Archives par mot-clé : sécurité

Après le précédent article sur la sécurité sur le Net, je me suis dit que ce serait bien de mettre des exemples concrets de piratage afin que vous puissiez les voir venir. Je vais donc faire un bref retour sur le phishing qui est sans doute le mode de piratage le plus efficace pour avoir accès à votre pognon. Car n’oublions pas, le maillon le plus faible d’une chaîne de sécurité informatique, c’est l’Homme, c’est vous.

Le poison pas frais :

Contraction de fishing (pèche) et phreaking (piratage téléphonique), le phishing est une tentative de vous dérober des informations en se faisant passer pour une source de confiance. On l’appelle aussi hameçonnage à l’académie française.

Prenons l’exemple de la situation la plus courante : un coquin tente de se faire passer pour votre banque et vous incite à lui confier vos identifiants de compte sans que vous n’y preniez garde. Pour cela, il vous envoie simplement un mail bien présenté, formaté comme le ferait l’organisme qu’il copie. Ce dernier contient un lien vers un faux site web qu’il aura construit de ses mains (généralement, il ne copie que la page d’accueil). Là vous saisissez vos identifiants et il est trop tard, vous êtes dans sa toile. Au mieux, vous réalisez ce que vous avez fait et vous appelez votre banque, au pire, vous constaterez quelques virements inopportuns et il va falloir justifier à madame cet achat exorbitant sur grostetons.com.

C’est une méthode courante et les mails que l’on reçoit sont de plus en plus crédibles, une bonne raison pour apprendre à les détecter. Allez hop, cas pratiques ! Et râlez pas, y’en a pour deux minutes.

Dans les exemples ci-dessous, un canaillou se fait passer pour le Crédit Agricole.

Première puce à l’oreille : je ne suis pas au Crédit Agricole. Mais admettons une minute que j’y sois : voici des mails bien légitimes et qui semblent parfaitement innocents : il faut juste aller vérifier un truc sur mon compte (un mot de passe, une info, un message…).
Deuxième puce : les liens.
- Dans le premier exemple, le contenu du mail est une image. Si je la survole, je vois bien que le domaine (lire le premier article pour comprendre comment vérifier les domaines) n’a rien à voir avec celui de la BNP (thembears.com).
- Idem dans le deuxième exemple dont le lien pointe vers http://www.mby.be/ (lien invalide depuis).

Si vous avez ne serait-ce qu’un doute (tout le temps ?), n’utilisez pas les liens des mails et rendez-vous directement sur votre site. Si on vous a indiqué qu’un message vous y attend, vous l’y verrez.

Exemple n°1 :

Lorsque je survole l’image, le lien apparaît. Au pire je l’aurais vu après avoir cliqué dessus dans la barre d’adresse de mon navigateur et avant de saisir mon identifiant.

Ouaah, un phishing sans faute d'orthographe. Félicitations, c'est une première ! cc @CreditAgricole pic.twitter.com/rVzlv36DMi

— Spi (@spy01) December 14, 2015

Exemple n°2 :

Ici, il s’agit d’un texte. Lorsque vous survolez le lien, son adresse s’affiche en bas à gauche de votre navigateur. Allez-y, vérifiez que le lien pointe sur un nom de domaine chelou. 🙂

Bonjour,

Un nouveau Message est disponible sur votre messagerie Crédit agricole .

Pour le consulter, Veuiller Cliquez sur le lien ce-dessous:

Accèdez à voslcomptes

Nous vous remercions de votre confiance.

Crédit agricole: Banque et Assurances

Ce courriel vous a été envoyé par un système automatique d’émission de messages.
L’adresse d’émission n’est pas une adresse de courriel classique.
Si vous écrivez à cette adresse, votre message ne sera pas pris en compte

Déjà, les « Veuiller Cliquez » et « voslcomptes » sentaient le pâté…

Petit résumé des bonnes pratiques :

Vérifier les adresses des liens dans les mails en les survolant.
Dans le doute, ne pas cliquer sur ces liens.
Ne pas paniquer, joignez votre banque par téléphone en cas de doute. Car bien sûr, ces mails peuvent être assez pressants : « vite, t’es à découvert, vient régulariser !!! ».
Signalez le à la banque par mail (dans le premier c’était par Twitter).

Des escroqueries par mail mais aussi sur le web :

Ces méthodes sont aussi utilisées sur le web via des publicités mensongères qui vont vous inciter à installer des applications. Par exemple :

Attention, un virus a été détecté sur votre ordinateur, téléchargez l’application « Tueur de virus 360 » pour l’éliminer. Si vous ne le faites pas, toutes vos données personnelles s’effaceront et la tête de votre premier né explosera comme du popcorn.

Alors, sachez que : que vous soyez sur téléphone ou PC, aucun site web n’a accès au contenu de votre machine. Il ne peut donc pas le scanner et vous afficher d’information sur l’état de santé du PC. D’une manière générale, retenez que si on vous propose d’installer un logiciel que vous n’avez pas demandé, il y a anguille sous roche (voire baleine sous cailloux comme aurait dit un collègue).

Crédit illustration : betacontinua

Assistance, Contenu original, Informatique, Uncategorized

J’ai trouvé pour vous le meilleur anti-virus (et vous le connaissez)

24 septembre 2015 spy01 3 commentaires

Lorsque l’on bosse dans l’informatique, on nous demande fatalement un paquet de fois quel est le meilleur antivirus pour surfer en toute sécurité. Mais ce que l’on nous demande encore plus souvent, c’est de déverminer le PC qui s’est éteint dans un râle d’agonie après avoir affiché un pénis en plein écran, traumatisant au passage Jean-Rudy qui jouait tranquillement à LoL.

Des solutions pour se préserver

Ici, vous auriez pu vous éviter de coûteuses séances de rééducation de votre rejeton en étant pro-actifs. Vous aviez en effet au moins deux choix :

Installer un bon antivirus bien gras qui cumule les fonctions de firewall, détecteur de malware, sauvegarde, anonymiseur, désenvoûtement, chiffrement des données, anti-spam, alarme incendie, etc. Ce dernier vous rappelant chaque année de cracher au bassinet, généralement après une période d’essai gratuite dont vous n’aviez même pas connaissance.
Vous serez ravis d’apprendre que ce type de logiciel est généralement pré-installé sur toute nouvelle machine de marque. L’effet attendu par l’éditeur est que, pris de panique à la fin de l’évaluation, vous préférerez payer plutôt que de chercher une alternative.

Installer un antivirus gratos light et recourir à « ma » méthode qui est bien plus efficace que Kaspersky, Norton, McAfee et consort.

Là vous me voyez arriver comme un arracheur de dent avec des gros sabots. Mais non, je ne vais pas vous vendre un élixir magique hors de prix. Je vais simplement vous parler de bon sens…

Continuer la lecture de J’ai trouvé pour vous le meilleur anti-virus (et vous le connaissez) →

Ethique, Réflexions

« Le sécuritaire, c’est pas la sécurité »

15 avril 2012 spy01 Laisser un commentaire

J’avais envie de relayer un petit article du blog Bug Brother. On y découvre Tristan-Edern Vaquette, un comédien qui traite de la montée du tout sécuritaire en France. Il explique qu’aux yeux de la population, alors qu’une dictature militaire est inacceptable, une « démocratie musclée » – beaucoup plus insidieuse – est politiquement tolérée.

C’est intéressant de se dire que ça se passe aujourd’hui même et que sous le prétexte de la sécurité, on parvient à brider la liberté des citoyens. La culture de la peur que l’on moquait chez les ricains est aujourd’hui chez nous : depuis les années 2000, des dizaines de lois « sécuritaires » défilent sans nous choquer plus que ça. Mieux, on les cautionne pour de mauvaises raisons (filtrage d’Internet pour la chasse aux pédophiles par exemple).

Je trouve que le sieur Vaquette résume assez bien : « Le sécuritaire, c’est pas la sécurité, et c’est antithétique avec la liberté. C’est un discours de culpabilité déresponsabilisant, c’est du contrôle social par la peur, et c’est dangereux pour l’État de droit. »

L’article est ici : « Le sécuritaire, ce n’est pas la sécurité ».

Et rappelons l’une de mes citations préférées : « Ceux qui renoncent à leurs libertés fondamentales pour un peu de sécurité temporaire, ne méritent ni l’une ni l’autre, et perdrons les deux. »
Benjamin Franklin.

A bon entendeur, rendez-vous dans 7 jours 😉

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Le blog de Spi