Accueil > Maîtrise de Mac OS X > Mac OS X pour le voyageur, Partie 3

Mac OS X pour le voyageur, Partie 3

19/09/2005
Allez aux commentaires Commenter

Par François Joseph de Kermadec, le 10 Septembre 2004

traduit par Vincèn Pujol, le 31 Mai 2005

Note de l’éditeur : Voici le troisième article de cette série, qui aujourd’hui se concentrera sur le cryptage logiciel et les dangereux réseaux avec lesquels vous devrez cohabiter durant vos voyages.

Les Bases de la Sécurité Logicielle

Maintenant que l’on a vu les différents aspects de la sécurité matérielle, nous allons voir plus en détail les aspects de la sécurité logicielle. Après tout, le fait que votre ordinateur soit en sécurité dans sa malette ne garantit pas qu’il le sera encore, une fois connecté à un réseau.

La première chose à vérifier est de s’assurer que votre Mac est suffisamment sécurisé, même à son endroit habituel au bureau. En fait, malgré que l’on prenne des mesures supplémentaires de protection ne vous dispensent pas de vérifier les points de base. Un bon moyen pour faire cela serait de regarder notre document “Security Primer for Mac OS X” et s’assurer d’en suivre toutes les étapes indiquées.

Gardez bien à l’esprit qu’il est fort probable que vous ne pourrez pas télécharger de mises à jour pendant votre déplacement, en raison de faibles débits, par exemple. Dans le cas où Apple publierait une mise à jour importante avant votre départ, téléchargez là sur votre Bureau et conservez là dans un endroit sûr jusqu’à temps de pouvoir l’installer en toute sécurité, — c’est à dire une fois sauvegardé vos données et que vous êtes en situation de pouvoir faire face à un éventuel soucis de mise à jour. Vous pouvez faire cela en utilisant le choix “Télécharger uniquement”, disponible dans le menu “Mettre à jour” du programme Mise à jour de Logiciels.

Avant de partir en voyage, vous pouvez également faire une opération de maintenance approfondie afin de vous assurer que votre machine fonctionnera bien durant votre déplacement.

Réseaux non sécurisés

La règle est: ne connectez jamais votre ordinateur à un réseau non sécurisé ! Maintenant que j’ai dit cela, je dois reconnaitre qu’il est parfaitement impossible d’éviter une telle situation. En fait, il y a de fortes chances, durant vos déplacements, que vous ayez besoin de vous connecter à Internet depuis votre chambre d’hôtel ou depuis des hot spots présents sur votre chemin.

Du fait que les services réseaux sont désactivés par défaut dans Mac OS X, vous prot&eacuteger des attaques classiques à distance ne devrait pas être un réel problème. Cependant, vous devriez vous poser la question de savoir si le risque associé avec le réseau surpasse le bénéfice de la connexion. Par exemple, les hot spots sont souvent totalement non sécurisés, en particulier s’ils sont gratuits ou accessibles sur une grande surface. Vous pouvez éviter de vous connecter à des réseaux qui sont “trop publiques”, ou dont vous ne connaissez pas les règles de fonctionnement.

Concernant les réseaux sans fil non sécurisés: vous devez garder à l’esprit que certains hot spots que vous pouvez rencontrer durant votre déplacement sont des “faux”, installés par des petits plaisantins dont le seul but est d’essayer de capter des informations confidentielles. C’est pourquoi il est important de vérifier l’origine du signal avant de l’utiliser. Par exemple, si le lieu où vous vous trouvez annonce un accès Wi-Fi, demandez à un agent plus d’informations sur l’identifiant réseau de l’accès Wi-Fi.

La plupart des réseaux des bons hotels vous fourniront un rapide aperçu de leurs règles de sécurité avant de vous donner un accès. Si vous avez un doute, n’hésitez pas à demander à la réception (ou la société qui a installé le réseau) à avoir plus d’informations — ce n’est pas une tâche facile, car la plupart de ces sociétés ne veulent pas en dire beaucoup sur leurs règles de sécurité.

Si cela est possible, une bonne solution peut consister à vous créer un compte utilisateur ordinaire que vous utilisez exclusivement lorsque vous êtes en déplacement. De cette façon, même si votre compte utilisateur est compromis, vos fichiers plus confidentiels et le système d’exploitation ne sont pas compromis. Pour une sécurité plus importante encore, vous pouvez activer le FileVault sur votre compte administrateur (ou le compte utilisateur dans lequel vos données confidentielles sont stockées).

L’importance de crypter les communications réseaux

Les renifleurs (Sniffers en anglais) de réseau sont particulièrement utilisés sur les réseaux publiques par des personnes mal intentionnées, des utilisateurs désabusés qui cherchent à se distraire, ou des administrateurs réseaux qui souhaitent surveiller leurs réseaux. Ces outils sont en plus très facile à télécharger et à utiliser, ainsi que légaux dans la plupart des cas.

De ce fait, le meilleur moyen de vous protéger contre de telles menaces est de crypter toutes les données sensibles qui quittent votre ordinateur, tels que les mots de passe, les identifiants ou les emails. Voici comment procéder:

  1. Dans Mail, assurez-vous que vos connexions entrantes et sortantes sont protégés par un cryptage SSL. Cela garantira que le contenu de tous vos messages, ainsi que vos informations de login et de mot de passe, sont cryptés. Gardez cependant à l’esprit que cela n’encrypte pas le message sur son chemin depuis le serveur jusqu’à sa destination finale; vous avez besoin d’utiliser le cryptage des emails si vous souhaitez protéger les emails lors de leur acheminement. Autrement, les emails seront seulement encryptés durant leur voyage de votre ordinateur au serveur de votre hébergeur Internet.
  2. Ne pas établir de connexions à des serveurs distants ou des volumes partagés sauf si vous utilisez un protocole sécurisé. Par exemple, SSH protègera vos données, alors que ce ne sera pas le cas de telnet. De la même façon, au lieu du FTP, vous pouvez utiliser SFTP, et au lieu de l’AFP ordinaire, essayez le moins connu AFP sur SSH — cependant AFP protègera probablement vos identifiants, selon la configuration que vous avez.
  3. Lorsque vous surfez, assurez-vous de faire transiter les données via une liaison sécurisée, même si le site auquel vous vous connectez n’est pas crypté. Des services tels que Anonymizer peuvent vous aider à atteindre cet objectif — même s’ils sont habituellement conçus pour Internet Explorer 6 ou supérieur et ne s’accordent pas bien avec d’autres browsers. Bien sur, cela ne fait que déplacer le problème (puisque le flux de données ne sera pas crypté lorsqu’il quittera les serveurs du service d’anonymisation), mais cela empêchera la surveillance de la part des autres utilisateurs du même hot spot.
  4. Soyez conscient qu’Ichat, et la plupart des autres logiciels de messagerie instantanée, envoient vos données de connexion et le contenu de vos discussions en clair sur Internet. Il est tout particulièrement important de bien avoir cela à l’esprit si vous utilisez votre adresse email .Mac comme identifiant pour Ichat.

Au vu du nombre de programmes et de services qui utilisent une connexion Internet d’une façon ou d’une autre, il est difficile de décrire toutes les situations possibles où votre Mac peut envoyer des informations non cryptées sur Internet. Un bon moyen de savoir ce que votre propre ordinateur fait est d’installer un programme tel que Little Snitch quelques jours avant votre voyage et de noter ou se rappeler des alertes de connexion.

En regardant les numéros de ports, vous devriez pouvoir déterminer avec un certain niveau d’efficacité si la connexion qui est établie est normale ou pas. Par exemple, une connexion sur le port 80 indique habituellement une liaison HTTP, qui n’est pas cryptée, alors que le port 443 tend à indiquer que l’application que vous utilisez utilise HTTPS, qui est crypté. Cela est loin d’être totalement sûr, cependant ! Cette page est un bon moyen de se rafraichir la mémoire si vous avez besoin de chercher des numéros de ports.

Même avec de bonnes mesures de cryptage, rappelez-vous qu’il est facile d’envoyer par inadvertance ce que l’on ne voudrait pas. De ce fait, vous devriez éviter de transmettre des informations cruciales via un réseau publique autant que faire se peut. Par exemple, même si la plupart des sites de vente sur Internet utilisent des sites sécurisés, je ne vous conseille pas d’utiliser votre numéro de carte de crédit sur un hot spot Wi-Fi — ne serait-ce que parce que cela implique de sortir votre carte bleue et de saisir son numéro sur le clavier de votre ordinateur devant tout le monde.

Concernant la saisie de codes secrets et autres, gardez bien à l’esprit que l’utilitaire Trousseau d’Accès contient un bouton spécial qui vous permet d’extraire les mots de passe et de les mettre directement dans le presse-papier sans les afficher à l’écran. Cela se trouve en bas à gauche, tellement évident que souvent on ne le voit pas !

Comme l’exemple de la carte de crédit le montre, les yeux qui trainent sur le clavier d’à côté est encore une technique très répandue. Cela est aussi simple et efficace que vous pouvez l’imaginer, en considérant en plus que la plupart des utilisateurs ne sont pas conscients de ce danger. Bien sûr, vous ne pouvez pas crypter les clés de votre clavier. (Enfin, vous pourriez passer votre clavier en Dvorak ou une autre langue pour déjouer les pirates, mais cela est un peu extrême). Vous devriez faire attention à ce que personne ne vous regarde lorsque vous saisissez des mots de passe ou travaillez sur un document confidentiel.

Réduire la luminosité de l’écran peut aussi être une bonne solution afin de le rendre lisible uniquement par vous. Certaines sociétés vendent des caches écrans qui rendent l’écran invisible de côté. Cela apporte un bon niveau de protection en rendant lisible votre écran que depuis une zone réduite et rend de ce fait votre vie beaucoup plus facile. En même temps, cependant, ils peuvent aussi attirer l’attention des gens autour de vous pour leur montrer que vous travaillez sur des données sensibles (l’équivalent moderne d’écrire sur le côté d’un camion “Transport de lingots d’or”). Il vous appartient de décider si cela sera efficace en fonction des lieux où vous vous rendez.

L’importance et la difficulté d’utiliser un pare-feu lors d’un déplacement

Les pare-feux sont un élément essentiel maintenant de l’arsenal de tout utilisateur connecté à Internet, et il y a de fortes chances que vous utilisiez un pare-feu matériel même sur votre réseau de la maison pour plus de protection. Malheureusement, lorsque vous raccordez votre ordinateur à un réseau publique ou à celui d’un hôtel, utiliser un pare-feu matériel n’est pas toujours possible.

Si vous n’êtes pas sûr du réseau de l’hôtel, vous pouvez toujours essayer d’utiliser un dispositif de NAT pour apporter une protection supplémentaire. Gardez juste à l’esprit que, du fait que votre réseau d’hôtel utilise probablement déja un dispositif de NAT pour partager la connexion entre les différentes chambres, vous pourriez rencontrer des problèmes avec certaines applications sensibles au NAT (en particulier les streams audio/vidéo et les logiciels de vidéoconférence).

Les bornes Airport vous apportent cette fonctionnalité, ainsi que la facilité d’un accès sans fil dans votre chambre. Cela est particulièrement vrai maintenant que la station Airport Express est disponible. Bien sûr, les réseaux sans fil doivent être bien sécurisés, aussi, donc il vous appartient de décider si les risques dépassent les avantages ou pas. Pensez à utiliser WPA avec un mot de passe complexe et des listes d’accès pour une meilleure protection au lieu du simple WEP.

Si vous ne pouvez pas utiliser un pare-feu, pensez à enlever du nom de votre ordinateur les mots qui permettraient de l’identifier trop facilement sur le réseau.

Crypter vos sauvegardes

Même si nous allons voir dans un moment comment sauvegarder vos données dans le détail, il parait opportun maintenant de parler du cryptage des sauvegardes. De cette façon nous n’aurons pas à revenir sur ces questions de sécurité pas vraiment amusantes mais au combien essentielles.

Si le cryptage de toutes les données est quelque chose de simple pour vous, je vous conseille de le faire.En fait, crypter les données diminue grandement les craintes liées à la perte d’un support de sauvegarde ou d’un ordinateur. Bien sûr, cela reste ennuyeux mais vous saurez que personne ne pourra pénétrer vos comptes pendant que vous serez au commissariat local en train d’essayer d’expliquer la différence entre un PowerBook 17″ et une malette. Parfois, cela peut aussi vous aider à retrouver votre machine car des voleurs moins expérimentés ne s’embêteront pas à essayer de comprendre un ordinateur ou un disque dur qui ne correspond pas à ce qu’ils cherchent. Ne comptez pas trop là-dessus quand même, mais cela arrive.

Grâce à FileVault, vous pouvez crypter en toute sécurité tout le contenu de votre dossier personnel. Malheureusement, si vous copiez un fichier de votre dossier FileVault vers un support amovible, un autre volume, ou n’importe où en dehors de votre dossier personnel, le fichier de destination ne sera pas crypté. Pour nous utilisateurs du Mac, le plus simple est de créer d’abord une image disque encryptée avec le programme Utilitaire de Disque et de copier ensuite les fichiers dedans. Voici comment procéder.

  1. Lancer Utilitaire de Disque, qui se trouve dans le dossier Utilitaires.
  2. Via le menu “Images” choisissez l’option “Créer une nouvelle image”.
  3. Dans la boite de dialogue qui apparait, donnez un nom à l’image et réglez le cryptage à AES-128, ce qui devrait nous donner un bon niveau de protection. Puis, choisir la taille de l’image, en gardant à l’esprit la taille du support amovible que vous allez utiliser. Assurez-vous que le format est réglé en mode lecture/écriture, et confirmez.
  4. Ensuite, il vous sera demandé un mot de passe. Choisissez en un bon, en gardant à l’esprit que le petit bouton “i” qui se trouve en bas à gauche dans la fenêtre de dialogue vous aidera à faire un bon choix en testant les mots de passe que vous saisirez dans les champs. Vous pouvez décocher la case “Se rappeler du mot de passe” si vous ne voulez pas que des mots de passe de sauvegarde envahissent sans fin votre Trousseau — lorsque l’on demande au système de mémoriser un mot de passe, Mac OS X l’enregistre dans le Trousseau et vous permet d’y accéder manuellement (si nécessaire) via le programme Trousseau d’Accès. Confirmez alors cette fenêtre et laissez l’Utilitaire de Disque faire sa magie.
  5. Un nouveau disque virtuel va apparaitre sur votre bureau. Mettez les fichiers que vous voulez sauvegarder dans ce disque virtuel et, une fois fini, éjectez le, de la même façon que vous le feriez pour un média amovible avant de le débrancher.
  6. Finalement, copiez le fichier de l’image disque sur un support amovible. Assurez-vous de lui donner un nom significatif (mais pas trop évident quand même). De façon générale, il est préférable d’y inclure la date. Pour des raisons de compatibilité avec les différents systèmes de fichiers, n’incluez pas de caractères spéciaux dans la date — utilisez “040404″ pour le 4 Avril 2004 et non 04/04/04.
  7. Une fois que le fichier est correctement gravé ou copié sur un support amovible, essayez de l’ouvrir au moins une fois pour être sûr que le processus se soit bien déroulé. Pour terminer, effacez le fichier de votre disque dur et archivez soigneusement la sauvegarde dans un endroit sûr.

Si cela parait un processus long et fastidieux, c’est parce que cela l’est réellement. Heureusement, vous avez besoin d’exécuter les différentes étapes seulement une fois et ensuite il vous suffira de copier vers ou depuis le volume virtuel que vous avez créé. Cependant, cela dépend beaucoup du support que vous utilisez. Une sauvegarde sur DVD-RW, par exemple, est un processus long (mais très souple), alors que la sauvegarde sur un disque FireWire externe se fera en un instant.

En fait, si vous avez la chance de posséder un disque dur amovible FireWire de capacité décente, vous pouvez utiliser un programme comme Carbon Copy Cloner pour sauvegarder votre dossier d’accuel FileVaulté en une étape (le cryptage est vu comme un volume monté) comme une image cryptée sur le disque externe. Faites juste attention à ne pas modifier les permissions de l’image (ou dans l’image elle-même). Cette astuce vous permet de faire des sauvegardes quotidiennes aisément, même en déplacement, mais est potentiellement plus risquée car agissant directement sur le cryptage du dossier d’accueil.

Si votre seul disque dur FireWire est l’iPod, gardez bien à l’esprit que la mécanique de ces petits équipements n’a pas été conçu pour un usage intensif. Votre iPod n’est pas une solution de stockage portable, universelle, de qualité industrielle, et ultra-performante. Cela fonctionnera, oui, mais cela sera plus lent et usera la batterie de l’iPod plus vite que normal, car la copie de gros fichiers entrainera un fonctionnement de votre iPod beaucoup plus intensif qu’en mode “lecteur de musique”.

Lors du choix de votre disque dur portable, assurez-vous qu’il possède une bonne isolation et qu’il résiste aux chocs de moyenne importance. Certains disques, par exemple, sont fournis dans un emballage en caoutchouc non visible mais efficace — bien que les conceptions modernes intègrent le caoutchouc dans le boitier, rendant le disque résistant et moins encombrant en même temps. Les disques qui supportent également les connexions en USB2 peuvent aussi être un bon choix en vous permettant de pouvoir les connecter sur un PC en cas de problèmes.

Bien sûr, vous pouvez choisir de ne pas tout crypter. Du fait que le cryptage est un processus très demandeur de ressources, cela vous permettra de réduire le temps des sauvegardes dans de grandes proportions, et donc de les réaliser plus aisément et de ce fait, vous préparera mieux dans le cas où quelque chose devrait arriver.

De la même façon que vous avez fait une liste de votre matériel, vous pouvez vérifier quels fichiers de votre disque dur peuvent être sauvegardés sans cryptage. Plus le processus sera rapide et facile, plus vous ferez de sauvegardes, ce qui est spécialement important lorsque vous êtes en déplacement.

Remarquez que ces recommandations s’appliquent aussi à vos sauvegardes en ligne. En fait, même lorsque vous envoyez des fichiers sur votre iDisk, ils sont envoyés en clair sur le réseau (même si votre login et votre mot de passe sont cryptés). Cela va parfaitement bien lorsqu’il s’agit de fichiers que vous souhaitez publier sur votre iDisk ou des images de votre chat, mais cela peut être un problème pour des fichiers plus confidentiels. Il est de ce fait important de crypter les données avant de les envoyer sur un serveur distant. Dans le cas où vous auriez besoin d’envoyer vos données sur un serveur publique ou sur votre propre serveur, le cryptage de la même façon que pour vos sauvegardes évitera également la fuite d’informations dans le cas où quelqu’un pénètrerait le serveur en votre absence.

Le mot de la fin

Dans cet article, nous avons vu quelques unes des meilleures pratiques de la sécurité qui devrait vous éviter la plupart des problèmes lors de vos voyages avec votre Mac et vos périphériques. Cependant, nous avons vu également comment ces opérations peuvent être lourdes. Malheureusement, les opérations lourdes peuvent rapidement devenir impossibles lors de voyages, ce qui aura un effet négatif sur la sécurité. Pour cette raison, dans le prochain article, je vais me concentrer sur la question de la mobilité et “garder les choses simples” ce qui permettra de rendre vos voyages avec votre ordinateur non seulement productif, mais aussi agréable.

Jusque là, voyagez en toute sécurité.

Textes originaux en anglais sur O’Reilly : Mac OS X for the Traveler, Part 3 par François Joseph de Kermarec

vincen Maîtrise de Mac OS X , ,

  1. Pas encore de commentaire
  1. Pas encore de trackbacks
S'abonner aux commentaires de cet article