Après le précédent article sur la sécurité sur le Net, je me suis dit que ce serait bien de mettre des exemples concrets de piratage afin que vous puissiez les voir venir. Je vais donc faire un bref retour sur le phishing qui est sans doute le mode de piratage le plus efficace pour avoir accès à votre pognon. Car n’oublions pas, le maillon le plus faible d’une chaîne de sécurité informatique, c’est l’Homme, c’est vous.
Le poison pas frais :
Contraction de fishing (pèche) et phreaking (piratage téléphonique), le phishing est une tentative de vous dérober des informations en se faisant passer pour une source de confiance. On l’appelle aussi hameçonnage à l’académie française.
Prenons l’exemple de la situation la plus courante : un coquin tente de se faire passer pour votre banque et vous incite à lui confier vos identifiants de compte sans que vous n’y preniez garde. Pour cela, il vous envoie simplement un mail bien présenté, formaté comme le ferait l’organisme qu’il copie. Ce dernier contient un lien vers un faux site web qu’il aura construit de ses mains (généralement, il ne copie que la page d’accueil). Là vous saisissez vos identifiants et il est trop tard, vous êtes dans sa toile. Au mieux, vous réalisez ce que vous avez fait et vous appelez votre banque, au pire, vous constaterez quelques virements inopportuns et il va falloir justifier à madame cet achat exorbitant sur grostetons.com.
C’est une méthode courante et les mails que l’on reçoit sont de plus en plus crédibles, une bonne raison pour apprendre à les détecter. Allez hop, cas pratiques ! Et râlez pas, y’en a pour deux minutes.
Dans les exemples ci-dessous, un canaillou se fait passer pour le Crédit Agricole.
- Première puce à l’oreille : je ne suis pas au Crédit Agricole. Mais admettons une minute que j’y sois : voici des mails bien légitimes et qui semblent parfaitement innocents : il faut juste aller vérifier un truc sur mon compte (un mot de passe, une info, un message…).
- Deuxième puce : les liens.
- Dans le premier exemple, le contenu du mail est une image. Si je la survole, je vois bien que le domaine (lire le premier article pour comprendre comment vérifier les domaines) n’a rien à voir avec celui de la BNP (thembears.com).
- Idem dans le deuxième exemple dont le lien pointe vers http://www.mby.be/ (lien invalide depuis).
Si vous avez ne serait-ce qu’un doute (tout le temps ?), n’utilisez pas les liens des mails et rendez-vous directement sur votre site. Si on vous a indiqué qu’un message vous y attend, vous l’y verrez.
Exemple n°1 :
Lorsque je survole l’image, le lien apparaît. Au pire je l’aurais vu après avoir cliqué dessus dans la barre d’adresse de mon navigateur et avant de saisir mon identifiant.
Ouaah, un phishing sans faute d'orthographe. Félicitations, c'est une première ! cc @CreditAgricole pic.twitter.com/rVzlv36DMi
— Spi (@spy01) December 14, 2015
Exemple n°2 :
Ici, il s’agit d’un texte. Lorsque vous survolez le lien, son adresse s’affiche en bas à gauche de votre navigateur. Allez-y, vérifiez que le lien pointe sur un nom de domaine chelou. 🙂
Bonjour,
Un nouveau Message est disponible sur votre messagerie Crédit agricole .
Pour le consulter, Veuiller Cliquez sur le lien ce-dessous:
Nous vous remercions de votre confiance.
Crédit agricole: Banque et Assurances
Ce courriel vous a été envoyé par un système automatique d’émission de messages.
L’adresse d’émission n’est pas une adresse de courriel classique.
Si vous écrivez à cette adresse, votre message ne sera pas pris en compte
Déjà, les « Veuiller Cliquez » et « voslcomptes » sentaient le pâté…
Petit résumé des bonnes pratiques :
- Vérifier les adresses des liens dans les mails en les survolant.
- Dans le doute, ne pas cliquer sur ces liens.
- Ne pas paniquer, joignez votre banque par téléphone en cas de doute. Car bien sûr, ces mails peuvent être assez pressants : « vite, t’es à découvert, vient régulariser !!! ».
- Signalez le à la banque par mail (dans le premier c’était par Twitter).
Des escroqueries par mail mais aussi sur le web :
Ces méthodes sont aussi utilisées sur le web via des publicités mensongères qui vont vous inciter à installer des applications. Par exemple :
Attention, un virus a été détecté sur votre ordinateur, téléchargez l’application « Tueur de virus 360 » pour l’éliminer. Si vous ne le faites pas, toutes vos données personnelles s’effaceront et la tête de votre premier né explosera comme du popcorn.
Alors, sachez que : que vous soyez sur téléphone ou PC, aucun site web n’a accès au contenu de votre machine. Il ne peut donc pas le scanner et vous afficher d’information sur l’état de santé du PC. D’une manière générale, retenez que si on vous propose d’installer un logiciel que vous n’avez pas demandé, il y a anguille sous roche (voire baleine sous cailloux comme aurait dit un collègue).
Crédit illustration : betacontinua