Vigilance sécurité
Où se trouvent mes informations d’identification personnelle ?
Frank Simorjay
Nous sommes tous conscients de l'importance des informations d’identification personnelle et de la nécessité de les protéger. Avant de pouvoir protéger ces informations toutefois, vous devez bien en comprendre la teneur. Il est facile de dire que tout ce que contient votre ordinateur est à protéger, mais que voulez-vous dire exactement par là ?
Pour répondre à cette question, j'ai commencé par examiner le problème de plus près, à isoler les types de données qui peuvent être sensibles et à essayer de trouver où les données peuvent être enregistrées sur votre ordinateur. Commençons par dire que le degré de sensibilité des informations dépend souvent de notre jugement personnel. Par exemple, certaines personnes se sentent menacées si leur nom est affiché dans les résultats d'une recherche. Bien sûr, à moins que vous n'habitiez sous un rocher, il y a de fortes chances que quelqu'un ait publié votre nom sur Internet. Pour en avoir le cœur net, utilisez votre moteur de recherche préféré pour trouver votre nom en ligne. N'oubliez pas que plus votre nom est commun, plus il sera difficile de trouver des éléments faisant réellement référence à vous, ce que vous pourriez considérer comme une bonne chose !
Si vous cherchez votre nom sur Internet, essayez également les sites de réseaux sociaux populaires tels que LinkedIn, Facebook et YouTube. Internet a une remarquable capacité à stocker et disperser des informations privées qui demandaient auparavant beaucoup d'efforts à trouver.
Il est plus difficile, à présent, de savoir exactement quelles informations vous devez protéger. Pour vous aider, j'ai pensé qu'il serait intéressant de voir si votre ordinateur renferme des informations potentiellement confidentielles dont vous n'êtes pas au courant et que vous pourriez vouloir protéger. Naturellement, toute information personnelle qui peut être utilisée pour voler votre identité est sensible, mais on peut en fait diviser ces informations en deux catégories : les informations qui sont facilement disponibles et les informations privées et généralement considérées comme critiques.
Les informations qui sont facilement disponibles ne sont pas généralement considérées comme des informations d’identification personnelle. Elles incluent votre nom et souvent aussi votre numéro de téléphone, votre adresse, votre adresse de messagerie, votre sexe, et, dans beaucoup de cas votre lieu de travail et certaines informations concernant vos études. Ces éléments sont souvent disponibles sur Internet et dans les annuaires téléphoniques. La divulgation de ces informations, qui consiste par exemple à permettre accidentellement à un spammeur de s'emparer de votre adresse de messagerie, peut être embêtante mais ne peut à elle seule mener à l'usurpation de votre identité.
Les informations sensibles sont des données privées qui sont un lien vers votre identité. Les données que vous ne devriez pas révéler publiquement incluent votre numéro de sécurité sociale (ou autre identifiant unique du même genre), les numéros de comptes bancaires, les numéros de cartes de crédit (particulièrement lorsqu'ils sont accompagnés de la date d'expiration et du numéro d'identification), le numéro de votre permis de conduire et vos empreintes digitales (ou autre information biométrique). Si une personne mal intentionnée s'emparait de ces informations, elle pourrait vous causer de sérieux ennuis. Il est important de savoir où et comment ces informations sont stockées sur Internet et sur votre PC. Dans cette optique, jetons un coup d'œil sur quelques méthodes simples qui permettent de trouver toute information personnelle enregistrée sur le disque dur de votre système.
Recherche d'informations d’identification personnelle sur votre ordinateur
Les informations d’identification personnelle se trouvent un peu partout. En fait, si vous fouilliez dans vos ordures, vous y trouveriez probablement des informations personnelles à caractère confidentiel. La protection de ces informations nécessite des efforts et de l'attention de votre part. En premier lieu, je vous conseille d'acheter une déchiqueteuse et de détruire tout document papier renfermant des informations personnelles.
Mais qu'en est-il des informations d'identification personnelle qui se cachent sur votre PC ? Il est parfois aussi difficile de trouver ces données que de les stocker en toute sécurité. Windows Vista® et plusieurs autres outils de recherche de bureau peuvent vous aider à trouver ces informations sur votre système. Toutefois, vous devez savoir quelles informations vous recherchez.
Pour illustrer ce problème, j'utiliserai des outils simples qui me permettront de vous de donner quelques exemples pratiques. J'utilise des scripts Windows PowerShell
®. Windows PowerShell offre, entre autres, d'excellentes capacités de correspondance de chaînes. Dans le cadre de notre exercice, je me concentrerai sur la capacité de ce programme à établir des correspondances d'expressions régulières. Windows PowerShell (disponible à l'adresse
microsoft.com/powershell) est un outil puissant qui est rapidement devenu une norme pour les tâches administratives.
En outre, j'utiliserai findstr.exe pour proposer un moyen de gérer les faux positifs, c'est-à-dire la capacité à négliger les fichiers qui peuvent contenir des chaînes apparemment intéressantes (en raison du caractère aléatoire des chaînes de données dans les fichiers binaires) mais qui ne sont en fait d'aucun intérêt ici. En d'autres termes, les fichiers autres que les fichiers texte peuvent être ignorés pour cet exercice.
J'ai choisi deux bons types d'informations d'identification personnelles : les numéros de sécurité sociale et les informations liées aux cartes de crédit. Ces données devraient être faciles à trouver si elles sont enregistrées sur votre disque dur en texte clair. La structure et le modèle des deux types d'informations sont suffisamment uniques pour permettre à un simple script de les localiser. Cependant, ces données sont également si sensibles que je serais tenté de vous demander pourquoi vous les stockez sur votre PC. Si vous choisissez cette option, vous devriez veiller à ce que ces données soient protégées. J'examinerai bientôt les façons de protéger vos informations personnelles. Je devrais toutefois admettre que la présente discussion est limitée : il existe d'autres types d'informations d'identification personnelle importantes que je n'ai pas inclus tels que les noms d'utilisateurs et les mots de passe.
Recherche d'un numéro de sécurité sociale
Voici une chaîne simple qui cherchera, dans les fichiers, n'importe quelle information qui correspond à un numéro de sécurité sociale standard comportant la structure X-XX-XX-XX-XXX-XXX-XX. À l'aide de Windows PowerShell, il vous suffit d'entrer les lignes suivantes :
Get-ChildItem -rec -exclude *.exe,*.dll |
select-string " [0-9]{3}[-| ][0-9]{2}[-| ]
[0-9]{4}"
Ou bien, à l'aide de findstr.exe, assurez-vous que les fichiers binaires ne sont pas lus pour la recherche en utilisant ceci :
Get-ChildItem -rec | ?{ findstr.exe
/mprc:. $_.FullName } | select-string
" [0-9]{3}[-| ][0-9]{2}[-| ][0-9]{4}"
Dans cet exemple, Get-ChildItem –rec effectue une recherche récursive des fichiers par répertoire qui commence par le répertoire dans lequel la commande a été exécutée. Findstr.exe cherche des chaînes dans les fichiers et Select-string est la fonction de recherche de chaînes de Windows PowerShell. (Findstr.exe propose une fonction similaire que je n'aborderai pas dans cet article). En outre, notez que l'espace de début dans l'expression régulière est intentionnel. Ceci aide à réduire les faux positifs en éliminant les informations inutiles, notamment les chaînes de registre telles que HKLM\SOFTWARE\tool\XXX-XX-XXXX.
Dans mon exemple, le modèle de recherche a renvoyé un exemple de fichier test que j'ai mis dans un sous-répertoire. lI a également trouvé des exemples dans un fichier XML indiquant des modèles de fichiers pour les numéros de carte de crédit et de sécurité sociale (voir figure 1).
.gif)
Figure 1 Résultats renvoyés par la recherche d'un modèle de numéros (Cliquer sur l'image pour l'agrandir)
J'utilise la capacité exclude dans le premier exemple pour ignorer tous les fichiers .exe et .dll. Vous pouvez découvrir d'autres types de fichiers qui provoquent également des faux positifs. Dans ce cas, vous pouvez utiliser exclude pour ajuster le processus de recherche.
Si vous recherchez seulement un numéro de sécurité sociale spécifique, vous pouvez procéder comme suit (en remplaçant "1 23 45 67 891 011 12" par votre numéro de sécurité sociale) :
Get-ChildItem -rec | ?{ findstr.exe
/mprc:. $_.FullName } | select-string
"123 45 6789","123-45-6789"
Les résultats de cette recherche sont illustrés à la figure 2.
.gif)
Figure 2 Recherche d'un numéro spécifique (Cliquer sur l'image pour l'agrandir)
Recherche d'informations sur les cartes de crédit
Les informations sur les cartes de crédit sont un peu plus compliquées car les formats varient. Je voudrais, en plus, limiter les faux positifs (c'est-à-dire les résultats qui ne ressemblent à des numéros de cartes de crédit que par hasard). Néanmoins, la recherche relèvera probablement des séquences aléatoires qui sont simplement identiques aux numéros de cartes de crédit.
J'utilise des informations que j'ai trouvées dans l'essai « Anatomy of Credit Card Numbers » (Anatomie de numéros de cartes de crédit) de Michael Gilleland comme référence lorsque j'ai construit ces chaînes (voir
merriampark.com/anatomycc.htm). Par exemple, ma chaîne de recherche spécifie que le premier numéro doit être un 4, 5 ou 6 puisque c'est ainsi qu'est défini le principal identificateur de la carte de crédit.
Ici, j'ai construit des chaînes simples qui rechercheront les termes Découvrir, MasterCard, et cartes Visa. Dans Windows PowerShell, ma chaîne de recherche ressemble à ceci :
Get-CchildItem -rec | ?{ findstr.exe
/mprc:. $_.FullName } | select-string
"[456][0-9]{15}","[456][0-9]{3}[-| ][0-9]{4}
[-| ][0-9]{4}[-| ][0-9]{4}"
Dans l'exemple affiché à la figure 3, j'ai utilisé la fonction exclude pour éliminer les fichiers .rtf, .rbl et .h. En outre, l'exemple de code recherche les chaînes de cartes de crédit qui ne comportent ni espace ni tiret. Malheureusement, cette méthode risque de renvoyer énormément de résultats. Vous pouvez donc utiliser cette autre commande pour la même fonction, mais elle ne tiendra pas compte des numéros de cartes sans espace ni tiret :
.gif)
Figure 3 Utilisation d'exclude pour éliminer les résultats inutiles (Cliquer sur l'image pour l'agrandir)
Get-ChildItem -rec | ?{ findstr.exe
/mprc:. $_.FullName } | select-string
"[456][0-9]{3}[-| ][0-9]{4}[-| ][0-9]{4}
[-| ][0-9]{4}"
Puisque les cartes American Express sont considérablement différentes, j'ai créé une chaîne de recherche modifiée pour repérer le modèle de la carte. Dans Windows PowerShell, la chaîne de recherche ressemble à ceci :
Get-ChildItem -rec | ?{ findstr.exe
/mprc:. $_.FullName } | select-string
"3[47][0-9]{13}","3[47][0-9]{2}[-| ][0-9]{6}
[-| ][0-9]{5}"
La surcharge de données peut également concerner ces résultats. Cette commande alternative a la même fonction mais elle ne tiendra pas compte des numéros sans espace ou tiret :
Get-childitem -rec | ?{ findstr.exe
/mprc:. $_.FullName } | select-string
"3[47][0-9]{2}[-| ][0-9]{6}[-| ][0-9]{5}"
En rédigeant cet article, j'ai exécuté ces recherches sur mon propre système et j'ai été surpris de trouver mon numéro de sécurité sociale stocké à des endroits dans lesquels il n'aurait pas dû l'être. Il s'est avéré que les informations concernant mon numéro de sécurité sociale se trouvaient dans une note que j'avais écrite il y a quelque temps et que j'avais complètement oubliée. Je devrais donc faire attention à ce que j'écris !
Si vous voulez effectivement stocker de telles informations mais d'une manière sécurisée, essayez un outil tel que Password Safe (disponible à
passwordsafe.sourceforge.net). Ou bien, chiffrez votre disque dur avec un outil tel que l'outil de chiffrement de lecteur BitLocker
TM. Enfin, la boîte à outils de chiffrement pour ordinateurs portables (Data Encryption Toolkit for Mobile PC) propose des conseils éprouvés sur la protection des données sur un ordinateur portable. Ces solutions compliqueront au moins les choses à quelqu'un qui essaie d'obtenir des informations personnelles de votre PC.
Conclusion
Il est relativement facile de trouver des informations d'identification personnelle. Ce qui n'est pas évident, c'est de savoir qu'elles existent. N'oubliez pas qu'un logiciel ou un utilisateur malveillant qui arrive à accéder à votre système peut tout aussi bien utiliser des techniques de découverte similaires pour y trouver des informations. Faites bien attention où vous entrez des informations personnelles et si vous souhaitez les stocker, chiffrez-les.
J'aimerais remercier Matt Hainje pour m'avoir aidé à résoudre mes problèmes de scripts Windows PowerShell.
Frank Simorjay est responsable de programme technique pour l'équipe SA-SC (Solution Accelerators - Security and Compliance). Il crée des solutions de sécurité pour les clients de Microsoft, participe à des événements tels que Secure World Exposition (dont il est fondateur), propose des cours sur la sécurité et a contribué à toute une variété de revues et ouvrages sur la sécurité. Il a récemment écrit le Starter Kit de désinstallation de logiciels malveillants.
© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.