Quelques conseils pour sécuriser vos données personnelles

Je ne vais pas vous faire l’apologie de la sécurité sur Internet car cela pourrait faire l’objet d’un blog dédié et je ne suis pas experte sur le sujet. Je me contenterai d’anecdotes sur la sécurité maintes fois rencontrées…
En réalité, je m’attacherai surtout ici à lister les éléments les plus agaçants que je rencontre suffisamment pour que cela me décide à écrire à ce propos notamment dans les mails et sur les réseaux sociaux. (Ah vous aussi ? vous compatissez ? :D)

Sachez que s’intéresser à la sécurité de votre ordinateur, de sa connexion et de vos comptes d’utilisateur n’est pas réservé au spécialiste sécurité internet de votre boîte/de votre quartier ou voisinage/de votre hébergeur/vos enfants/votre meilleur ami doué « en informatique » etc.

Quels risques si je surfe sans faire attention ?

Au départ, je veux simplement savoir si je peux consulter mes mails en toute sécurité…

Je tombe sur des chaînes envoyées par mes amis et la famille…
Vous verrez tout de suite le ridicule de la situation en lisant cette image :

chaine-email

Un des risques c’est que dans les chaînes de mails circulent des documents en .pps (ou encore.exe ou .zip) contenant des « virus » cachés dedans qui vous infecte à votre insu et reste planqués suffisamment longtemps pour que vous ne vous aperceviez pas que cela vient de vos propres mails ! Evitez de transférer les emails sans en avoir vérifié la véracité/sécurité.

Soyez prudents, ne cliquez jamais sur les liens des mails sans être sûrs d’où vous allez atterrir.

Là encore les images sont souvent désactivées, idem parfois pour les liens car les logiciels vous protègent du danger potentiel, mais vous les avez désactivés car cela est trop contraignant… Prendre le temps de configurer une bonne fois pour toute son logiciel pour qu’il vous prévienne que quand cela est nécessaire peut vous faire économiser du temps et des formatages de disque pour cause de virus…

Vérifiez vos sources en allant directement sur le site en question.

Si vous n’êtes pas certain que l’information est correcte vous avez plusieurs moyens de la vérifier rapidement. Vous allez sur Hoaxbuster par exemple qui sera capable de vous dire si le contenu de votre mail est un canular (« hoax« ), une rumeur ou si c’est la vérité. Vous pouvez aussi copier coller une partie du mail dans un moteur de recherche pour voir si quelqu’un d’autre a déjà eu un doute sur le contenu de ce mail, a déjà recensé ce mail comme spam etc.

Le risque vient de l’intérieur

L’autre risque est que la plupart du temps quasi « tout le carnet d’adresse des destinataires » est visible lors du transfert par mail de la blague de l’année… Essayez d’éduquer vos contacts et demandez-leur de vous mettre en copie cachée (champ Copie cachée invisible ou « Cci: »).
Si parmi les contacts figure un spammeur potentiel ou un inconnu, celui-ci pourrait bien usurper votre identité, vous envoyer d’autres mails non sollicités par la suite, vous écrire directement alors que vous ne voulez pas être dérangé.

Autre cas envisageable : vous prêtez votre ordinateur et cette personne n’est pas au fait des bases de sécurité minimales alors que vos données confidentielles sont sur cet ordinateur.

S’organiser et prévoir les risques

Prévoyez plusieurs emails différents est certes plus compliqué à gérer et plus long à configurer mais cela permet notamment de séparer les mails à caractères confidentiels ou ceux contenant des données sensibles comme la banque et les paiements sur internet (impôts, divers achats) des mails des amis pouvant contenant des pièces jointes douteuses…

Vous pouvez par exemple regrouper sur votre @hotmail où tous vos contacts MSN vous envoie déjà les dernières blagues de Martine fait du SEO avec les abonnements newsletters qui vous pollue la vie…

Détecter les arnaques : Je tombe aussi sur le gars le plus malheureux du monde qui essaie de m’arnaquer

Si vous ne connaissez pas Croque-Escrocs dont Julia Brandeau est à l’origine, je vous invite à savourer ces recueils d’arroseurs arrosés que vous trouverez dans le dossier sur le SCAM c’est quoi ?. J’y définissais ce qu’est ce spam nigérien visant à vous soutirer de l’argent en vous faisant miroiter un héritage en contre-partie. Ce type d’arnaque a bien évolué depuis avec des versions où l’argumentation de type spam est moins flagrante et où les mails sont plus ciblés aux personnes utilisant vraiment le service vanté dans le mail… D’ailleurs notez que vous recevrez d’autant plus de spams ciblés que l’on peut récolter d’informations à votre sujet sur Internet ou sur l’activité de votre entreprise etc. Pour détecter le SCAM, vérifiez vos sources comme précédemment expliqué.

Comment savoir si je reçois des faux e-mails (ou autre type d’hameçonnage / phishing) ?

Ceux-là nous inquiètent moins depuis quelques temps. En effet nos logiciels de messagerie ou navigateurs sont maintenant capables de déceler les faux sites/emails pour nous (et nous empêche de nous servir de notre cerveau ?)… Ayez toujours la conscience de vous demander si vous êtes bien sur le site où vous croyez être…

Sachez que les techniques employées pour vous nuire regorgent d’imagination… Cela part des faux logiciels antivirus, qui ont été eux-mêmes créés par celui qui a déployé le virus qui vous tourmente, jusqu’aux pages qui exploitent les onglets de votre navigateur couplés à votre inattention afin de vous faire croire que vous êtes bien sur la page de votre compte en banque (on appelle cela le tab-jacking)… Je ne vais pas détailler non plus ce qu’est un honeypot, Google vous le dira et comme je vous le disais, je ne serai pas exhaustive en matière de sécurité informatique

On a changé la page de démarrage de mon navigateur

Vous avez probablement croisé le lo.st ou autre fausse page de démarrage se basant sur d’autres moteurs comme Google… Ces services squattent vos pages de démarrages ou celles de vos proches sans que personne ne s’offusquent car « cela n’empêche pas d’aller sur Internet » et/ou « c’est trop compliqué à enlever ».
En attendant cela permet de stocker des informations sur ce qu’une personne possédant cette page de démarrage a l’habitude de rechercher…

Vous n’en avez pas ? Vous êtes sûrs ? Vérifiez votre page de démarrage et regarder l’URL de la page qui s’affiche, si elle vous est inconnue ou vous semble bizarroïde vous faites probablement l’objet d’un changement involontaire ou encore piratage de page de démarrage. J’en ai déjà parlé dans le cas des fausses 404 dues à l’installation de vmn toolbar. Ces parasites profitent d’une installation sollicitée pour s’incruster dans votre navigateur. Ce fut souvent le beurre d’applications comme les convertisseurs PDF et autres logiciels de retouche d’image gratuites. (tiens puisqu’on en parle, la plupart des applications gratuites ont forcément quelque chose à y gagner…)

Lisez bien toute la page et recherchez les cases cochées par défaut afin de ne pas vous faire arnaquer. J’ai encore vu récemment des gens pester sur Twitter à propos de Mc Afee s’installant sans leur demander… En parallèle ils avaient installé le player Adobe Flash en réalité responsable de cette installation. Même si la démarche n’est pas louable, la case à décocher pour ne pas installer Mc Afee était présente et il fallait penser à tout lire avant de cliquer sur télécharger (pensez aussi à scroller jusqu’en bas de la page pour vérifier que des éléments n’y sont pas cachés).

Puis je veux aller sur mes sites préférés / Facebook

Pour toutes ces raisons précédemment évoquées vous devez faire un effort et vous initier aux bases de fonctionnement des sites que vous visitez fréquemment. Vous ne devez pas prêter votre compte en prévention des méconnaissances possibles de cette personne en termes de sécurité…

Mes données personnelles à disposition de tous, mon ordinateur à disposition des vandales

Pour conclure, la présentation suivante démontre à plusieurs reprises que l’on peut en apprendre beaucoup sur vous (+ que ce que vous ne pensiez) et surtout beaucoup trop parfois (l’heure à laquelle vous n’êtes pas chez vous, votre nom + adresse postale, combien de temps vous êtes absents et à quelle distance vous serez de votre domicile…)

Si vous voulez savoir ce qu’on peut apprendre sur vous, commencez par taper votre Prénom+Nom dans Google.fr et pour encore plus de détails: 123people.fr

Qu’est-ce qui m’a énervée aujourd’hui au point de pondre ce billet ?

Il s’agit de toutes ces applications qui vous rendent soit disant service, à qui vous confiez (du mot « confiance ») vos identifiants pour qu’ils se connectent à votre compte pour vous fournir une information. Certes très pratique puisqu’elle vous économise du temps mais qu’est-ce qui vous dit que les données ne sont pas collectées en vue d’une utilisation à votre insu ?

L’application du jour : « Je vais fouiller tout votre compte Twitter/Facebook et vous donner toutes les informations dont vous rêviez, pour cela quel est votre mot de passe ? »

La suite pourrait être : « Merci beaucoup grâce à votre compte je vais pouvoir spammer sans avoir besoin de fabriquer un faux profil avec des faux amis car je vais utiliser les vôtres ! » Bien entendu, tous les profiteurs de ce genre ne déclarent pas leurs bases de données à la CNIL

La paranoia excessive n’est pas non plus la solution mais pour certains c’est comme s’ils confiaient directement les clés à leur cambrioleur…

Wabstemer : concours de référencement étudiant

Il y a quelques jours mon amie toulousaine Sandrine Bertrand me contacte sur Twitter pour me faire part du lancement d’un nouveau concours de référencement.
Mais il s’agit cette fois de parrainer un de ses étudiants car elle est professeur de référencement naturel au Lycée Saliège à Balma (Toulouse, 31). C’est aussi accessoirement là où j’ai fait une partie de mes études donc ça me motive d’autant à les aider.

Parrain SEO

Le rôle de parrain SEO

Pour ce concours point de tricherie que du « white SEO » afin d’apprendre les bases avant de passer du côté obscur…
Mon travail consistera à aider à trouver des liens sur l’ancre wabstemer à Julien, mon filleul. Je lui ai déjà fourni tout un planning le pauvre, mais je ne vous dévoilerai pas son contenu…

Début et fin du concours wabstemer

Le concours a commencé le 25 octobre dernier mais nous ne prenons contact qu’aujourd’hui… Certains ont déjà de l’avance.
Il faudra être 1er sur la requête wabstemer en février 2011.

Gain du concours

Finalement, tout le monde y gagne et je vous invite à aller sur le site du concours pour en savoir davantage.
Je tiens à saluer l’initiative de Sandrine pour ce brillant projet d’apprentissage du référencement pour ses élèves.

Il est possible que je vienne vous solliciter pour aider Julien notamment en termes de netlinking, je compte sur vous ! Après tout on a tous débuté un jour…

Bon concours et bon wabstemer à tous !

Quizz Web Analytics

OnlinePlanet.se vient de mettre en ligne une infographie correspondant à un quizz Web Analytics.
En répondant aux diverses questions de ce test, vous serez capables d’évaluer si vous êtes ou non un « Web Analytics Ninja » ! C’est parti !

webanalytics test

Pour plus de commodités, voici la traduction du quizz web analytics en français :

Les questions du quizz :

Votre site web (1p)

  • Savez-vous pourquoi votre site web existe ? (1p)

Money (1p)

  • Savez-vous combien vous faites d’argent via votre site ? (1p)

Ce que les visiteurs pensent de votre site (3p)

  • Savez-vous l’expérience utilisateur de votre site ? (1p)
  • Savez-vous quelle proportion arrive à ses fins ? (1p)
  • Savez-vous ce que les gens aiment ou n’aiment pas sur celui(ci ? (1p)

Visites (3p)

  • Connaissez-vous l’importance des différentes sources de trafic ? (1p)
  • Connaissez-vous le volume des visiteurs qui reviennent ? (1p)
  • Connaissez-vous votre mensuel taux de visiteurs qui reviennent ? (1p)

Pages d’entrée (2p)

  • Connaissez-vous le top 10 de vos pages d’entrée ? (1p)
  • Connaissez-vous leur taux de conversion et leur taux de rebond au fil du temps ? (1p)

Utilisation du contenu (2p)

  • Savez-vous quel type de contenu est le plus utilisé ? (1p)
  • Connaissez-vous le nombre de visiteurs qui consomment divers contenus ? (1p)

Recherche interne (2p)

  • Connaissez-vous la proportion de vos visites qui effectue une recherche interne ? (1p)
  • Savez-vous quel type de recherches font vos visiteurs ? (1p)

Mots clés SEO (4p)

  • Savez-vous distinguer votre « head tail » de votre « long tail » ? (1p)
  • Connaissez-vous la valeur de votre long tail ? (1p)
  • Savez-vous quels sont vos mots clés qui convertissent le mieux ? (1p)
  • Avez-vous regroupé vos mots clés en vous basant sur les volumes ou leur valeurs ? (1p)

URL des referers (2p)

  • Connaissez-vous les URLs de vos principaux référents ? (1p)
  • Savez-vous comment se comportent ces URLs en termes de conversion, taux de rebond et revenus ? (1p)

Densité des clics/Heatmap (1p)

  • Savez-vous où les gens cliquent sur vos pages les plus importantes ? (1p)

Chemins (1p)

  • Si vous avez un funnel préféré, savez-vous à quel endroit les gens abandonneront ? (1p)

Social Media (2p)

  • Mesurez-vous l’impact de vos efforts en social media (social media tracking) ? (1p)
  • Connaissez-vous l’importance du R.O.I. drainé par vos différents investissements en social media ? (1p)

Campagnes liens sponsorisés (4p)

  • Connaissez-vous vos campagnes en ligne les plus profitables ? (1p)
  • Connaissez-vous vos campagnes offline les plus profitables ? (1p)
  • Utilisez-vous un outil de gestion d’enchères pour maximiser vos campagnes en ligne ? (1p)
  • Savez-vous comment Adwords cannibalise votre trafic organique ? (1p)

Email Marketing (2p)

  • Mesurez-vous l’impagne de vos campagnes d’email marketing correctement ? (1p)
  • Evaluez-vous et optimisez-vous le contenu de vos emails ? (1p)

Tableaux de bord (2p)

  • Avez-vous un tableau de bord des KPI mesurant vos métriques les plus importantes sur des bases quotidiennes ? (1p)
  • Est-ce que plusieurs personnes dans l’entreprise utilisent des tableaux de bord variés ? (1p)

Segments (2p)

  • Savez-vous quels sont les segments importants pour votre business ? (1p)
  • Décomposez-vous vos chiffres par segment ? (1p)

Facteurs influant sur la conversion (1)

  • Savez-vous quel facteurs affectent directement votre conversion ? (1p)

Analyse corrélative (1p)

  • Savez-vous comment les facteurs qui affectent la conversion sont en corrélation les uns avec les autres ? (1p)

AB Testing (5p)

  • Avez-vous réalisé des tests A/B sur vos principales pages d’entrées ? (1p)
  • Avez-vous une méthodologie systématique pour l’A/B testing ? (1p)
  • Avez-vous une stratégie à long terme pour vos tests ? (1p)
  • Documentez-vous vos recherches ? (1p)
  • Partagez-vous le savoir-faire tiré de vos recherches ? (1p)|

Analyse concurrentielle (1p)

  • Savez-vous ce que font vos plus grands concurrents ? (1p)

P.S. : Je ne pense pas que ça soit voulu mais il y a une question supplémentaire par rapport à l’effectif global des questions (question « Mots clés SEO« ), mais cela n’a sans doute pas été remarqué par l’auteur. Cela dit cela vous fait une chance supplémentaire de réussir ce test de connaissances en analyses web !

Les résultats :

Additionnez tous vos points et vérifiez si vous pouvez vous autoproclamer un ninja en web analytics :

0-10 points : Ceinture Blanche
Vous êtes encore en apprentissage. Vous avez vraiment besoin d’apprendre davantage mais ne vous découragez pas, tout le fun est en face de vous !

11-20 points : Ceinture Jaune
Vous pensez- que vous êtes une bombe mais honnêtement vous êtes juste dans la moyenne.. essayez de rassembler plus de points et voyez votre popularité au sein de votre société monter en flèche.

21-30 points : Ceinture Bleue

Vous avez une bonne estime personnelle et par endroits vous serez un analyste assez bon mais si vous voulez être en mesure de vous vanter vous devrez passer au niveau supérieur.

31-35 points : Ceinture Marron
Vous êtes bon. vous pouvez vraiment vous réveiller en plein milieu de la nuit et fournir une information critique pour votre business. Pas très loin de devenir un dieu.

36-41 points : Ceinture Noire
vous êtes dieu. Les gens regarderont vers vous et vous donneront de magnifiques cadeaux. Tout le monde voudra être votre ami. Portez votre ceinture noir par dessus votre blouson !

Faites le quizz Web Analytics de OnlinePlanet !

Alors, êtes-vous une ceinture noire en Web Analytics ? 😀

(lien trouvé chez Avinash Kaushik)

.htaccess avec l’option Multi domaines OVH

ou encore Comment faire une redirection sans www vers www, ou Comment rediriger vers l’URL canonique.
Réponse éditée : c’est possible mais avec beaucoup d’acharnement et de rigueur dans la rédaction de votre htaccess. En supprimant un « ! », la redirection fonctionne enfin !! merci @devfr, voici le code qui a fonctionné :

RewriteEngine On
RewriteCond %{HTTP_HOST} ^example.com$ [NC]
RewriteRule ^(.*)$ http://www.example.com/$1 [L,R=301]

Je vous laisse tout de même le reste du post au cas où vous ne trouviez pas la rédaction de votre htaccess et que vous vouliez une alternative…

 

Contexte

Voici dans quelles conditions la solution proposée à la fin de ce post peut fonctionner :

  • Un hébergement mutualsé chez OVH avec option multi domaines.
  • example.com qui pointe en multi domaines vers le répertoire de l’hébergement principal, grâce au tutorial multidomaines dont je vous avais déjà parlé.

Ce tuto, d’ailleurs très bien expliqué, indiquait qu’en suivant les recommandations (normalement) les .htaccess fonctionnaient sans souci. Et après de nombreuses heures infructueuses, j’ai envie de vous répondre le classique : « Ou pas ! » 😀

 

Exemple de redirection traditionnelle

Les instructions de redirection 301 habituellement placées dans le fichier .htaccess du répertoire d’arrivée semble ne pas fonctionner avec l’option multi domaines d’OVH :

RewriteEngine On
RewriteCond %{HTTP_HOST} ^example.com$
RewriteRule ^(.*) http://www.example.com/$1 [QSA,L,R=301]

PS : oui j’ai utilisé des alternatives dont avec ou sans / etc. 😀

 

Utiliser PHP comme alternative au .htaccess qui ne fonctionne pas

Après quelques recherches de solutions sur les forums OVH et les forums de référencement ou de rewriting, j’ai fini par adopter une solution de « remplacement »…
Pour résumer en 2 liens :

  • En suivant le poste de CyrilleB sur Webmaster-Hub (multidomaines : URL non transparent/), on arrive à : example.com et www.example.com qui pointent vers le répertoire voulu du multi domaines.
  • J’ai voulu rediriger vers l’URL canonique (c’est-à-dire l’URL sans www vers les www). Pour cela , j’ai suivi la solution PHP de Pipo sur les forums d’OVH (forcer www des multidomaines OVH (mutu))…
    J’ai donc du aller éditer le fichier index.php de mon phpBB pour y insérer les lignes de redirection :

Pour la postérité voici le screen de la solution :
php au lieu de htaccess

 

Une solution qui fonctionne mais bancale…

Bancale car même si example.com redirige vers www.example.com, la redirection ne fonctionne que pour la racine…
Par exemple, si je tape example.com/test je ne suis pas redirigée vers www.example.com/test

 

Alors certes des solutions existent… Mais c’est un peu complexe alors qu’un simple htaccess aurait fait l’affaire.
Si toutefois vous aviez trouvé une solution viable… N’hésitez pas à la partager, je complèterai ce billet.

 

 

Pour info : le htaccess fonctionne bien pour le domaine principal de l’hébergement. L’ajout des lignes de redirections dans ce fichier htaccess du www principal n’a pas abouti non plus…

Tynt Insight : Ajouter la source lors d’un copier-coller (JavaScript)

Ces temps-ci il est trendy de parler de protection des droits d’auteur, pour ne citer qu’un exemple, je vous renvoie à l’explication de Hadopi.
Toujours utile et dans la catégorie « Anti-copie du contenu sur le web« , voici comment ajouter une mention supplémentaire à votre article (ou simple contenu de page web) lorsque celui-ci est copié par l’internaute.

 

Exemple de site ajoutant du contenu lors d’un copier-coller

Voici un exemple de site où lorsque vous copiez-collez du contenu, des éléments de copyright sont ajoutés en plus dans votre presse-papier (clipboard) : http://www.miamiherald.com/2010/08/07/1766177/requiem-for-a-child-and-common.html

Si on copie-colle cette portion de texte :
copie-colle-texte

Voici ce que l’on obtient en collant la même portion de texte dans le bloc-notes :
copie-bloc-notes

 

Pourquoi faire ?

Si vous ne faites pas attention, vous avez vite fait de recopier le copyright si vous copiez-collez de grandes portions de textes. Cela est aussi bien pratique pour se souvenir qu’elle est la source de l’article (même si en copiant un paragraphe dans Google vous l’auriez retrouvé…)

 

Comment récupérer le script

Il s’agit d’un JavaScript, il vous suffit donc d’aller sur la page employant le script, d’afficher le code source et de récupérer les lignes du code correspondantes.

 

Tynt Tracer, se prémunir contre la copie

Il existe aussi des services en ligne, qui vous fournissent le code à insérer sur vos pages afin de rajouter le copyright lors du copier-coller.
C’est le cas pour Tynt Tracer dont Christophe Logiste fait une présentation détaillée sur son blog.
Le quotidien Wired.com utilise Tynt Tracer.

 

Objectifs financiers des outils anti-copie

Sur un article de Cnet, on apprend même que le « business model de Tynt est le même que Bit.ly à savoir dégager des tendances de ce qui est copié, des analyses très utiles pour les éditeurs ».

 

Plugin WordPress

Il existe un plugin WordPress pour Tynt cependant le JS ne fonctionnera pas sur des blogs hébergés sur WordPress.org et Blogger.com

 

Comment bloquer Tynt Tracer lors du copier-coller ?

Et sinon il existe une extension pour bloquer Tynt si vous utilisez Chrome ou même Safari 😀
Une méthode manuelle pour éviter l’intrusion de Tynt est d’ajouter une ligne au fichier host de votre PC, toutes les indications sur le sujet sur lifehacker.com.

 

Tynt Tracer en video

En voici la présentation vidéo (anglais) :

Et une démo (en anglais) :

Autre exemple (toujours en anglais) :

Ce qui m’intéresse le plus dans cet outil serait de pouvoir évaluer ce qui est le plus copié en termes de webanalytics. Comme l’outil est gratuit, je ne vais pas me gêner pour tester ces prochains jours sur quelques sites. Sinon Tynt se targue d’améliorer votre référencement avec ce système.

Si vous testez aussi, ça m’intéresse 😀
Ouvrir un compte gratuit Tynt Insight

Edition du 23 août : Eric Dupin avait rédigé un article intéressant sur la duplication et la reproduction illicite de contenu avec quelques solutions envisageables.

 

Test de Tynt

J’ai testé Tynt, très rapide à mettre en place, juste l’email et un mot de passe à saisir et vous êtes invité à configurer le marqueur à mettre en place sur votre site.
Une fois configuré, vous copiez-collez le script JS délivré le plus haut possible dans votre code source afin qu’il soit actif au plus tôt lors du chargement de la page.
Ensuite, vous n’avez plus qu’à attendre quelques jours pour voir sur les rapports ce que les internautes copient en priorité sur votre site.
Tynt prévoit même de pouvoir désactiver ses propres copies :
tynt-off