Pour la plupart des gens, l’utilisation d’Internet d’une manière ou d’une autre est devenue aussi incontournable que conduire une voiture. Ces deux activités présentent des risques inhérents. Et selon la Cybersecurity and Infrastructure Security Agency des États-Unis, un foyer sur trois disposant d’un ordinateur est infecté par un logiciel malveillant. Et 65 % des Américains qui se connectent à Internet sont la cible d’au moins une escroquerie en ligne. Mais de la même manière que l’on peut apprendre la conduite défensive, l’on peut apprendre à identifier et éviter les cyberattaques pour se protéger, et protéger ses données, des acteurs malveillants.
Bien que de nombreuses cybermenaces peuvent être bloquées automatiquement par des services antivirus, des pare-feu ou d’autres mesures de protection, les cybermenaces les plus dangereuses exploitent souvent le facteur humain pour contourner ces défenses automatisées. Certaines attaques peuvent prendre la forme d’une interaction directe avec la victime (dans le cadre de ce qu’on appelle l’ingénierie sociale), tandis que d’autres tendent des pièges et attendant qu’un utilisateur peu méfiant morde à l’hameçon (il peut s’agir par exemple de fausses applications provenant de sources non officielles). Nous allons aborder les deux types de menaces et la manière de les éviter. Nous allons également aborder la réutilisation des mots de passe, les risques qu’elle présente et la manière d’éviter cette erreur.
Ingénierie sociale
L’ingénierie sociale est une expression utilisée pour décrire un vaste éventail d’activités malveillantes, mais dont l’approche de base reste la même : interagir directement avec la victime (par e-mail, par SMS, par téléphone ou d’autres moyens) afin de leur soustraire des informations sensibles ou de les inciter à interagir avec un site web conçu pour installer un logiciel malveillant sur leur ordinateur. Si toutes ces méthodes exploitent le facteur humain, elles sont nombreuses et les signaux d’alerte varient tout autant. Alors découvrons les principaux types d’ingénierie sociale. Hameçonnage ou phishing Il s’agit de la forme de cyberattaque la plus courante, avec environ 3,4 milliards d’e-mails d’hameçonnage envoyés chaque jour. Ces e-mails conçus pour ressembler aux messages d’expéditeurs légitimes exploitent différents types de tactiques ou d’approches ou « d’appâts », afin de tromper le destinataire et l’inciter à interagir avec le message. Ces appâts peuvent exploiter des événements récents, comme des jours fériés ou des catastrophes naturelles, pour attirer l’attention, ou ils peuvent prétendre provenir d’une entreprise vous prévenant que votre compte a été piraté, ou inclure une fausse « facture » pour un achat important, vous indiquant qu’il ne vous reste que peu de temps pour le contester. Ces courriels sont conçus pour exercer une pression psychologique sur le destinataire afin qu’il réponde, soit par intérêt, soit pour s’assurer qu’il n’est pas victime d’une escroquerie tierce. Comment se protéger des attaques par hameçonnage Jusqu’ici, les fautes de grammaire et d’orthographe étaient un moyen simple de détecter les e-mails d’hameçonnage. Toutefois, avec l’essor de ChatGPT et d’autres grands modèles de langage, les acteurs malveillants peuvent désormais rédiger des courriels aussi convaincants que grammaticaux, et qui sont donc beaucoup plus difficiles à détecter. Il convient donc d’aborder tous les e-mails qui ne proviennent pas d’expéditeurs de confiance avec prudence, et d’adhérer aux meilleures pratiques suivantes :- Vérifiez l’adresse d’expédition complète de tout e-mail qui vous demande de cliquer sur un lien ou d’appeler un centre de service clientèle. Par exemple, vous pouvez recevoir un e-mail d’une entreprise connue, mais en vérifiant l’adresse e-mail de l’expéditeur, vous apercevoir qu’il provient d’un autre domaine, comme dans l’exemple ci-dessous :
- Ne cliquez jamais sur un lien dans un e-mail qui provient d’un expéditeur inconnu.
- Dans le doute, contactez directement l’entreprise qui a prétendument envoyé le message, et utilisez des informations de contact disponibles sur le site web de l’entreprise pour confirmer que le message est légitime.
- Laissez votre gestionnaire de mots de passe vous aider. Si votre gestionnaire de mots de passe est réglé pour préremplir les identifiants mais qu’il ne le fait pas sur le site que vous visitez, il peut s’agir d’un site d’hameçonnage.
- Lorsque vous ne reconnaissez pas un numéro de téléphone, laissez l’appel aller à la messagerie.
- Contactez directement l’entreprise dont se réclame l’appelant pour vérifier que l’appel est légitime. Appelez un numéro publié sur le site de l’entreprise ou de l’organisation, pas un numéro fourni par l’escroc potentiel.
- Ne répondez pas et ne cliquez jamais sur les liens dans les SMS non sollicités
- Contactez l’expéditeur directement avant d’agir.
- Supprimez et si possible signalez les SMS frauduleux auprès de votre opérateur et/ou à l’entreprise dont le message prétend provenir.
Applications malveillantes
Certains acteurs malveillants développent des applications qui ressemblent à celles de marques connues et réputées pour tenter de dérober des informations et/ou d’installer un logiciel malveillant sur l’ordinateur ou l’appareil mobile de l’utilisateur. Ces applications sont souvent en apparence identiques aux applications officielles et peuvent être difficiles à détecter. Toutefois, voici quelques mesures qui permettent d’éviter de tomber pour un de ces clones :- Utilisez uniquement les sites de téléchargement officiels, comme l’App Store d’Apple ou Google Play.
- Vérifiez le développeur de l’application. Par exemple pour LastPass, le développeur est LogMeIn, Inc. sur l’App Store d’Apple et GoTo Technologies sur Google Play. Tout autre développeur ou éditeur serait le signe que l’application est probablement frauduleuse.
- Consultez la description de l’application à la recherche de fautes d’orthographe et de grammaire.