Sécurité & Internet – Les bons réflexes


Update You, société d’assistance informatique et expert du numérique ,pour particuliers et entreprises, vous livre quelques conseils pour protéger votre vie privée sur internet.

Le numérique raisonne souvent avec liberté, simplicité, découverte… Mais pour profiter de tous les pouvoirs du numérique, il faut savoir le maîtriser (un peu comme Hulk arrivant dans une nouvelle ville avec tous ses pouvoirs, cela peut créer des catastrophes). Alors c’est pour cela qu’aujourd’hui, nous voulons vous parler de la sécurité et des dangereux méchants qui veulent nuire à ce magnifique outil qu’est Internet.

 

Tout d’abord, que signifie le mot « Hacking » ?

 

Hacking : traduisez « piratage », est en réalité le fait de détourner un élément de son action principale. On parle aussi dans le domaine de la santé de Health Hacking, qui est un rassemblement visant à trouver de nouvelles opportunités d’innovations. En Marketing, quand on veut accélérer de manière rapide et significative la croissance d’une start-up, on parle de Growth Hacking.

 

Alors quelles sont les différentes astuces des Hackers ?

 

Spam et contamination

Le Spam ou courriel indésirable est une communication électronique non sollicitée. Le plus souvent utilisé à des fins commerciales et publicitaires, il est également la principale source de contamination.

Comme le Phishing (voir plus bas) certains spams se font passer pour votre banque, votre fournisseur d’accès à internet, etc… afin que vous ouvriez la pièce jointe du mail.

Une fois ouverte cette dernière lance un mini programme qui va contaminer votre ordinateur de plusieurs façons possible :

Le Virus : Le plus classique, le mini-programme contamine votre ordinateur rendant son utilisation difficile voire impossible

Le Spyware : le mini-programme va donner à votre insu (invisible donc) l’accès à vos données et même à votre webcam au hacker

Le Ransomware : Le plus en vogue, le mini-programme va crypter vos données et vous demander une rançon afin de pouvoir décrypter vos fichiers. Même après paiement il est rare que le pirate envoie effectivement le code de décryptage.

Le Rootkit ou outil de dissimulation d’activité : Le mini-programme va donner un accès invisible à votre machine au pirate. Ce dernier va alors pouvoir l’utiliser à sa guise sans que vous ne vous en aperceviez.

On parle également de machine zombie ou botnet (voir plus bas), le pirate pourra alors utiliser votre ordinateur pour se connecter à internet et lancer des cyber attaques

 

Adware et contamination

L’Adware : C’est un logiciel gratuit qui affiche de la publicité lors de son utilisation pour rémunérer le développeur. Il est composé d’un partie utile (jeux ou logiciel utilitaire) et d’une partie qui gère l’affichage de la publicité.
Sur le principe rien de bien méchant sauf que beaucoup d’Adware accèdent à vos données pour faire de la publicité ciblée.

Dans le pire des cas l’installation de l’Adware cache l’installation d’un programme malveillant comme cité plus haut.

 

Quelques différentes formes d’arnaque

Le Phishing : arnaque consistant pour les fraudeurs à se faire passer, par mail (ou sur un site internet) pour le fisc, la sécu, votre banque ou autres grandes marques. Ces mails ressemblent souvent à des mails officiels utilisant les vrais logos de la marque.

L’usage de grande marque tel que Free : sous la marque du géant des communications, les hackers vous envoient un mail de « facture impayée » dans le but de vous orienter vers un paiement illicite sur PayPal. Pour l’éviter, méfiez-vous des adresses provenant de pays étrangers (exemple : contact@free.de). En effet, Free ne demande jamais de paiement par Carte de crédit et leurs mails finissent par « .fr ».

De même pour EDF : sous un logo identique, vous recevrez un message vous notifiant d’un refus de paiement. Leur but de subtiliser des données de carte bancaire. Il faut regarder l’émetteur qui doit se terminer par @edf.fr ou par @relation-client-edf.com, s’il s’agit réellement d’EDF.

 

Exemple :

On reçoit un mail de la société Générale

1er Réflexe : Vérifier l’adresse mail !

Le nom de domaine (internet) est généralement protégé par les marques, ainsi personne ne peut vous envoyer de mail depuis une adresse @societegenerale.fr ou socgen.com.

On se rend souvent compte de l’arnaque quand le mail est « bidon ».

Cliquez donc sur le nom de l’expéditeur du mail pour afficher son adresse (comme ci-dessous)

sg-f1

Si c’est bien une arnaque, le lien contenu dans le mail vous emmènera sur un faux site web afin de récupérer vos informations.

Pensez à vérifier l’adresse du site internet qui devrait vous mettre la puce à l’oreille.

sg-f2

 

Le but recherché par les pirates est que vous saisissiez votre identifiant ainsi que votre code secret afin de les enregistrer et ensuite pouvoir effectuer des opérations sur votre compte.

 

Notre conseil : Ne donnez jamais d’informations vous concernant, et ne cliquez sur aucun lien sans avoir vérifié au préalable l’identité de l’envoyeur ou du site internet. Dans ce cas précis, contactez directement votre conseiller bancaire pour être sûr de la véracité du mail reçu.

 

Le vishing (mélange de voice & phishing), par exemple Chronopost : les pirates essayent de vous faire utiliser leur numéro surtaxé pour récupérer un colis, sous le nom de la marque spécialisée dans la livraison. Cependant, Chronopost utilise des numéros surtaxés commençant par 0825 et non 0899.

 

Les faux sites de trading en ligne : + de 10 000 victimes par an. En effet, sur ces sites, les gains sont attirants et l’inscription souvent gratuite. Le but est que vous donniez vos coordonnées bancaires.

 

Et enfin, le plus classique d’entre tous : l’alerte au virus. Un faux message vous disant que votre ordinateur est en danger et qu’il faut ABSOLUMENT installer leur anti-virus. Ne cliquez surtout pas, c’est le meilleur moyen pour que votre ordinateur tombe réellement malade !

 

Comment savoir si un site est sécurisé ?

 

Comme illustré dans l’exemple du phishing avec Société Générale il faut commencer par vérifier si le site n’est pas « bidon »

Cependant des pirates confirmés pourraient utilisé une adresse proche de celle de la marque en utilisant par exemple www.societegenerale.nz à la place de www.societegenerale.fr

Alors comment être certain qu’on est bien sur le site officiel ?

 

Deux niveaux de sécurité existent :

Le premier : https littéralement « protocole de transfert hypertexte sécurisé ».

Il permet au visiteur de vérifier l’identité du site web auquel il accède, grâce à un certificat d’authentification émis par une autorité tierce, réputée fiable (et faisant généralement partie de la liste blanche des navigateurs internet). Il garantit théoriquement la confidentialité et l’intégrité des données envoyées par l’utilisateur (notamment des informations entrées dans les formulaires) et reçues du serveur.

 

En pratique le https se manifeste par un petit cadenas vert :

https-blog

Le second étant le certificat d’authentification à validation étendu (SSL EV).

Il permet au visiteur d’être assuré que l’exploitation du site internet est bien réalisé par la société du même nom. Afin de l’obtenir les entreprises doivent fournir des certificats de toutes sortes et notamment des certificats émis par sa banque. C’est un des certificats les plus sécuritaire sur le web actuellement

Il se manifeste également par un cadenas vert et par le nom de la société également en vert avant l’adresse du site.

sg-secure-cv

uy-secure-cv

 

 

Le casse-tête des mots de passe

 

Histoire de Mark Zuckerberg : Le PDG de Facebook s’est fait piraté l’année dernière son compte Twitter et Pinterest par le groupe d’hacker OurMine (les pirates du compte twitter du PDG de Google – Sundar Pichai – et d’un des cofondateurs de Twitter – Jack Dorsey). Ils ont utilisé la base de données volée à Linkedin en 2012. Mark Zuckerberg a révélé utiliser le même mot de passe pour Twitter, LinkedIn et Pinterest : « dadada ».

Comme le confirme notre Updater Julien : « En négligeant la sécurité des mots de passe, vous laissez la porte ouverte à votre vie privée et numérique ». Mais alors comment choisir entre multiplier des mots de passe complexes ou préférer la simplicité avec un mot de passe de type « dadada ». Le vol de mot de passe est un des actes de cybercriminalité le plus régulier, devançant l’escroquerie à la Carte Bancaire (comptant quand même 1,1 million de victimes en 2015).

 

Sachez que sur le Dark Web, pour moins de 5€ vous pouvez acquérir 10 000 comptes de messagerie.

Update You vous conseille d’éviter les mots de passe plutôt évidents tels que « 123456 » ou votre prénom. Pour vous assurer d’avoir un mot de passe difficile à hacker nous vous conseillons d’utiliser des éléments de ponctuation : « , », « ? », « – » ou  encore des chiffres mélangés avec des majuscules et minuscules. Pour être sûr de votre mot de passe, testez-le, en tout sécurité, ici : https://www.avast.com/fr-fr/f-password-manager

 

  • Le conseil d’Update You : ne pas avoir le même mot de passe pour tous vos comptes. Choisissez des mots de passe complexes : avec des chiffres, des majuscules et des mots n’existant pas dans le dictionnaire par exemple. Essayez de changer vos mots de passe assez régulièrement (tous les 4 mois)
    • Les 10 mots de passe les plus courants (à ne pas utiliser) :
      1. 123456
      2. 123456789
      3. qwerty
      4. 12345678
      5. 111111
      6. 1234567890
      7. 1234567
      8. password
      9. 123123
      10. 987654321

 

Le « Saviez-vous ? »

 

  • Saviez-vous qu’il existe plus de 83 millions de faux profils sur Facebook ?
  • Saviez-vous que lorsque vous restez connecté à Facebook, le réseau social sait les autres pages que vous consultez ?
  • Saviez-vous qu’en suivant la bonne procédure : opposition, contestation par lettre recommandée, etc… la banque est tenue de vous rembourser ?
  • Saviez-vous que plus d’1 millions de français sont victimes d’une fraude à la carte bancaire chaque année ?
  • Saviez-vous qu’il suffit de 35 dollars pour récupérer les données d’une carte bancaire premium sur le dark net ?
  • La webcam des objets connectés se fait souvent piratée. Avec ceci, un hacker peut donc voir tout ce que vous faites face à votre ordinateur. Un post-it, ou un pansement sur la caméra est un bon réflexe pour protèger votre vie privée.

 

Alors Comment vaincre les ennemis de votre e-réputation ?

 

  • Usurpation d’identité ? Signaler sur le réseau social l’usurpation d’identité. La plateforme devra alors supprimer le profil, s’il persiste, nous vous conseillons de porter plainte puisque ceci est un délit pénal.
  • Les anciens avis trip advisor bloquent votre développement ? : Le géant des avis internet est situé au Massachussets, votre avocat doit donc vous assigner là-bas. Montrer que les avis sont diffamatoires pour les faire retirer. Certains avocats peuvent vous conseiller en dernier recours de générer de faux avis positifs pour noyer les anciens commentaires (solution illégale)
  • Vous faites l’objet d’un chantage ? Contacter un avocat qui contactera les maîtres chanteurs. Le but étant d’obtenir la neutralisation de leur réseau internet.
  • Votre enfant est critiqué sur les réseaux sociaux ? Pensez à contrôler les paramètres par défaut de la plateforme. Votre enfant peut être soutenu par téléphone 0 800 200 000 (Numéro vert national). Si le problème persiste, il serait préférable d’en parler avec les parents d’élèves ou le professeur principal.

 

Mais qu’est-ce qu’une cyberattaque ?

 

Pour terminer cet article, nous allons vous schématiser une cyberattaque :

quest-ce-quune-cyberattaque-001

 

 

Alors si vous avez un problème informatique ou que vous êtes soucieux de votre sécurité numérique, faites appel à Update You : www.udpateyou.fr

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *