Les base de la sécurité en ligne
Une version adaptée de l'initiative "Stay Safe Online"
Inspiré et traduit de l'article original en anglais du site US "StaySafeOnline".
Notez que ce billet n'est pas une reprise "telle quelle" de l'article original, il est personnalisé par mon interprétation, et accompagné de nombreux de mes conseils et liens particuliers qui ne se trouvent pas dans l'article original.
Spam et phishing
Principes des emails malveillants
Le but est de vous amener à cliquer sur un lien spécialement conçu ou à ouvrir une pièce jointe piégée.
Parfois le simple affichage d'une image (piégée) peut exploiter une vulnérabilité du système et déclencher une attaque, c'est pourquoi les logiciel de mail comme Outlook n'affichent plus les images contenues dans un email automatiquement.
Déguisement
Utilisent des techniques de déguisement de plus en plus sophistiquées, pour vous égarer sur leur origine, se faisant passer pour des personnes ou entreprises avec lesquelles vous avez probablement l'habitude de communiquer, comme:
- des institutions financières
- des agences gouvernementales
- une entreprise de service connue
Caractère urgent
Pour vous pousser à agir rapidement, des situations sont mises en place, dans lesquelles vous êtes poussés à prendre des décisions urgentes, par exemple:
- Votre compte utilisateur a été compromis,
- Une commande que vous auriez passé ne peut pas être terminée,
- Une autre raison urgente.
En cas de doute
Des étapes pour vérifier si un email est légitime:
Pourriel (spam), hameçonnage (phishing) et harponnage (spear fishing)
Quelques définitions
-
Le courrier indésirable sous toutes ses formes reste un outil de campagne de masse efficace et rentable, car on joue sur de la grande diffusion. C'est peu cher à entreprendre et même un petit retour reste rentable.
-
L'hameçonnage c'est l'art de déguiser les liens Internet dans un email et vous amener à cliquer sur le lien piégé, ce qui va vous amener sur une destination à caractère malveillant pour collecter des données privées ou financières ou infecter votre machine avec des virus ou des logiciels malveillants.
-
L'harponnage est une forme plus sévère d'hameçonnage qui cible un individu ou un groupe d'individus particulier(s) et déguise son attaque en la personnalisant beaucoup plus précisément. L'ingénierie sociale, soit une forme de vol de données sensibles réalisé par la tromperie ou l'escroquerie de personnes, fait partie de l'arsenal du harponnage.
On retrouve des techniques de pourriel, hameçonnage et harponnage exploitées dans les réseaux sociaux comme facebook, twitter et YoutTube, dont voici les adresses Internet pour signaler ces évènements:
Contre-mesures:
- Activer les filtres anti-spam au niveau de votre fournisseur d'accès
Internet et de votre client email;
- Signaler le courrier comme indésirable (il y a des boutons pour cela
dans la plupart des clients emails, comme Outlook); cela servira
contribuera également à freiner sa diffusion;
- Tant que possible, limitez l'exposition (la visibilité de votre
adresse email).
Et j'ajouterai:
- Utilisez les IA intégrées au logiciels comme Gmail ou Microsoft Outlook
pour leur classement automatique des mails dans des dossiers thématiques.
Conseils pour éviter de devenir une victime
- Ne pas révéler d'informations personnelles ou financières dans un email;
- Ne pas cliquer sur les liens d'un email suspect;
- Vérifiez l'orthographe du nom du site : googkle.com n'est pas google.com !
- Vérifiez la sécurité du site web concerné. Dans le meilleur des cas, le
site affiche une grande barre verte car il utilise un certificat SSL
à validation étendue (SSL/EV). C'est le cas pour devinfo.net (regardez la barre verte en haut)
Les autres certificats SSL, comme ceux délivrés par "Let's encrypt" (de
Mozilla), permettent bien de valider que la communication est cryptée et
que le site est identifié, mais ils ne peuvent assurer l'authenticité du
site, comme le font les certificats SSL/EV; autrement dit, un site peut
être identifié comme étant bien celui qui répond à l'adresse Internet
visitée, mais le site n'est pas forcément celui de l'organisation qu'il
prétend représenter !;
- Contactez l'organisation directement (comme décrit précédemment) pour
vous assurer que l'adresse à visiter est bien celle de leur site;
- Utilisez le site du groupe anti-hameçonnage, ou Anti-phishing Working Group, pour
dénoncer les cas (anglais);
- Maintenez votre ordinateur en bon état. Effectuez les mises-à-jour
du système et de vos logiciels anti-malware régulièrement.
Que faire si vous êtes victime
- Signaler aux personnes compétentes dans votre organisation (IT);
- Si vous pensez que certaines de vos informations financières
sensibles ont fuité, contactez l'organisation (banque, commerce, ...)
en charge et fermez le compte concerné;
- Surveillez régulièrement l'activité de vos comptes pour repérer
d'éventuelles transactions suspectes;
- Pensez à dénoncer le cas à l'autorité compétente de votre pays;
en Suisse, contactez MELANI
L'initiative STOP.THINK.CONNECT™ : pas tout à fait (!)
Je m'éloigne ici des "astuces" de l'initiative, en proposant parfois des alternatives différentes:
-
Dans le doute, jetez : les liens dans les emails, les tweets, les billets
de blog et la publicité en ligne sont souvent utilisés par les cybercriminels
pour vous piéger; alors si quoi que ce soit dans l'un de ces contenus
vous paraît suspect, y compris si la source est connue, jetez.
J'ajoute ma propre manière de procéder avec Outlook pour les emails:
- Désactivez le volet de lecture, de sorte que seul l'expéditeur
et le sujet de l'email sont affichés (désactivez également les lignes
de prévisualisation du mail si elles s'affichent en dessous du sujet);
- Détruisez les emails suspects avec la combinaison de touches
[MAJ] [SUPPR], cela supprimera l'email définitivement, sans possibilité
de récupération et sans le placer dans la corbeille. Attention à ne pas
vous tromper; ne désactivez pas l'apparition de la boîte de dialogue
de confirmation de l'action.
- Dans le dossier SPAM (pourriel ou courrier indésirable), désactivez
également le volet de lecture et videz régulièrement le dossier.
-
Réfléchissez aveant d'agir. Rappelez-vous qu'inspirer un caractère
urgent aux messages est une technique de déception, tout comme la
demande de données personnelles.
Lisez l'histoire très instructive de l'une de mes mésaventures..
- Pour les mots de passe:
- Utilisez un gestionnaire de mots de passe. Ma recommandation est lastpass. Et arrêtez de croire que vous pouvez vous en passer.
- Utilisez la fonction de génération de mot de passe de LastPass pour créer et mémoriser vos mots de passe; arrêtez de croire que votre "système futé", comme la phrase type que vous propose STOP.THINK.CONNECT est une bonne idée, ça ne l'est pas;
- Si vous insistez avec la phrase type, utilisez les techniques dites de "padding" (ou remplissage) pour renforcer mathématiquement votre mot de passe, par exemple en mettant une séquence de caractères de votre choix, avant et après le mot de passe:
Au lieu de "Il fait beau Il fait chaud", utilisez "xXx[[IlFaitBeauEtChaud]]xXx"
Plus facile et mathématiquement bien plus puissant.
- Activez les options d'authentification supplémentaires pour l'accès à vos comptes, comme le deuxième facteur d'authentification qui utilise le désormais connu "Google Authenticator";
- N'utilisez le SMS que s'il ne remplace pas la saisie du mot de passe, mais que s'il le complémente.
Et deux des choses les plus importantes que j'ajoute également:
- N'utilisez pas votre ordinateur avec un compte qui a des droits d'administrateur (qui permet d'installer des logiciels), mais avec un compte utilisateur standard.
- Effectuez des backups sur des services en ligne avec des logiciels comme Carbonite (payant, mais simple et efficace), ou Cobian Backup avec une destination FTP. Ainsi vous n'aurez pas à craindrez pas les "rançongiciels" actuels qui font un vrai ravage.
Surfez couverts!