Traduction de l’article : https://www.makeuseof.com/ways-i-avoided-malware-for-10-years/
La première fois que j’ai reçu un logiciel malveillant sur mon ordinateur portable, j’étais encore à l’école, a utilisé l’USB tethering pour se connecter à l’internet et j’étais intrigué par l’idée du “logiciel libre”. J’ai inventé une histoire du genre “mon chien a mangé mes devoirs” pour expliquer à mes parents pourquoi mon ordinateur portable se comportait bizarrement. Ils n’y ont évidemment pas cru (ils ont pris mon ordinateur portable pendant deux semaines), mais l’ont réparé avec une installation propre de Windows 7.
14 ans et cinq ordinateurs plus tard, je n’ai pas eu un seul problème de logiciel malveillant grâce à l’hygiène de sécurité simple que je suis religieusement. Ne pas visiter de sites web douteux reste l’astuce la plus efficace, mais ce n’est pas la seule qui compte.
Réfléchissez à deux fois avant de cliquer sur “Télécharger”
Les logiciels libres ne sont pas toujours gratuits
C’est parce que je n’ai pas fait attention à ce que je téléchargeais que j’ai eu des logiciels malveillants. L’attrait des logiciels gratuits de qualité supérieure sur les forums où les gens partagent des programmes “craqués” était trop fort pour que je puisse y résister. Cet outil “gratuit” peut fonctionner, mais il transformera aussi votre ordinateur en plateforme de minage de bitcoins pour quelqu’un d’autre.
Idéalement, vous ne devriez télécharger des logiciels qu’à partir des sites web officiels, des dépôts GitHub vérifiés ou du Windows Store, et prenez toujours une seconde avant de cliquer sur un bouton de téléchargement. S’il s’agit d’un logiciel haut de gamme mais que quelqu’un l’offre gratuitement sur un forum quelconque, il est probable qu’il contienne des logiciels malveillants.
Si vous ne pouvez pas vous permettre de payer l’application, il existe d’excellentes alternatives gratuites et légitimes pour presque tous les outils que vous pouvez télécharger sur la plateforme Windows. Par exemple, vous pouvez utiliser LibreOffice au lieu d’Office piraté ; GIMP est une excellente alternative à Photoshop et il y a plusieurs façons de trouver des jeux vidéo gratuits de qualité .
Maintenez votre antivirus à jour
Windows Security dispose d’une excellente protection intégrée contre les applications malveillantes.
Que vous s’appuyer uniquement sur la sécurité de Windows ou préférez un antivirus tiers pour des fonctions supplémentaires, il est important de mettre à jour les définitions de votre antivirus pour que votre PC soit protégé.
Même si vous téléchargez accidentellement quelque chose de suspect, un outil de sécurité Windows correctement configuré peut souvent bloquer ou mettre en quarantaine les fichiers malveillants avant qu’ils ne s’exécutent. Windows Security compare les fichiers à l’énorme base de données de Microsoft sur les menaces, bloque les techniques malveillantes qui tentent d’exploiter votre système et peut empêcher l’exécution d’applications non fiables.
Contrairement aux programmes antivirus tiers, Windows Security est préinstallé sur votre PC Windows, se met à jour automatiquement et ne ralentit pas votre ordinateur avec des analyses et des fenêtres contextuelles constantes. Pour la plupart des personnes qui ont des habitudes de navigation sûres, ces fonctions de sécurité intégrées sont tout ce dont vous avez besoin.
Toujours se méfier des pièces jointes aux courriels
Vérifier les liens, les images et les pièces jointes
Le seul courriel d’hameçonnage qui m’a effrayé était une escroquerie de PayPal. Il a atterri dans ma boîte de réception avec une image de marque PayPal parfaite et prétendait qu’une nouvelle adresse avait été ajoutée à mon compte.
Au lieu de cliquer dans la panique sur le lien d’évaluation, j’ai comparé l’adresse de l’expéditeur à d’anciens courriels de PayPal. Le faux a été envoyé depuis ” paypal-support@secureverify-payment.com “qui, si l’on s’y arrête et qu’on l’analyse, est tout à fait faux.
Cependant, les attaques par hameçonnage ne se limitent pas à des liens suspects. Les codes QR dans les fausses factures volent des informations d’identification, et même les PDF intègrent des scripts ou de fausses invites DocuSign qui demandent des mots de passe.
Pour vous protéger, désactivez le chargement automatique des images, car les courriels légitimes sont rarement interrompus sans cette fonction. N’ouvrez jamais de pièces jointes inattendues, même si elles proviennent d’adresses familières. Prenez cinq minutes pour vérifier par texto ou par téléphone qu’il ne s’agit pas d’une escroquerie par usurpation d’identité.
Éviter d’utiliser un réseau public sans VPN
Le Wi-Fi public est un terrain de jeu pour les pirates informatiques
Le Wi-Fi public dans les aéroports, les hôtels, les cafés et les bibliothèques expose vos données. Toute personne disposant d’outils de base peut intercepter les mots de passe, les courriels, les numéros de carte de crédit et même la frappe en temps réel sur le même réseau. Ces réseaux privilégient la commodité à la sécurité.
Bien que de nombreux réseaux Wi-Fi publics utilisent le cryptage (WPA2/WPA3), cela ne vous protège pas des autres utilisateurs du même réseau qui peuvent potentiellement intercepter votre trafic. Même sur les réseaux cryptés, des acteurs malveillants peuvent exploiter ces systèmes. Les cybercriminels mettent également en place de faux hotspots avec des noms à consonance légitime comme “Free_Airport_WiFi” ou “Hotel_Guest_Network” pour voler des informations à tous ceux qui se connectent.
Évitez autant que possible les réseaux Wi-Fi publics en utilisant des alternatives plus sûres au Wi-Fi public Utilisez plutôt le hotspot de votre téléphone ou les données mobiles. Si vous devez absolument vous connecter à des réseaux publics, utilisez toujours un VPN pour créer un tunnel crypté pour vos données.
En outre, tenez-vous en aux sites HTTPS et évitez complètement d’accéder aux comptes bancaires ou autres comptes sensibles. Même avec un VPN, il est préférable d’attendre d’être sur un réseau de confiance pour les activités critiques.
Maintenez votre PC Windows à jour
Les correctifs de sécurité comblent les lacunes du système d’exploitation
Ces ennuyeuses mises à jour de Windows qui vous obligent à redémarrer corrigent des failles de sécurité que les criminels exploitent activement. Lorsque Microsoft publie un correctif de sécurité, les attaquants procèdent à une rétro-ingénierie pour trouver la vulnérabilité, puis recherchent les ordinateurs qui n’ont pas encore été mis à jour.
Le seul cas où vous pouvez ignorer les mises à jour de sécurité est celui où votre ordinateur ne se connecte jamais à l’internet. Pour tous les autres, définissez Windows Update pour installer automatiquement les correctifs de sécurité. Les mises à jour de fonctionnalités peuvent attendre si vous craignez les bogues, mais les correctifs de sécurité ne sont pas négociables. Chaque jour où vous les repoussez, vous risquez d’utiliser un logiciel dont les vulnérabilités sont connues et que n’importe qui peut exploiter.
Ne pas répéter les mots de passe et se passer de mot de passe
Activez également la fonction 2FA pour les comptes sensibles
Utiliser le même mot de passe partout signifie qu’une seule faille compromet tous vos comptes. Les attaquants ont recours au “credential stuffing”, c’est-à-dire à l’essai automatique de mots de passe volés sur plusieurs sites, sachant que la plupart des gens réutilisent partout la même combinaison d’adresse électronique et de mot de passe.
Dans la mesure du possible, abandonner complètement les mots de passe et passer aux clés d’accès . Ces clés utilisent la sécurité biométrique de votre appareil pour créer des clés cryptographiques uniques pour chaque site. Contrairement aux mots de passe, ces clés ne peuvent pas être piratées, volées ou réutilisées. Quelqu’un doit avoir un accès physique à votre appareil et à votre empreinte digitale.
Pour les sites qui n’ont pas de clés, utilisez un gestionnaire de mots de passe pour générer des mots de passe uniques pour chaque compte. Ajoutez une authentification à deux facteurs pour tout ce qui concerne l’argent ou les données personnelles. Même si votre mot de passe est divulgué, les pirates ne peuvent pas se connecter sans le deuxième facteur, qu’il s’agisse d’un code TOTP provenant d’une application d’authentification ou d’une clé de sécurité matérielle.
Il n’y a pas d’astuces, mais une simple hygiène de sécurité
Cela fait 14 ans que je garde mes appareils propres en faisant les mêmes choses ennuyeuses : télécharger des logiciels à partir de sites officiels, mettre tout à jour, vérifier deux fois les courriels avant de cliquer, utiliser un VPN sur les réseaux Wi-Fi publics et ne pas réutiliser les mots de passe.
C’est tout. Pas d’outils spéciaux ni de connaissances techniques. Juste les mêmes habitudes de base, à chaque fois. Les logiciels malveillants que j’ai reçus à l’école m’ont suffisamment servi de leçon pour que je n’en aie pas besoin d’une autre depuis.