Module 4, Unité 2 du cours SecNum Académie proposé par l'ANSSI.

Les systèmes et leurs applications doivent être régulièrement mise à jour. En complément de ces recommandation il est important de souligner que votre appareil, qu'il s'agisse d'un poste fixe ou d'un portable, d'un téléphone ou encore d'une tablette dispose d'options de paramétrage qui vont influencer son fonctionnement. Si certains paramètres sont des options proposées par l'appareil à son démarrage, d'autres en revanche ne sont modifiables qu'à l'initiative de l'utilisateur.

En effet lorsque vous achetez du matériel informatique ou que vous installez un logiciel, ceux-ci vous sont fournis avec une configuration type appelée par défaut ou une configuration type dite usine: certains paramétrages ont été préalablement effectués dès la conception du produit par le fabricant ou l'éditeur. Ces paramètres divers et variés, peuvent concerner par exemple:

• Les préférences d'ouverture de fichier avec un programme donné;
• Formats d'enregistrements;
• Niveau de sécurité;
• exploitation des données utilisateurs comme la géolocalisation;

Les fournisseurs ou éditeurs appliquent des politiques de paramétrages qui correspondent à leurs politiques commerciales c'est pourquoi il est recommandé entre autre de vérifier les éventuelles options cochées dans les paramètres lors de la mise en service des systèmes. En effet, ces systèmes livrés clés en main peuvent contenir des outils fournis par des partenaires ou d'autres éditeur privés installés dans une logique commerciale.

Lors de la mise en service du système, des écrans de notifications vous invitent ainsi à accepter les conditions d'utilisation de ces différents services. Soyez vigilants sur ces notifications en ayant toujours à l'esprit que l'éditeur du système peut récupérer une très large palette d'information vous concernant dans le cadre d'une utilisation standard d'un outil.

Avant de pouvoir être utilisés de manière sécurisée, ces systèmes nécessitent une personnalisation.

Pour illustrer cela, prenons l'exemple d'un nouveau smartphone:

• Lorsque vous connectez votre nouvelle carte SIM, celle-ci demande un code PIN pour se déverrouiller: le code par défaut d'une nouvelle carte est généralement 0000 ou 1234.
• Lors de la mise en service de votre téléphone, il vous est généralement demandé de créer un compte sur un espace en ligne afin d'effectuer vos sauvegardes de photos, contacts, etc. Ce compte est créé à l'aide de votre adresse email.
• L'éditeur ou le fournisseur pourra également vous demander votre numéro de carte bancaire afin de facilité vos futur achats. Notez qu'il est déconseillé de le faire.
• L'application de courrier du téléphone permettra de récupérer les courriels: vous choisissez d'enregistrer votre identifiant et votre mot de passe pour faciliter vos échanges personnels ou professionnels.

Imaginez à présent que par manque de temps, par méconnaissance ou encore par manque d'intérêt vous n'ayez pas changer le code par défaut de votre carte SIM et que vous n'ayez pas enregistré de mot de passe ou de schéma de verrouillage pour votre téléphone. Que pourrait il se passer si celui-ci vous était dérobé?

Vous l'aurez compris, votre téléphone comme tout système d'information est vulnérable s'il est utilisé sans aucun paramétrage personnalisé. Il es donc important d'appliquer certains paramètres dans la configuration de vos appareils.

Le cours qui suit va vous permettre de découvrir les différents choix qui s'offrent à vous pour une configuration de base et leurs impacts en matière de sécurité.

Notez qu’en environnement professionnel, vos équipements informatiques font certainement l'objet d'une gestion centralisée par les équipes de la direction des systèmes d'information.

Si tel est le cas, les paramétrages que nous allons aborder dans cette unité sont de leur ressort et vous ne devez en aucun cas chercher à modifier le paramétrage adopté et maintenu par ces équipes.

Cette unité va ainsi vous permettre de comprendre pourquoi ces paramétrages ont été institués et pourquoi il est nécessaire de ne pas les modifier.

Lors du premier démarrage d’un nouvel appareil, plusieurs options de configuration vous sont proposées mais votre appareil vous incite généralement à adopter des paramètres par défaut, correspondant aux standards du concepteur du produit, via des options de menu de type « suivant… » ou « accepter… ».

Il est important de noter que contrairement à ce que l’éditeur vous encourage à faire, il est fortement conseillé de lire et de personnaliser certains de ces paramètres, en cliquant sur une option de menu de type « avancé… » ou « personnalisation… ».

Lors de ce premier démarrage, le premier choix généralement proposé à l’utilisateur est la création d'un compte. Ce compte représente l'identité de l'utilisateur sur l’appareil, mais de plus en plus souvent, une identité sur Internet pour l'utilisation de services en ligne.

Il pourra par exemple être lié à une carte de paiement pour télécharger des applicatifs ou des contenus multimédias (vidéos, musiques, etc.), ou encore pour stocker ou consulter des données hébergées sur le cloud.

Notez cependant qu’il est préférable de créer un compte local à l’appareil pour éviter d'être dépendant de l’éditeur si les services en ligne complémentaires ne sont pas nécessaires.

C’est un choix particulièrement pertinent pour les ordinateurs fixes et portables.