Internet et vous - ARC®

Vous avez probablement entendu parler de 'phishing', de piratage, de virus, d'arnaques à la CB... Toutes ces choses que, vous vous dites, ne vous atteindront pas. Parce que vous être protégé, parce que vous n'avez pas besoin des 'services' (téléchargement, porno...) qui répandent ces terribles choses...

blog.waaaouh.com*

De nos jours, les gangsters du Net redoublent d'ingéniosité et exploitent bien des failles du fonctionnement de base de l'Internet pour voler les informations vous concernant. Quel intérêt? Simplement, vos informations valent cher.

Le danger de « Fesse-Boot »

Vous avez décidé de vous inscrire sur un réseau de contenu (appelons-le Fesse-Boot), où toutes vos connaissances sont déjà inscrites. Afin de vraiment montrer que c'est bien vous, ou d'aider vos correspondants à vous contacter plus aisément, vous mettez votre numéro de téléphone, votre adresse réelle, votre adresse e-mail professionnelle... Et parce que vous ne voulez pas que le premier pékin qui passe puisse les récupérer, vous restreignez ces informations sensibles à « ami seulement ».

Et puis, un jour, vous recevez un message de 'Babette Dupras' qui veut devenir votre amie; vous aviez connu une Babette dans le temps, qui a pu se marier... Donc vous l'autorisez.

Et vos informations sont automatiquement enregistrées dans un paquet de bases de données marketing, avec ce qui va avec:

Ben oui – Babette n'était pas votre vieille copine, c'était une forme de 'phishing' très basique qui a pu récupérer toutes vos données secrètes Fesse-Boot. Et en l'acceptant, vous avez fait gagner quelques Euros à un pirate qui a vite revendu vos informations privées à des annonceurs chez qui vous aurez bien du mal à faire appliquer la loi Informatique et Liberté du 6 janvier 1978 (le droit de consulter, modifier ou supprimer toute information à caractère personnel dans un fichier informatique)...

C'est juste gênant, me direz-vous. Peut-être.

Mais dans le même genre, si vous racontez votre vie sur Fesse-Boot, comme quoi vous vous êtes payé un coupé sport avec le trop-plein de votre crédit immobilier, ou que vous avez mis un peu d'argent en Suisse, et qu'une agence de recouvrement (ils ont encore moins de scrupule que les annonceurs) accède à votre profil Fesse-Boot, ils vont s'en servir.

Vous faire chanter.

Et comme, à ce moment-là, vous serez probablement en position de vulnérabilité, vous n'aurez pas la présence d'esprit de vous défendre. Rigolez pas, pour le moment vous êtes en confiance et détendu, vous vous dites 'faudrait vraiment être stupide'... Mais, tendu et stressé, tout le monde fait des choses stupides. C'est humain.

Mais mes amis mettent tout ce qui les concerne, et il ne leur est rien arrivé!

Pas encore. Mais plus vous vous mettez à découvert sur Internet, et plus vous courez de risques. Par exemple, si vous renseignez toutes les les informations vous concernant, cela peut aider un pirate à récupérer votre question de sécurité en cas de perte de votre adresse e-mail, donc de récupérer votre mot de passe... et donc de se faire passer pour vous. Auprès de vos amis, de votre employeur, de votre banque, des Impôts...

Et d'après l'HADOPI, et grâce à une splendide pirouette législative, en cas de piratage de votre ordinateur ou de vos comptes e-mail et d'utilisation de ceux-ci à des buts frauduleux, vous êtes contrevenant (autant dire coupable, les recours étant dans les faits inapplicables) jusqu'à preuve du contraire.

Les artistes du 'phishing'

On a parlé du phishing, plus haut; en anglais, le verbe pêcher (« aller à la pêche ») se dit to fish ; et le 'phishing', déformation de 'fishing' (c'est tout comme, mais c'est pas pareil), signifie 'la pêche' – et vous êtes le poisson.

La technique de base est simple: vous recevez un message, qui semble provenir d'un site que vous connaissez, et qui vous demande de renseigner vos informations personnelles pour garder votre compte à jour. En fait, le site est une copie, et vous renvoyez des informations somme toute confidentielles à des gens qui vont en faire n'importe quoi – comme dans l'exemple Fesse-Boot ci-dessus.

Après, l'efficacité du phishing dépend du degré de perfection de la copie; meilleure est celle-ci, plus les informations demandées pourront ne pas éveiller les soupçons.

Et certaines personnes n'hésitent pas à renseigner leur numéro de carte bancaire, numéro de sécurité et clé de retrait compris, lorsque le phishing est suffisamment convaincant...

Comment détecter un phishing?

Nous autres Européens avons un petit avantage: nous ne parlons pas Américain (les Anglais et Suédois sont un peu plus concernés). Résultat, la plupart des copies 'à la petite semaine' nous sautent aux yeux. Celles-ci étant souvent faites par des Africains, des Chinois ou des Européens de l'Est, il y a fréquemment des fautes de grammaire et d'orthographe (parfois grossières) dans ces invitations bidon. Une telle invitation est donc visiblement fausse.

Mais pas toujours! Alors quoi?

Vous pouvez vérifier l'adresse réelle de la page Web vers laquelle vous allez être redirigé. Comme sur n'importe quel lien, ce que vous voyez écrit à l'écran ne correspond pas à l'URL exacte chargée par votre navigateur – mais celui-ci vous affiche, en général en bas à gauche de la fenêtre, cette adresse réelle. Si celle-ci ne correspond pas du tout à ce qu'annonce le site (par exemple, si 'Orange' vous demande d'aller sur http://tikpapko.freehosts.cn, ou encore mieux, http://215.67.88.251), c'est plus que probablement un phishing. Mais certains parviennent à déguiser cette adresse: allez faire la différence entre http://www.0range.fr et http://www.orange.fr! C'est moins facile. Et lorsqu'on sait que le 'e' russe a la même forme que le 'e' latin, sans être le même caractère, c'est encore moins visible. Un 'simple' remède est donc de retaper soi-même l'adresse de la page sur laquelle on veut aller (pas un copier-coller, mais vraiment se repalucher la chose).

Ce n'est pas tout!

En règle générale, une demande de modification de vos informations personnelles doit être faite via une page cryptée, s'il y a identifiant de connexion (login) et mot de passe dans l'affaire (dans le cas où il s'agit d'une première demande d'information, le cryptage n'a pas vraiment d'effet - c'est par exemple le cas de notre formulaire); votre navigateur Internet vous dit quand vous êtes sur une telle page, et tous ont généralisé un système d'alerte commun: le début de la barre d'adresse s'allonge, change de couleur et indique qui a 'signé' numériquement le contenu de la page. Lorsque vous cliquez sur ce carré de couleur, il vous affiche alors la 'chaîne de sécurité' de cette signature: bien qu'il soit tout à fait possible de signer soi-même une page, les navigateurs ne reconnaissent que les signatures de page faites par des organismes officiels qui ont eux-mêmes leur signature. Ils afficheront d'ailleurs un avertissement si la page est auto-signée, ou s'il y a un doute quant à la chaîne de sécurité. Une page correctement signée est en général sûre – mais il y a un risque de contrefaçon de signature!

Une signature contrefaite est difficile à détecter; certains systèmes de cryptage sont encore sûrs, mais d'autres moins. Vérifiez que votre navigateur:

SSL sous Firefox

Dites, c'est compliqué... il n'y a pas d'anti-phishing? J'en vois plein dans les pubs!

Pas faux. La totalité des navigateurs actuels utilise des listes de sites de phishing. Celles-ci sont maintenues à jour par des spécialistes, et on en connait deux grandes:

Ces listes sont régulièrement agrandies, et votre navigateur télécharge constamment les mises à jour. Cependant, ce sont des vérifications après coup! Il peut arriver que ces listes ne comportent pas encore l'adresse de la fausse page de phishing qui vous est envoyée, et vous reposer uniquement sur eux est dangereux!

Donc, si j'ouvre les yeux, que j'ai un anti-phising installé et que je rentre manuellement les adresses des sites sur lesquels je vais, je suis en sécurité?

Plutôt – vous n'avez rien à craindre du phishing à la petite semaine. Il y a quand même des possibilités de faire passer un site frauduleux pour le vrai, en faisant de la redirection de trafic: en raison de la structure même de l'Internet, un site peut se substituer à un autre et avoir l'air vrai. Il s'agit le plus souvent d'attaques de 'DNS poisoning' (empoisonnement de serveur de noms de domaine), pratiquement indétectables.

Ah. Vigilance constante, donc. Mais si je suis vigilant, j'ai peu à craindre, pas vrai?

C'est un bon début. Faites également attention à ce que vous mettez sur Internet! Rien ne se perd sur la Toile, et vos fesses à l'air de colo en 1995, une fois numérisée, pourront revenir vous hanter en 2015 alors que vous postulez pour un emploi prestigieux...

En règle générale, il convient de faire attention à ce que vous mettez sur Internet; les sites de contenu peuvent décider de changer leurs règles de conservation des données (et les revendre – qu'importe qu'on puisse les attaquer en justice, quand bien même c'est possible le mal est fait), ou se faire pirater.

Par Jean-François Fournier

.


Jean Francois Fournier - Ancien banquier


Lexique des termes économiques utilisés par l'ARC Rachat de Crédits - Rechercher des articles

Liens - 2 - 3 - immobilier
Régional - professionnels
Refannu - Maxibottin

Nous écrire
W3C | XHTML | CSS | RSS Valide