Partagez cet article:Share on Google+0Share on Facebook0Tweet about this on Twitter

fond-matrix
Une nouvelle section vient d’être créée et elle s’appelle Sécurité. Pour commencer, je voulais vous montrer comment déceler une tentative d’hameçonnage / phishing / filoutage, en créant un résumé des principales règles à respecter pour protéger vos mots de passe et données personnelles. On trouve beaucoup de tutoriels vous expliquant comment concevoir un mot de passe parfait. Pour n’en citer que deux, la CNIL et Google vous expliquent de façon très détaillée comment créer un mot de passe presque indéchiffrable par des algorithmes.

Je vais vous détailler les façons les plus courantes que vous pouvez avoir affaire lors de votre navigation internet, par E-mail et même un peu plus.

Par les voies physiques ou orales

Vous vous doutez bien qu’il y a d’autre moyen plus simple de vous subtiliser votre mot de passe, que de savoir votre date de naissance ou le nom de votre chat. L’exemple le plus courant est de les noter sur une feuille et de laisser cette feuille sur votre bureau ou dans votre porte document. Tout le monde pourra voir cette feuille et vous voler ses informations personnelles. Vous pouvez aussi tout aussi bien le perdre et cette fois-ci ce sera le vent qui aura raison de votre bout de papier ou tout un employé municipal. A votre grand désespoir, il faudra changer de mots de passe une nouvelle fois.

Une autre erreur à ne pas commettre et celle de copier tous vos identifiants et mot de passe dans un dossier texte de votre Pc, surtout si vous êtes plusieurs à l’utiliser.

Dans un cadre plus romanesque, on peut aussi vous subtiliser ces informations en vous les faisant avouer. Imaginons que vous travaillez dans un grande société et qu’une belle ou un beau jeune vient vous séduire pour vous demander au bout de quelque jours votre mot de passe, pour se connecter à votre compte Facebook par exemple. Et si par malheur vous avez le même mot de passe pour tous vos comptes et bien, je vous laisse deviner la suite. Si vous avez d’autres idées farfelues à partager ou d’autres plus sérieuses n’hésitez pas à laisser un commentaire.

Par Mail

Généralement, les systèmes d’hameçonnages passent par mail ou par des sites internet. L’expéditeur se fait passer pour une entité (votre banque, un employé de la messagerie que vous utilisez, fournisseur d’accès internet etc.),  que vous connaissez et essaye de récolter vos informations personnelles (numéro de compte, mot de passe, nom d’utilisateur etc.)

Leurs méthodes et vous faire peur et de vous demander de vous connecter urgemment à votre compte ou en essayant de vous faire remplir un formulaire. Il ne faut surtout pas céder à cette urgence. Vous pouvez aller sur le site officiel et vous connecter afin de regarder, si vous n’avez pas de notifications. Vous pouvez aussi contacter le service client.

Les boites de réception, si vous passez par Google ou Outlook (par exemple), les filtres déjà pour vous les mails de phishing, hameçonnage, la plupart du temps. Certains navigateurs proposent eux aussi des fonctionnalités anti-pishing. Ils sont classés dans vos spams et vos courriers indésirables. La première règle à respecter si vous avez des doutes de sa provenance est de ne pas ouvrir cet E-Mail et si vous l’avez déjà fait, de ne pas cliquer ou télécharger la pièce jointe.

Comment repérer les mails frauduleux ?

exemple pishing

découvrir les symptômes d’un mail frauduleux:

1. TOUJOURS Vérifier l’adresse mail de l’expéditeur. Elle peut avoir de grande ressemblance mais reste différentes de l’originale ou elle est peut être complètement inconnue comme la photo d’exemple plus haut (merci wikipedia).

2. Les messages peuvent comporter des fautes d’orthographes, d’expressions, syntaxes…

3. Ils veulent absolument des informations personnelles (numéros de compte bancaire, Votre nom, prénom, sexe, mot de passe, nom de compte, numéro de passeport, de téléphone etc.) Rappelez-vous dans un cadre général, qu’aucun organisme sérieux ne vous demandera de saisir ou de compléter vos informations personnelles par E-Mail  ou via un formulaire.

4. Comporte des offres très alléchantes (exemple : Vous avez gagnez 1 millions d’euros par tirage au sort ou un voyage gratuit, abonnement internet gratuit et illimité, remboursement, des jeux gratuits via des plateformes connues etc.)

5. On veut vous faire peur, vous faire croire que vous êtes en infraction ou que vous devez effectuer une action sinon vous perdrez votre compte ou votre ligne etc.

Ce qu’il ne faut pas faire
    • Se précipiter (vous n’êtes pas à 1 jour près)
    • Répondre à cet Email
    • Cliquez sur les liens que l’on vous communique
    • Ouvrir / télécharger les pièces jointes
    • Prendre au sérieux toutes les informations que vous voyez sur internet et dans vos mails

Voici des sites qui vous montrerons des exemples de Pishing par E-Mail:

Sites malveillants

Les sites malveillants sont issus avec le même principe que les E-Mail, mais cette fois-ci le principe est plus pervers. Imaginons que vous avez reçu un mail de la part de Google vous demandant de vous connecter à votre compte car si vous ne le faites pas, votre compte sera effacé. Dans ce Mail, on vous donne un lien et vous cliquez dessus. Attention ceci est un exemple pour que vous puissiez bien comprendre ce qu’il peut vous arriver.

Vous arrivez alors sur cette page.

google-mdp3

Vous remarquez qu’ici, physiquement la page est exactement la même. Sauf que si vous faites bien attention, il y a plusieurs éléments à observer en regardant simplement l’URL de la page.

Voici le lien de la page qui est incorrect

google-mdp4

 

Et le bon lien, si vous essayez de vous connecter sur Google en allant sur leur site

google-mdp5

On peut remarquer ici, si l’on ne fait pas attention au lien qui se trouve dans l’url, se faire complètement avoir. Le hacker peut créer une page qui ressemble parfaitement à celle de Google pour vous tromper. Ensuite vous saisissez sans vous rendre compte de cette usurpation votre nom de compte et votre mot passe. En cliquant sur connexion, on vous redirigera vers la page officielle de Google et vous penserez qu’il y a eu un beug et vous réessayerez de vous connecter.

Comment faire pour vérifier si le site est officiel

1. TOUJOURS Vérifier l’URL de la page sur la quelle vous vous trouvez.

2. Je vous conseille de vous rendre sur Google et de rentrer le nom de la page sur la quelle vous souhaitez aller (Orange, Paypal, Google, Twitter…) ou de mettre ses sites dans votre barre de favoris.

3. Les pages qui vous demandent de rentrer des informations personnelles sont sécurisées, elles doivent avoir un cadenas dans le lien et comporter dans le début de l’URL le HTTPS. En cliquant sur ce cadenas vous pourrez voir que l’identité du Site Web est bien identifiée et qu’il comporte bien un système de chiffrage protégeant vos données.
google-mdp1

Comment activer l’anti-hameçonnage de son navigateur

Comme indiqué plus haut les filtre anti-hameçonnage / phishing sont activés par défaut dans vos navigateurs. Voici tout de même des liens vous permettant de les activer.

Pour Conclure

Il restera, vous vous en doutez d’autres méthodes pour subtiliser vos données personnelles via internet. Pensez aussi à vider de votre boite mail, des messages contenant le mot de passe et nom d’utilisateur lors d’une inscription sur un site quelconque. Vous pouvez aussi acheter un anti-virus. Ils intègrent parfois des protections qui se greffent via des modules à votre navigateur et analysent vos URL lors de votre navigation. Toutefois même si vous avez ce type de protection n’oubliez pas de rester vigilant car il restera toujours des sites qui passeront au travers de ces protections.