Sécurité Glossaire Adresse IP Adresse numérique d un ordinateur, par exemple 138.129.34.42. Chaque fois qu une connexion Internet est établie, une adresse IP est attribuée à l ordinateur pour la durée de la session. Elle se compose au maximum de 12 chiffres en quatre blocs de 2 ou 3 chiffres. L adresse IP permet d identifier de manière univoque un ordinateur sur Internet ou au sein d un autre réseau. Elle est comparable à un numéro de téléphone. Adresse URL (URL = Uniform Resource Locator) Chaîne de caractères normalisés servant à identifier et à localiser des ressources consultables sur Internet et à y accéder à l'aide d'un navigateur. L adresse URL commence généralement par http://, https:// ou ftp://. Exemple: http://www.postfinance.ch Anti-logiciel espion (Anglais: antispyware) Programme actif en arrière-plan qui scanne en permanence l ordinateur pour détecter et éliminer les logiciels publicitaires (adware) et les logiciels espions (spyware). Antivirus Programme actif en arrière-plan qui scanne en permanence l ordinateur pour détecter et éliminer les virus et certains vers. Si le logiciel est doté d une fonction de mise à jour automatique, elle doit être activée. Applet Java (Français: marqueur d invocation Java) Petit logiciel écrit en langage Java, intégré au navigateur, qui s exécute au niveau local sans nécessiter d accès à Internet. Les applets Java peuvent dès lors constituer un risque pour la sécurité. Barre d adresses Champ du navigateur servant à la saisie de l adresse Internet (URL). Barre d état Espace permettant l affichage d informations système sur le bord inférieur de la fenêtre du navigateur. On peut y voir par exemple différentes informations concernant la page en cours. Le passage de la souris sur un lien actif y affiche l adresse URL correspondante. Lors de transactions sécurisées, comme dans e-finance, un symbole de cadenas indique que le navigateur de l utilisateur est en liaison avec le serveur d'e-finance. Cache (Le cache est une mémoire cachée, et le mot se prononce comme le terme anglais cash). Chaque page Internet que vous visitez est stockée temporairement dans la mémoire cache. Lorsque vous consultez un site Internet, cette mémoire peut être interrogée à votre insu, et il est ainsi possible de reconstituer votre parcours de navigation. C'est pour cette raison que le cache doit être vidé régulièrement. Cache: vider la mémoire cache Internet Explorer: Outil > Options Internet > Supprimer les fichiers > Supprimer tout le contenu (cochez la case). Vous pouvez supprimer automatiquement le cache après chaque utilisation de votre navigateur en sélectionnant > Outil > Options Internet > Avancé > Vider le dossier Temporary Internet Files lorsque le navigateur est fermé. Mozilla Firefox: Outils > Paramètres > Protection des données (colonne de gauche) > Tout supprimer Canular (Anglais: hoax) Fausse information, généralement véhiculée par courrier électronique ou par messagerie instantanée, qui incite le lecteur à poursuivre sa diffusion et met souvent en garde contre des virus dangereux. Il est recommandé de ne pas donner suite à de tels messages, qui pourraient entraîner la perte de données ou le blocage de l ordinateur. N installez pas d éventuels logiciels joints à ces messages et ne les transférez pas à d autres destinataires (chaîne de lettres). Certificat numérique Document électronique délivré par une autorité de certification, qui garantit l'authenticité des clés publiques contenues dans un annuaire. Il comprend l'identité du détenteur de la clé publique, la clé publique elle-même et la date d'expiration de la clé. Il désigne aussi le message garantissant l'authenticité de données qui transitent d'un point à un autre sur un réseau. Le certificat numérique garantit à l utilisateur que les données sécurisées qui lui ont été fournies proviennent bien de l expéditeur indiqué. PostFinance envoie à chaque établissement d une session un certificat numérique qui permet au navigateur de reconnaître qu il est en liaison avec le serveur sécurisé de Post- Finance. L authenticité du certificat peut être vérifiée par double clic sur le symbole du cadenas, qui donne accès à l empreinte numérique infalsifiable. Chaîne de lettres Forme de message de masse abusif, également spam ou canular, qui donne à de nombreux destinataires des informations abusives en les incitant à les transférer au plus grand nombre possible d autres adresses (effet boule de neige). Peut par exemple prendre la forme d un appel à effacer un virus dangereux, au risque d effacer un fichier essentiel pour le fonctionnement du système. Ce type de message peut rapidement atteindre une diffusion à très large échelle; ne retransmettez donc jamais un tel message mais effacez-le immédiatement. Chat Communication directe en temps réel entre deux ou plusieurs personnes sur Internet. Au contraire de la messagerie instantanée, le chat se déroule sur un canal public et ne nécessite aucun logiciel spécifique sur l ordinateur. Cheval de Troie (Aussi troyen) Programme malveillant qui, dissimulé à l'intérieur d'un autre programme en apparence inoffensif (par exemple un jeu ou un petit utilitaire), exécute des opérations nuisibles à l'insu de l'utilisateur en tirant parti des failles de sécurité de son système. Généralement, le cheval de Troie donne un accès à l'ordinateur sur lequel il est exécuté en ouvrant une porte dérobée. Il permet ainsi à d'éventuels pirates de pénétrer par effraction dans des fichiers pour identifier des mots de passe ou des séquences clavier, et ce, toujours à l'insu de l'utilisateur. Un ordinateur infecté peut éga-
lement être détourné pour l envoi de spams à l insu de l utilisateur. Code Avec une carte PostFinance à fonction ID et le lecteur on a à présent la possibilité de calculer ledit OTP (One Time Password; mot de passe à usage unique). Les solutions avec OTP correspondent aux standards de sécurité actuels pour les solutions e-finance. Caractéristiques d'un OTP : * Ne peut être utilisé qu'une fois * N'est valable que peu de temps * Ne peut pas être généré d'avance, car le calcul d'un OTP requiert la saisie d'un nouveau code attribué par E-Finance à chaque connexion. * Le lecteur est toujours anonyme, c'est-à-dire qu'aucune donnée, telle que par ex. le NIP, n'y est enregistrée. Commerce électronique (Anglais: e-commerce) * vente de produits sur Internet * échange d informations sur Internet * assistance globale du client via Internet Suivant les branches et les sociétés, les différents aspects peuvent avoir une importance différente. Mais si une entreprise veut tirer pleinement parti du potentiel du commerce électronique, elle doit prendre tous ces aspects en compte dans sa stratégie Internet. Contenu actif Fonction invisible (mini-programme, script) dissimulée dans le code d une page Internet et qui s active lorsque la page est ouverte. L utilisateur ne peut en aucune manière contrôler qui accède à son ordinateur par ce biais ni quels sont les effets des contenus actifs. Bloquer l accès à ces sites douteux dans le navigateur permet s augmenter la sécurité. Cookie (Equivalent français: témoin de connexion) Petit fichier texte enregistré automatiquement sur l ordinateur de l utilisateur lorsqu une page Internet définie est chargée. Le cookie permet de mémoriser des réglages personnalisés, comme la langue ou l adresse de l utilisateur. De nombreuses boutiques en lignent emploient cette technique pour que le client ne doivent pas saisir à nouveau ses données à chaque visite. Les cookies sont inoffensifs et ne peuvent pas contenir de virus. Ils devraient toutefois être effacés régulièrement (effacer les cookies). Cryptage 128 bits Le cryptage ou chiffrement est un procédé par lequel est substitué, à un texte en clair, un texte inintelligible, inexploitable pour quiconque ne possède pas la clé permettant de le ramener à sa forme initiale. Le cryptage 128 bits est le standard actuel pour la transmission de données sécurisées. Détournement de navigateur (angl.: browser hijacking) Déviation de l accès à des pages Internet sur des sites tiers. L utilisateur n accède pas à sa page de démarrage ou au site désiré, mais arrive sur d autres pages, généralement à contenu publicitaire. La responsabilité en incombe à de petits programmes de type adware, qui n occasionnent pas de dommage, mais sont souvent très difficiles à éliminer. Installez régulièrement les correctifs de sécurité de Microsoft si vous employez Internet Explorer. Les autres navigateurs comme Firefox, Mozilla et Opera sont moins sujets à ce type d attaques. Dialer (Français: composeur) Petit programme informatique établissant à l insu de l utilisateur les connexions Internet via un numéro surtaxé de type 0900. Les composeurs sont généralement dissimulés sous l apparence de mises à jour de logiciels ou de programmes gratuits chargés par l utilisateur sur son ordinateur. N exécutez jamais un programme qui ne provient pas d une source ou d un site digne de confiance. Vous pouvez en outre faire bloquer les numéros 0900 par votre opérateur téléphonique. Les connexions Internet par ADSL ou par modem câble ne peuvent pas être détournées par un dialer. Disque dur Support de mémoire de masse d'accès rapide, composé d'un ou de plusieurs disques magnétiques généralement solidaires d'une mécanique, et ayant une très grande capacité de stockage. Un disque dur permet de mémoriser de grandes quantités de données de tous types, comme des systèmes d exploitation, des applications, des documents, des images, de la musique, etc. Il est recommandé de dupliquer (sauvegarde) régulièrement les données importantes mémorisées sur le disque dur sur un support de données externe (disque dur externe, CD-ROM, DVD, etc.) Données d accès Voir éléments de sécurité Effacer les cookies * Internet Explorer: Outils > Options Internet > Supprimer les cookies Éléments de sécurité L accès à l e-finance nécessite trois éléments de sécurité, voire quatre pour les clients commerciaux: * numéro e-finance * mot de passe * identification de l utilisateur (clients commerciaux ou clients privés disposant de plusieurs accès) * code (généré par la carte et le lecteur) Enregistreur de frappe (Anglais: key logger) Programme activé entre l ordinateur et le clavier, installé à l'insu de l'utilisateur, qui permet d'enregistrer dans un fichier chacune des touches frappées sur le clavier d'ordinateur pour récupération et consultation ultérieure. Les enregistreurs de frappe s introduisent généralement dans le système au moyen d un cheval de Troie et sont employés par les pirates ou les hackers pour se procurer illicitement des données confidentielles, comme des mots de passe Fichier joint (angl. = attachment) Fichier annexé à un courrier électronique pouvant être récupéré tel quel par le destinataire. Peut contenir des virus, des vers ou des chevaux de Troie. Faille de sécurité Permet l accès indu aux données de l utilisateur ou la diffusion de vers. Pour remédier aux failles de sécurité, le système d exploitation et les logiciels devraientt être régulièrement actualisés au moyen de mises à jour. Hacker Utilisateur qui emploie son ordinateur à des fins illicites, par exemple pour accéder à des ordinateurs ou des réseaux tiers pour y causer des dommages.
Historique Le navigateur enregistre toutes les adresses URL visitées par l utilisateur dans une liste interne, appelée "Historique". Elle permet de retrouver ultérieurement les sites visités. Mais, si elle est l objet d attaques de l extérieur, elle peut fournir des informations sur les habitudes de navigation de l utilisateur. L historique devrait donc être régulièrement purgé de la façon suivante: * Internet Explorer: Outils > Options Internet > Effacer l Historique Hotfix Voir patch Hotline (Français: service d assistance téléphonique) Assistance téléphonique, en général par le truchement d un numéro téléphonique surtaxé. Pour toute question concernant l efinance, appelez notre hotline au n 0848 880 480 (lundivendredi de 8 à 20 h, samedi de 9 à 12 et de 12.30 à 16 h). Identification Analogue à l identification dans la vie courante, par exemple au moyen d une carte d identité ou d un passeport. L identification contient des données personnelles, vérifiées et garanties par un organe indépendant le bureau des passeports. Sur Internet, cette identification est assurée par un certificat numérique, octroyé par des instances de certification. Il garantit que les données transmises proviennent bien de l expéditeur mentionné. Ingénierie sociale Tentative d influencer une personne en lui faisant croire à des intentions faussement sincères pour lui extorquer des données sensibles (mots de passe, etc.) Liste à biffer Ancien élément de sécurité remplacé par l access card. Logiciel publicitaire (angl. adware = advertising software) Les logiciels publicitaires sont des programmes gratuits qui enregistrent le comportement de l utilisateur surfant sur Internet et transmettent à son insu ces informations à des sites commerciaux, qui peuvent alors afficher régulièrement dans le navigateur des publicités intempestives censées correspondre aux goûts de l utilisateur visé. Ils se présentent le plus souvent sous la forme de logiciels (freeware ou shareware). Les logiciels publicitaires peuvent être éradiqués au moyen de programmes spéciaux. Login (Français: ouverture de session) Procédure d'entrée en communication que doit respecter un utilisateur autorisé, au début d'une session de travail, afin d'avoir accès à un système informatique. Logout (Français: fermeture de session) Opération qui permet de terminer une session. Macrovirus Virus exécuté sous forme de macrocommande dans une application de type Word ou Excel, et qui déclenche une série d opérations prédéfinie sur un simple clic de souris. Mémoire cache La mémoire cache ou antémémoire est une mémoire tampon à accès très rapide, qui sert à stocker les données auxquelles un système fait le plus souvent appel, permettant ainsi de réduire les états d'attente du microprocesseur. Elle peut être sollicitée automatiquement lors du chargement d une page Internet et reflète ainsi votre comportement de navigation sur Internet. La mémoire cache devrait régulièrement être purgée (purge de la mémoire cache). Menace complexe Attaque combinée pouvant réunir des virus, des vers et des chevaux de Troie pour exécuter simultanément différentes actions et occasionner de multiples dommages. Les menaces complexes se diffusent généralement par téléchargement ou par courrier électronique. Actualisez régulièrement votre système d exploitation en chargeant les mises à jour les plus récentes et employez une solution de sécurité complète avec un antivirus et un pare-feu. Messagerie dans e-finance La messagerie e-finance se trouve dans le domaine protégé d efinance. Les clients qui se sont authentifiés correctement dans e- finance peuvent ainsi, par son entremise, transmettre des données confidentielles à PostFinance de manière directe et sûre. Messagerie instantanée (Angl. instant messaging) Service de messagerie en temps réel, offrant la possibilité aux utilisateurs de consulter la liste des correspondants avec lesquels ils sont simultanément en ligne, pour communiquer immédiatement avec eux. Généralement, les messages apparaissent spontanément à l'écran dans une fenêtre, sans que l'utilisateur ait à intervenir. La messagerie instantanée offre à ses utilisateurs la possibilité d'utiliser les fonctionnalités du courrier électronique (transfert de fichiers et d'adresses Web) et de participer à des sessions de chat. Mise à jour (Anglais: update) Opération qui consiste à adapter le matériel ou le logiciel de manière qu'il soit conforme aux développements les plus récents. La mise à jour régulière permet de remédier aux failles de sécurité du système. Mot de passe Le mot de passe doit comprendre au minimum six caractères, de préférence un mélange de lettres, de chiffres et d autres signes. N employez pas de données cohérentes et pouvant être reliées à vous, comme des dates de naissance, des prénoms, votre hobby ou votre numéro d immatriculation. Changez régulièrement de mot de passe et ne le notez nulle part. Les mots de passe et autres éléments de sécurité ne doivent en aucun cas être enregistrés dans l ordinateur! Navigateur (Angl: browser) Logiciel permettant l accès aux sites Internet. Les navigateurs les plus connus et les plus répandus sont Microsoft Internet Explorer, Mozilla Firefox, Netscape et Opera. Numéro e-finance Equivalent d un numéro de client, qui identifie la relation entre le client et PostFinance. Pare-feu (Anglais: firewall) Dispositif informatique qui permet le passage sélectif des flux d'information entre deux réseaux, ainsi que la neutralisation des tentatives de pénétration extérieures. On pourrait comparer le pare-feu à un poste de garde devant l entrée d un bâtiment officiel. Les logiciels pare-feu offrent l avantage de pouvoir être adaptés précisément à la configuration informatique de l utilisateur et permettent d établir des règles de filtrage octroyant à chaque programme un accès différencié au réseau. L utilisateur est im-
médiatement alerté en cas de tentative d accès suspecte (système de détection d intrusion). Patch (Français: rustine) Portion de code en langage machine, qui modifie un programme efficacement, bien que de façon sommaire et temporaire, dans le but de corriger un bogue ou un dysfonctionnement, ou encore d'améliorer ce programme par l'addition d'une fonction, d'une caractéristique, ou par une mise à jour. Appelé aussi hotfix. Pharming Ce type d'attaque consiste à contraindre un serveur DNS à rediriger votre machine non pas sur l'adresse IP correspondant au site désiré, mais vers le site qu'une personne mal intentionnée aura défini en piratant le serveur DNS d origine. Le pharming est dérivé du phishing. Phishing (Français: hameçonnage) Envoi massif d'un faux courriel, apparemment authentique, utilisant l'identité d'une institution financière ou d'un site commercial connu, comme www.postfinance.ch ou e-finance, dans lequel on demande aux destinataires, sous différents prétextes, de mettre à jour leurs coordonnées bancaires ou personnelles, en cliquant sur un lien menant vers un faux site Web, copie conforme du site de l'institution ou de l'entreprise, où le pirate récupère ces informations, dans le but de les utiliser pour détourner des fonds à son avantage. PostFinance n envoie jamais de courriers électroniques de ce type et ne demande jamais à ses clients, que ce soit par téléphone ou par courriel, de lui communiquer leurs éléments de sécurité! Utilisez pour vos transactions e-finance exclusivement l adresse www.postfinance.ch et cliquez en haut à droite sur l option "efinance-login". Pirate (Anglais: cracker) Le pirate se distingue du hacker par ses intentions destructives: il vise notamment la paralysie de réseaux informatiques, l utilisation illicite de capacités de traitement informatique, la manipulation et la destruction de données ou le blocage d ordinateurs. Porte dérobée (Anglais: backdoor) Programme généralement propagé par un virus, un ver ou un cheval de Troie, permettant l accès de l ordinateur à des personnes non autorisées en contournant les dispositifs de sécurité. Programme d attaque ActiveX Les contrôles ActiveX sont des routines permettant le démarrage automatique de programmes sur un ordinateur. Ces contrôles sont régulièrement employés par des programmes d attaque pour s installer sur un ordinateur à l insu de son utilisateur et pour en prendre le contrôle. Pour empêcher de telles intrusions, désactivez les contrôles ActiveX dans Internet Explorer, menu Outils > Options Internet > Avancé. Les autres navigateurs ne sont pas concernés par ce problème. Programme espion (Anglais: spyware) Le programme espion emploie en arrière-plan la connexion Internet de l'utilisateur pour recueillir et transmettre, à son insu et sans sa permission, des données personnelles, notamment sur ses intérêts et ses habitudes de navigation, à une régie publicitaire. Le spyware, généralement diffusé par un cheval de Troie, est la variante malveillante du logiciel publicitaire. Programme malveillant (Anglais: malware) Programme ou partie de programme destiné à perturber, altérer ou détruire tout ou partie des éléments logiques indispensables au bon fonctionnement d'un système informatique. Il peut notamment prendre la forme de virus, de ver, de cheval de Troie, de porte dérobée ou de programme espion. Protocole de sécurité SSL (SSL = Secure Socket Layer, couche d interface sécurisée) Protocole permettant d'assurer la protection du caractère confidentiel des données échangées entre un navigateur et un serveur Web. Protocole http (http = hypertext transfer protocol) Protocole utilisé pour transférer des documents hypertextes ou hypermédias entre un serveur Web et un client Web (navigateur). Protocole https L adresse Internet ou URL d un site sécurité commence toujours par le préfixe "https://". La sécurisation est en outre signalée par l affichage d un petit cadenas jaune sur la barre d état au bas du navigateur. Le protocole https est une variante du protocole http basé sur la norme SSL. Purge de la mémoire cache * Internet Explorer: Outils > Options Internet > Fichiers Internet temporaires > Supprimer les fichiers > Supprimer tout le contenu hors connexion (cocher cette option). On peut également activer la purge automatique à la fin de chaque session Internet via Outils > Options Internet > Avancé > Vider le dossier "Temporary Internet Files" lorsque le navigateur est fermé. Redirection (Angl. redirect) Redirection automatique du navigateur d un serveur web à un autre. Ce procéder permet d accéder à un même site par différentes adresses URL correspondant à différents types d utilisateurs. Rétrovirus (Synonyme: virus anti-antivirus) Virus informatique conçu pour entraver l'action d'un ou de plusieurs logiciels antivirus particuliers. Sauvegarde (Angl. = backup) Copie des données d un ordinateur sur d autres supports informatiques (disque dur externe, CD-ROM, DVD etc.). La sauvegarde permet de récupérer des données perdues (p. ex. à la suite d une mauvaise manipulation ou suite à leur destruction par des pirates). Serveur Ordinateur central qui fourni des services à d autres ordinateurs au sein d un même réseau. Dans Internet, chaque ordinateur hébergeant un site Internet joue le rôle de serveur pour les systèmes clients qui y accèdent. Spam Terme générique désignant les courriels de masse non désirés. Ne communiquez votre adresse de courriel privée qu à des personnes que vous connaissez. Utilisez une seconde adresse de courrier électronique pour la participation à des concours, l abonnement à des lettres d information, l inscription dans des livres d or, etc. En
cas d attaque de spam, cette seconde adresse peut facilement être remplacée par une nouvelle sans devoir en avertir tous vos correspondants. Ne répondez jamais à un spam et n employez jamais sa fonction de désabonnement, sinon l expéditeur aura ainsi la confirmation que votre adresse est active et vous recevrez encore plus de spams. Spoofing (Français: mystification) Technique de violation de la sécurité informatique, qui consiste à amener une entité autorisée à se livrer, à son insu, à un acte préjudiciable pour elle-même ou pour son organisation, en lui laissant croire, à tort, qu'elle est en communication avec le système informatique. Le spoofing vise, le plus souvent, à obtenir de l'information pour laquelle aucun accès n'a été accordé, en amenant l'utilisateur légitime détenant cet accès privilégié à fournir son mot de passe ou d autres informations sensibles. d exploitation. Le virus système est activé à chaque démarrage de l ordinateur. W-LAN (Wireless Local Area Network, réseau local sans fil) En sus des réseaux installés chez les utilisateurs, des points d accès ou hospots installés dans des lieux publics (foires, aéroports, gares, hôtels, etc.) permettent d accéder sans fil à Internet. Avant de faire usage de cette possibilité, il est important de respecter les règles de sécurité habituelles pour l accès Internet et le courrier électronique, et en particulier de privilégier autant que possible une configuration restrictive du navigateur. Spyware Voir programme espion Système de détection d intrusion (Angl. intrusion detection) Système combinant logiciel et matériel, qui permet de détecter en temps réel les tentatives d'intrusion sur un réseau interne ou sur un seul ordinateur hôte, de neutraliser ces attaques réseaux ou systèmes et d'assurer ainsi la sécurité du réseau d'entreprise. Il complète le pare-feu et offre ainsi une sécurité accrue. Système d exploitation Logiciel à la base du fonctionnement de l ordinateur. Le système d exploitation assure notamment la gestion de la mémoire et des périphériques d entrée/sortie; il permet en outre l exécution des programmes. Les systèmes d exploitation les plus connus sont Microsoft Windows (XP, 2000, ME, 98, 95), Apple Mac OS X, OS/2, Linux et Unix. Microsoft Windows en particulier devrait régulièrement être actualisé au moyen des mises à jour de sécurité. Téléchargement (Angl. = download) Le téléchargement désigne l enregistrement sur un ordinateur de données provenant de sites Internet (p. ex. logiciels, jeux, fichiers musicaux, textes, images, séquences vidéo). Cette opération n est pas sans risques si les données téléchargées ne proviennent pas de sites dignes de confiance. Ver Programme malveillant, autonome et parasite, capable de se reproduire par lui-même. A la différence du virus, le ver n'a pas besoin d'un programme hôte pour se propager. Les vers informatiques sont souvent en perpétuel déplacement dans la mémoire d'ordinateur qu'ils surchargent et minent progressivement, consommant, parfois jusqu'à la paralysie, les ressources du système, en tirant parti de failles de sécurité ou de défauts de configuration. Virus Programme malveillant dont l'exécution est déclenchée lorsque le vecteur auquel il a été attaché clandestinement (p. ex. programme téléchargé, documents Word et Excel) est activé, qui se recopie au sein d'autres programmes ou sur des zones systèmes lui servant à leur tour de moyen de propagation, et qui produit les actions malveillantes pour lesquelles il a été conçu. Virus système (Angl. boot virus) Virus qui s installe dans le secteur d amorçage d une disquette ou d un disque dur, là où s effectue le démarrage du système curité) fr 09.2008 PF