vous arriver de désactiver votre VPN pour grappiller quelques secondes. Dans ce contexte, il est préférable d’utiliser des protocoles modernes comme OpenVPN, qui vous feront bénéficier de débits plus rapides, sans avoir à mettre de côté votre modélisation des menaces par simple manque de patience.

Conclusion

Bien que la modélisation des menaces pour le développement de logiciels soit un processus complexe qui consiste à évaluer des aspects sécuritaires à mettre en œuvre, cette démarche est beaucoup plus simple lorsqu’il s’agit d’un usage personnel. Si nous utilisons les services de fournisseurs VPN professionnels comme Le VPN, nous disposons déjà de tous les outils de chiffrement et des algorithmes de sécurité dont nous avons besoin pour détecter, éviter et éliminer les dangers présents sur internet.

En nous inspirant des méthodes de référence et de notre imagination pour déterminer les risques qui pèsent sur notre sécurité, nous pouvons nous protéger en restant anonymes en ligne et en faisant preuve d’une certaine prudence dans la façon dont nous partageons nos informations personnelles. Aujourd’hui, surfer anonymement est le meilleur moyen de rester libre et à l’abri de tout danger sur internet.