Se protéger contre les tentatives d'hameçonnage

Vous pensez que le hameçonnage est passé de mode ? Détrompez-vous. Malgré l'amélioration des filtres anti-spam, le  Anti-Phishing Working Group  rapporte une augmentation de 18 % des signalements d'hameçonnage (phishing en anglais) au quatrième trimestre 2014, et les experts en sécurité prédisent que l'augmentation va se poursuivre en 2016. L'hameçonnage reste une tactique en vogue pour voler des informations sensibles comme les mots de passe, les codes de sécurité et les numéros de carte bancaire, ainsi que pour infecter les appareils personnels et les systèmes d'entreprise avec des logiciels malveillants. Même les comptes LastPass peuvent être la cible de tentatives d'hameçonnage. Se protéger contre l'hameçonnage repose à la fois sur une détection plus sophistiquée par les logiciels que nous utilisons, et sur une meilleure préparation individuelle en tant que première ligne de défense contre les attaques. Voici comment LastPass combat l'hameçonnage, et ce que vous pouvez faire pour renforcer vos capacités de détection et protéger vos informations les plus sensibles si vous êtes pris en défaut.

Qu'est-ce que l'hameçonnage ?

Les tentatives d'hameçonnage peuvent prendre différentes formes. Il peut s'agir d'e-mails qui se font passer pour votre banque et qui vous demandent de confirmer des mouvements sur votre compte. Ou de fausses factures vous incitant à télécharger une pièce jointe pour confirmer votre commande. Ou encore de publicités ou de liens infectés sur les réseaux sociaux. Les pirates peuvent même aller jusqu'à vous rediriger vers une page de connexion qui ressemble comme deux gouttes d'eau aux sites de confiance que vous utilisez tous les jours. Le harponnage est encore plus ciblé. Les pirates envoient des e-mails qui semblent provenir d'un collègue ou d'un supérieur, voire de votre service informatique. Ils contiennent des demandes qui semblent justifiées en exploitant ce qu'ils ont appris sur vous, afin de solliciter des informations supplémentaires, ou de vous inciter à télécharger un fichier malveillant ou à virer des fonds.  

Comment détecter les tentatives d'hameçonnage

De nombreuses tentatives d'hameçonnage sont faciles à détecter, tandis que d'autres sont bien plus sophistiquées. Il convient donc de s'armer d'une bonne dose de méfiance pour identifier les e-mails, liens et notifications suspects. Voici comment détecter une tentative d'hameçonnage de base :

• Vérifiez l'URL : Vérifiez la barre d'adresse du site web que vous avez ouvert, ou survolez un lien pour afficher l'URL dans le coin inférieur gauche de la fenêtre de votre navigateur pour confirmer qu'il s'agit d'un lien de confiance avant de cliquer. Dans le cas de LastPass par exemple, vous verrez toujours https://lastpass.com ou https://sousdomaine.lastpass.com. Alors qu'une URL frauduleuse prendra par exemple la forme http://lastpass.autredomaine.com. Dans ce cas, le véritable domaine est en fait « autredomaine.com », et il convient donc de l'éviter. [caption id="attachment_48365" align="aligncenter" width="320"] Image credit: Lifehacker

• Vérifiez le destinataire : Méfiez-vous des e-mails adressés à « Cher client, chère cliente » ou sans salutation. De nos jours, la majorité des commerçants connaissent votre nom. En revanche, les tentatives de harponnage vous sont souvent adressées personnellement, donc il ne s'agit pas d'une précaution infaillible.

• Lancez un site web manuellement : Si vous n'êtes pas sûr, ouvrez tout simplement un nouvel onglet ou une nouvelle fenêtre dans votre navigateur, et tapez l'URL manuellement (ou lancez-la depuis votre gestionnaire de mots de passe), pour confirmer que vous arrivez sur un site de confiance.

• Vérifiez si votre gestionnaire de mots de passe insère des identifiants : LastPass peut vous protéger de l'hameçonnage en ne remplissant pas automatiquement vos identifiants sur les faux sites. Puisque le domaine ne correspond pas au domaine stocké par LastPass, vos données ne sont pas insérées. Vérifiez l'URL si cela se produit.

• Freinez si on vous incite à agir en urgence : Tout ce qui vous incite à agir immédiatement peut être une tentative de manipulation pour que vous agissiez sans réfléchir.

• Posez-vous des questions : Ai-je demandé à cette personne de m'envoyer une pièce jointe ? Est-ce qu'il s'agit de quelque chose d'inhabituel de la part de l'envoyeur ? En cas de doute, restez méfiant et posez tout simplement la question.

• Vérifiez la présence de HTTPS:// et du cadenas : Lorsque vous consultez un site web, vérifiez toujours dans la barre d'adresse que vous vous connectez de manière sécurisée avec le protocole HTTPS, et que l'icône de cadenas est bien présente, ce qui signifie que le site a été validé par une autorité de certification tierce. 

Lorsque votre gestionnaire de mots de passe est la cible de l'hameçonnage

Les tentatives d'hameçonnage ne sont plus limitées aux e-mails malveillants, aux pubs et aux liens sur les réseaux sociaux. Certaines attaques peuvent même essayer de cibler les extensions utilisées par votre navigateur, et même de se faire passer pour un gestionnaire de mots de passe. Par exemple, un site malveillant peut imiter votre extension de navigateur en affichant des notifications qui vous demandent des informations, comme votre nom d'utilisateur, mot de passe et code d'authentification à deux facteurs. Ce n'est pas toujours évident de savoir si les notifications proviennent du site malveillant plutôt que de votre extension de navigateur..

Comment LastPass vous protège des tentatives d'hameçonnage

• Avertissement que le mot de passe maître a été saisi ailleurs que sur le site LastPass : LastPass affiche un avertissement bien visible, même avant d'envoyer votre mot de passe maître à une page, lorsque vous tentez de saisir votre mot de passe maître ailleurs que sur le site de LastPass. Vous savez donc immédiatement que votre mot de passe maître a peut-être été compromis, ce qui vous permet de le modifier.

• Vérification obligatoire des connexions depuis des lieux ou des appareils inconnus : LastPass exploite un processus de vérification obligatoire lorsque vous tentez de vous connecter depuis un lieu ou un appareil inconnu. Si vous entrez à votre insu votre mot de passe maître et vos données d'authentification à deux facteurs, toute tentative par le pirate d'exploiter ces données sera mise en échec par les étapes de vérification par e-mail. Il faudrait que le pirate ait également accès à votre compte e-mail, qui peut également être protégé par authentification à deux facteurs. Si vous recevez une demande vérification que vous n'avez pas initiée, vous pouvez tout simplement l'ignorer et changer votre mot de passe maître dans les réglages du coffre-fort LastPass.

• Empêchez la déconnexion : Bien qu'une page malveillante pourrait afficher une fausse notification LastPass indiquant que vous avez été déconnecté et que vous devez vous reconnecter, vous pouvez vérifier si vous êtes toujours connecté à l'extension LastPass, et ne vous connecter que par l'intermédiaire de l'extension.

En plus de ces protections, nous encourageons Google et les éditeurs d'autres navigateurs à nous aider à renforcer la sécurité des utilisateurs en offrant des moyens sécurisés d'afficher des notifications à l'extérieur de la fenêtre du navigateur.

Ce que vous pouvez faire pour protéger votre compte LastPass

En plus des mesures de sécurité que nous avons mises en œuvre, vous pouvez sécuriser votre coffre-fort en adhérant aux bonnes pratiques suivantes :

• Connectez-vous exclusivement via l'extension LastPass. Le moyen le plus sûr de se connecter à LastPass est de cliquer sur l'icône de l'extension dans la barre d'outils de votre navigateur. 

• Ne réutilisez jamais votre mot de passe maître. La réutilisation de votre mot de passe maître augmente le risque que quelqu'un puisse voler votre coffre-fort. Utilisez toujours un mot de passe maître unique pour LastPass, et n'ignorez pas notre avertissement si vous saisissez votre mot de passe maître ailleurs que pour vous connecter à LastPass.
• Ne téléchargez pas LastPass de n'importe où. Veillez à ne télécharger LastPass que sur LastPass.com ou depuis les boutiques en ligne fournies par votre navigateur ou appareil. N'utilisez jamais les sites de téléchargement tiers, et soyez prudent sur les boutiques d'extensions qui peuvent proposer des choix qui ressemblent à LastPass, mais qui proviennent d'un autre éditeur et n'ont pas d'avis ou de notes.
• Ne partagez jamais votre mot de passe maître. L'équipe LastPass ne vous demanderajamais votre mot de passe maître. Méfiez-vous de toute personne qui prétend représenter LastPass et vous demande votre mot de passe maître. Ne divulguez jamais votre mot de passe. Jamais.
• Ajoutez l'authentification à deux facteurs. La sécurité repose sur la superposition de couches de protection qui diminuent les risques. L'authentification à deux facteurs exige une deuxième information avant que l'accès à votre compte soit accordé. Bien qu'il ne s'agisse pas d'une solution miracle, elle contribue grandement à la protection de votre compte.
• Protégez votre compte e-mail avec un mot de passe fort et l'authentification à deux facteurs. Votre compte e-mail contient généralement les clés de votre royaume. Protégez-le comme si votre vie numérique en dépendait, car c'est probablement le cas. LastPass peut générer un mot de passe fort mais « prononçable » pour votre e-mail que vous pourrez toujours mémoriser, si vous préférez. Et activez systématiquement l'authentification à deux facteurs si votre fournisseur la propose.

Assurer notre sécurité en ligne doit être un engagement fort, continu et partagé. Tout comme LastPass s'engage à améliorer notre produit lorsque de nouvelles menaces émergent, et à collaborer avec la communauté des chercheurs en sécurité pour renforcer notre produit. Et en tant qu'utilisateurs, nous devons également nous engager à respecter les bonnes pratiques en matière de sécurité.