Logiciels Potentiellement Indésirables (LPI / PUP)
Les Logiciels Potentiellement IndĂ©sirables (LPI), ou Potentially Unwanted Programs (PUP) en anglais, sont des programmes qui peuvent sâinstaller sur votre ordinateur avec ou sans votre consentement. Leur objectif principal est souvent financier, en gĂ©nĂ©rant du trafic web vers des sites sponsorisĂ©s ou en affichant des publicitĂ©s.
Fonctionnalités et comportements typiques
Un LPI peut :
Lancer des services et démarrer des tùches planifiées automatiquement.
Créer des raccourcis sur le Bureau.
Modifier certains paramĂštres de vos navigateurs : page de recherche, page de dĂ©marrage ou page dâerreur.
Collecter vos habitudes de navigation et les transmettre à un serveur via des méthodes de tracking.
Afficher des annonces (coupons) et des banniĂšres publicitaires (popups), souvent signĂ©es «âŻPowered byâŻÂ», «âŻBrought to you byâŻÂ» ou «âŻAds byâŻÂ».
Ces actions peuvent nuire à la vitesse de navigation et à la visibilité des contenus.
Exemples connus
Certains LPI sont des adwares tels que :
InstallCore
CrossRider
Graftor
Boxore
Ils sâinstallent gĂ©nĂ©ralement Ă lâinsu de lâutilisateur via le tĂ©lĂ©chargement de gratuiciels. Certains sites utilisent la mĂ©thode de repaquetage, qui consiste Ă modifier le module dâinstallation dâun logiciel pour y inclure des options supplĂ©mentaires comme des barres dâoutils, adwares ou autres LPI.
Risques liés aux LPI
Pollution de la Base de Registres et des unités de stockage.
Exploitation de failles dans les logiciels lĂ©gitimes ou le systĂšme dâexploitation.
Collecte de données personnelles et habitudes de navigation.
Pour réduire les risques, il est conseillé :
Dâutiliser uniquement des logiciels officiels et Ă jour.
Dâactiver les mises Ă jour automatiques de Windows pour corriger les failles critiques de sĂ©curitĂ©.
Caractéristiques techniques
Un LPI peut :
Sâinstaller en tant que processus au dĂ©marrage du systĂšme (RP).
Ajouter des clés dans la Base de Registres pour un lancement automatique (O4, O20, O88).
Sâinstaller en tant que service (O23, SS/SR).
Démarrer une tùche planifiée (O39).
Installer des pilotes qui se lancent automatiquement (O41).
Créer des dossiers supplémentaires (O43) et de multiples fichiers.
Modifier le fournisseur de recherche Internet (O69).
Conclusion
Les LPI et adwares sont majoritairement destinĂ©s Ă gĂ©nĂ©rer des revenus par la publicitĂ© et le trafic web, souvent au dĂ©triment de la performance et de la sĂ©curitĂ© de votre systĂšme. Une vigilance accrue lors du tĂ©lĂ©chargement de logiciels gratuits et lâutilisation dâoutils de sĂ©curitĂ© sont essentiels pour se protĂ©ger.
Comprendre le RGPD
(RÚglement Général sur la Protection des Données)
Le RGPD est une rĂ©glementation europĂ©enne entrĂ©e en vigueur en 2018, qui vise Ă protĂ©ger les donnĂ©es personnelles des citoyens de lâUnion europĂ©enne.
Ce que le RGPD garantit :
Consentement clair : vos donnĂ©es ne peuvent ĂȘtre collectĂ©es quâavec votre accord explicite.
Droit dâaccĂšs : vous pouvez demander Ă consulter toutes les donnĂ©es quâun service dĂ©tient sur vous.
Droit de rectification et dâeffacement : vous avez le droit de modifier ou supprimer vos donnĂ©es Ă tout moment.
Droit à la portabilité : vous pouvez récupérer vos données pour les transférer à un autre service.
Droit Ă lâoubli : vous pouvez demander la suppression de vos donnĂ©es personnelles dans certaines conditions.
Obligations pour les sites et services :
Informer clairement les utilisateurs sur lâutilisation de leurs donnĂ©es (via une politique de confidentialitĂ©).
ProtĂ©ger les donnĂ©es collectĂ©es (chiffrement, accĂšs restreintâŠ).
Déclarer toute violation de données à la CNIL et aux personnes concernées.
Quâest-ce que le Cloud ?
Le Cloud dĂ©signe un ensemble dâinfrastructures informatiques distantes accessibles via Internet, permettant le stockage, la gestion et la synchronisation de donnĂ©es numĂ©riques. Ces services sont hĂ©bergĂ©s sur des serveurs rĂ©partis dans des centres de donnĂ©es (data centers) et sont proposĂ©s par des fournisseurs comme :
âą https://cloud-aidt.fr/
Google Drive (Google Cloud)
Apple iCloud
Dropbox
Microsoft OneDrive
Mega, pCloud, etc.
Le Cloud offre un environnement virtualisĂ© oĂč les fichiers (documents, photos, vidĂ©os, mots de passe, etc.) sont sauvegardĂ©s de maniĂšre redondante, souvent avec des mĂ©canismes dâautomatisation pour assurer la continuitĂ© et la rĂ©silience des donnĂ©es.
â
Avantages techniques pour la gestion du patrimoine numérique :
Sauvegardes automatisées et redondance : Les données sont dupliquées sur plusieurs serveurs et localisations géographiques, minimisant les risques de perte liée à une défaillance matérielle.
AccessibilitĂ© universelle et multi-plateforme : GrĂące Ă des protocoles standardisĂ©s (HTTP/HTTPS, APIs RESTful), les donnĂ©es sont accessibles en temps rĂ©el depuis nâimporte quel terminal connectĂ© (ordinateurs, smartphones, tablettes).
ContrĂŽle dâaccĂšs granulaire : Gestion fine des permissions via des systĂšmes dâauthentification et dâautorisation (OAuth, ACLs), permettant de dĂ©finir qui peut consulter, modifier ou partager chaque ressource.
Collaboration en temps rĂ©el : IntĂ©gration dâoutils collaboratifs (Ă©dition simultanĂ©e, commentaires, historique des versions) facilitant le travail en Ă©quipe sur des documents partagĂ©s.
Phishing : quâest-ce que câest ?
Fonctionnement technique dâune attaque de phishing
Usurpation dâidentitĂ© (Spoofing)
Les attaquants créent une fausse identité numérique pour se faire passer pour une entité légitime. Cela peut passer par :
Spoofing dâadresse email : falsification de lâadresse dâexpĂ©dition pour que le message semble provenir dâune source de confiance (ex : banque, entreprise).
Spoofing DNS ou manipulation des serveurs DNS pour rediriger lâutilisateur vers un site malveillant malgrĂ© lâapparence dâun URL lĂ©gitime.
CrĂ©ation dâun site frauduleux (Fake website)
Les cybercriminels développent un site web cloné ou trÚs ressemblant à celui de la cible (ex : page de connexion bancaire). Ce site est hébergé sur un domaine similaire ou sur un sous-domaine trompeur.
Parfois, ils utilisent des certificats SSL légitimes (https) pour rendre le site plus crédible, ce qui complique la détection visuelle.
Envoi massif de messages (Spam)
Les attaquants envoient des emails ou SMS en masse Ă des milliers voire millions de victimes potentielles, avec un contenu incitant Ă cliquer sur un lien ou ouvrir une piĂšce jointe. Ce message exploite souvent la peur ou lâurgence.
Collecte des informations sensibles
Lorsque la victime clique sur le lien et saisit ses donnĂ©es sur le site frauduleux, ces informations sont immĂ©diatement rĂ©cupĂ©rĂ©es par lâattaquant.
Parfois, des scripts JavaScript malveillants injectĂ©s dans le site peuvent aussi capturer des donnĂ©es en temps rĂ©el, ou rediriger vers dâautres malwares.
Utilisation des données volées
Les informations récoltées sont ensuite utilisées pour :
Voler de lâargent via les comptes bancaires.
AccĂ©der Ă dâautres services liĂ©s (emails, rĂ©seaux sociaux).
Revendre ces données sur le dark web.
Lancer de nouvelles attaques (usurpation dâidentitĂ©, fraudes).
Techniques complémentaires associées au phishing
Keylogging : parfois, le phishing est couplĂ© Ă lâinstallation de logiciels espions (malwares) qui enregistrent les frappes clavier sur lâordinateur de la victime.
Injection de scripts (Cross-Site Scripting, XSS) : certains sites compromis peuvent injecter du code malveillant pour voler des sessions ou détourner des informations.
Attaques Man-in-the-Middle (MITM) : en interceptant la communication entre la victime et le site lĂ©gitime, lâattaquant peut capturer ou modifier les donnĂ©es Ă©changĂ©es.
Gérer les droits et la propriété
Propriété intellectuelle :
Si vous crĂ©ez du contenu (textes, photos, vidĂ©os, musiquesâŠ), protĂ©gez vos droits :
DépÎt légal (ex : INPI, Copyright)
Utilisation de licences (Creative Commons, etc.)
†Cela garantit que vos Ćuvres ne sont pas utilisĂ©es sans votre autorisation.
Contrats et conditions d'utilisation :
Prenez le temps de lire les CGU (Conditions GĂ©nĂ©rales dâUtilisation) des services que vous utilisez, notamment :
Qui possÚde vos données une fois publiées ?
Quels sont les droits dâusage du service sur vos contenus ?
đ§Ÿ PrĂ©voir la fin de vie numĂ©rique
Testament numérique :
DĂ©signez une personne de confiance qui saura :
Fermer ou conserver vos comptes,
Sauvegarder ou supprimer certains contenus,
Respecter vos volontés concernant vos données personnelles.
Services spécialisés :
Des plateformes permettent de gérer votre héritage numérique, par exemple :
Eversafe
Legacy Locker
Google Inactive Account Manager
†Elles offrent la possibilité de transmettre ou effacer vos données aprÚs votre décÚs.
Sauvegarder réguliÚrement
Fichiers personnels (photos, documents, vidéos, etc.) :
Faites des sauvegardes fréquentes sur plusieurs supports :
Disques durs externes
Clés USB
Cloud sécurisé
Tout support amovible informatique disponible aujourdâhui
†Multiplier les emplacements permet de réduire le risque de perte totale de données.
Données sensibles :
Utilisez un logiciel de chiffrement pour protéger vos fichiers avant toute sauvegarde, surtout sur des supports partagés ou en ligne.
Se protéger contre les menaces
Antivirus et pare-feu :
Installez et mettez Ă jour un antivirus et un pare-feu sur tous vos appareils (ordinateur, tablette, smartphone...).
Mises à jour réguliÚres :
Gardez vos logiciels et votre systĂšme dâexploitation Ă jour : chaque mise Ă jour corrige des failles de sĂ©curitĂ© potentielles.
Phishing (hameçonnage) :
Soyez vigilant :
Ne cliquez pas sur des liens suspects
VĂ©rifiez toujours lâadresse de lâexpĂ©diteur
MĂ©fiez-vous des emails demandant des informations personnelles ou bancaires
SĂ©curiser lâaccĂšs Ă ses comptes
Utiliser des mots de passe forts :
Choisissez des mots de passe longs, complexes et uniques pour chaque compte. Ăvitez les dates de naissance ou noms Ă©vidents.
Activer lâauthentification Ă deux facteurs (2FA) :
Renforcez la sécurité de vos comptes avec une double vérification :
†Privilégiez les applications dédiées (ex : Google Authenticator, Authy) plutÎt que les codes SMS.
Utiliser un gestionnaire de mots de passe :
Ces outils permettent de :
Générer des mots de passe forts et uniques
Les stocker de maniÚre sécurisée
Exemples : Bitwarden, 1Password, KeePass
đ Organiser et documenter ses accĂšs
Tenir une liste Ă jour de ses comptes importants :
Conservez cette liste dans un coffre-fort numérique (ou sur un support chiffré), incluant :
Comptes email
RĂ©seaux sociaux
Comptes bancaires
Abonnements, cloud, services administratifs...
Plan de succession numérique :
PrĂ©voyez qui pourra accĂ©der Ă vos comptes en cas dâincapacitĂ© ou de dĂ©cĂšs.
†Certains services proposent déjà des options pour cela (ex : Google Inactive Account Manager, Facebook Légataire).
