Aller au contenu

Limiter les risques de sécurité

Saksham Choudhary

Parmi les risques du numérique, il y a les plus connus : donner involontairement ses informations bancaires, se faire usurper son identité, mais aussi les moins connus : se faire demander une rançon ou tout simplement utiliser la puissance de calcul de votre ordinateur.

Quels sont les risques ?

Transmettre involontairement des données privées et personnelles à des tiers.

Si vous transmettez un login/mot de passe sans vous en rendre compte, il est souvent possible d’entrer dans différents sites avec les mêmes identifiants ou des identifiants proches. D’un compte à l’autre, le pirate peut avoir de plus de plus d’informations. S’il a accès à votre boîte mail, il peut réinitialiser la majorité de vos mots de passe, réutiliser votre identité pour des activités illégales ou utiliser vos informations bancaires.

Solutions : repérer les spams, les faux-sites, utiliser des mots de passe variés et complexes (et donc utiliser un gestionnaire de mots de passe)

Télécharger involontairement des logiciels néfastes sur son ordinateur

Ce que les logiciels font :

  • Les spywares sont souvent installés légalement en même temps qu’un autre logiciel que vous avez choisi d’installer volontairement. Quand vous acceptez les différentes installations, vous acceptez en même temps, parfois légalement, l’installation de ce petit logiciel annexe qui va espionner et transmettre vos informations personnelles à des tiers. C’est un modèle économique pour de nombreuses petites applications gratuites que vous téléchargez sur internet.
  • Les rançonwares sont des petits logiciels malveillants qui chiffrent l’intégralité de vos données. L’objectif : demander une rançon en échange de l’accès à vos informations.
  • Certains logiciels peuvent utiliser votre ordinateur pour envoyer du spam à d’autres personnes ou utiliser la puissance de calcul de votre ordinateur pour des opérations malveillantes. Si cela ne vous nuit pas personnellement, cela ralenti votre système.

Solutions : être prudent lorsque l’on reçoit des messages, qu’on navigue sur internet, qu’on télécharge et installe un logiciel.

Un botnet ?

Les pirates créent parfois des botnet. Il s’agit de la mise en commun d’un ensemble de machines piratées, dont le pirate contrôle les paramètres, et qu’il loue à des personnes qui souhaitent en faire un usage illégal (envoi de spams, mais aussi utilisation de la puissance processeur pour tester et casser des mots de passe, attaquer des sites internet, etc.). Il existe donc de petits logiciels très discrets qui peuvent avoir été installés sur votre ordinateur, qui impactent peu votre utilisation quotidienne et qui ne sont utilisés que lorsque le pirate en a besoin pour ses activités illégales.

Quand vous transmettez des informations, partez du principe que vos communications peuvent être lues.

Si jamais pour une raison ou pour une autre, vous devez donner un numéro de carte bancaire ou une combinaison login/mot de passe à quelqu’un, l’idéal est bien évidemment de voir la personne et de lui transmettre de vive voix. Malheureusement, ce n’est pas toujours possible. Ce que je vous conseille dans ces cas-là, c’est d’envoyer les informations via deux (ou trois) moyens de communication différents : le login par mail par exemple ; et le mot de passe par téléphone, SMS, Whatsapp, Signal ou une autre messagerie. Ainsi, si la connexion est interceptée, la personne devra être en possession de l’accès à deux circuits différents pour obtenir l’intégralité des informations, ce qui rend une attaque plus complexe. C’est d’ailleurs le principe utilisé par de nombreux comptes en ligne, notamment les banques, via le système de « double authentification ».

Un mot sur la double authentification des comptes bancaires

Si vous faites partie des personnes qui étaient bien contentes de la vérification des achats sur internet via SMS et sans avoir à télécharger l’application de votre banque, sachez que toutes les banques sont dans l’obligation de fournir un service alternatif à l’application pour s’authentifier sur internet. Elles vous le diront rarement et mentiront parfois pour obliger les clients à utiliser l’application. Il faudra être persuasif, mais légalement « les banques proposent ou doivent proposer des solutions alternatives comme l’utilisation d’un SMS à usage unique couplé à un mot de passe connu par le client », selon la Fédération bancaire française.

Merlin Lightpainting
Merlin Lightpainting

Les bons réflexes quand vous naviguez sur internet

Qu’est-ce que le HTTPS ?

On vous a peut-être déjà parlé du cadenas vert, à côté de d’adresse du site, qui est censé sécuriser l’accès à un site internet, que vous vérifiez peut-être par exemple lorsque vous entrez vos numéros de carte bleue sur internet. Ce cadenas est aujourd’hui gris. Il se situe sur la barre d’adresse en haut de votre navigateur web (image). Il signifie que la connexion est une connexion HTTPS. Kezako ?

Une connexion HTTP ; le http:// qu’il y a devant tous les sites internet ; cela signifie que l’on va chercher des informations sur internet.

HTTPS, c’est la même chose, mais avec S en plus. On va chercher des informations sur internet via une connexion sécurisée (d’où le « s » pour Secure – sécurisé en anglais). Le problème, c’est que comme nous le verrons tout bientôt, « sécurisé » ; ça ne veut tout dire et rien dire en même temps.

Ici, cela signifie qu’un chiffrement a été mis en place entre vous et le site internet. Mis à part vous et le site en question, personne ne peut avoir accès aux données que vous échangez – comme un numéro de carte bleue par exemple. c’est-à-dire que si quelqu’un a accès aux données que vous échangez – ce qui est le cas de votre fournisseur d’accès internet, ou le propriétaire de la box sur lequel vous vous connectez par exemple – il ne verra que des symboles qui n’ont aucun sens, et ne sera pas capable de lire les informations. Cependant… Cela ne valide pas que le site internet n’est tenu par un escroc. Il n’est pas très compliqué d’obtenir le certificat technique HTTPS. Donc si vous allez sur un site internet dont les propriétaires sont malhonnêtes, vous n’êtes pas en sécurité pour autant, même s’il y a un cadenas dans la barre d’adresse.

Le HTTPS reste quand même une sécurité qui permet de se prémunir en partie des personnes malveillantes. Il est aujourd’hui devenu la norme pour se connecter à internet. Cela explique pourquoi, quand vous naviguez sur le web, vous avez parfois des alertes vous disant que le site n’est pas sécurisé. S’il vous est demandé d’accepter une connexion HTTP, cela signifie que le gestionnaire du site n’a pas mis en place le protocole HTTPS et que les informations qui transitent pourraient être lus par un tiers. Cela n’est pas grave, mais à prendre en compte en fonction de ce que vous allez faire sur le site en question.

Vos achats en ligne

Les sites de ventes en ligne sont très nombreux, et parmi eux, certains sont des sites frauduleux qui n’existent généralement pas longtemps. S’il est plus facile de faire confiance aux sites reconnus (en évitant Amazon si possible, voir encadré), il est quand même parfois intéressant d’acheter sur des sites que l’on connaît peu ou moins – c’est notamment mon cas, lorsque je sais que je veux acheter un objet assez cher et que j’écume le net pour trouver des promotions ou déstockages. Même si je ne les connais pas, les sites auxquels je ferais confiance existent généralement depuis longtemps. Pour m’en assurer, je vérifie qu’ils cochent les cases suivantes :

  • ils ont pignon sur rue quelque part, dans l’idéal un magasin où je pourrais retirer mon colis ou découvrir leurs produits. S’ils n’ont pas de magasin, je vérifie à minima qu’ils ont un siège social en France. Je ne me contente pas de l’information sur leur site internet, mais je le vérifie également sur un site généraliste comme « Les Pages Jaunes ».
  • ils existent sur des annuaires des sites d’informations légales sur les entreprises type societe.com ; ils existent depuis plus de 2 ans, ont des employés et déclarent un chiffre d’affaire crédible. Pour trouver le nom « légal » de l’entreprise que vous recherchez, vous pouvez consulter la page « Mentions légales » qui doit apparaître sur tout site internet.

Une fois que vous êtes sûr que le vendeur n’est pas un vendeur fantôme et que vous avez trouvé le produit que vous souhaitez, quelques vérifications utiles :

  • Maintenant que vous pouvez le reconnaître, jetez un coup d’œil au nom de domaine, ainsi qu’à la connexion HTTPS pour vous assurer que vous êtes à l’endroit où vous souhaitez vous trouver et que vous partagez des informations chiffrées.
  • Vérifiez toujours les délais et la provenance de vos achats avant de passer commande. Certaines plateformes vous font acheter des produits en Chine sans que vous vous en aperceviez et vous devrez attendre parfois plusieurs semaines avant de recevoir votre colis – s’il ne faut pas, en plus, payer des frais de douane qui n’étaient pas prévus.
  • évitez de « garder en mémoire » les numéros de carte bleue sur les sites d’achat, cela évite que vos informations bancaires soient hébergées sur internet. En 2011, l’un des sites de Sony a été piraté permettant d’avoir accès aux données de 77 millions de comptes, dont des informations de carte bancaire (source); en 2021, pour faire la promotion de ses activités – bien évidemment illégales – de vente de données personnelles, un pirate a mis en ligne les informations de plus d’un million de cartes bancaires. Même « les meilleurs » peuvent se faire avoir. Du coup, si vous achetez régulièrement sur internet et que vous voulez gagner du temps, vous pouvez éventuellement ajouter vos informations bancaires dans votre gestionnaire de mots de passe qui ajoutera automatiquement les informations sur le site web. Ou vous pouvez aussi chercher à exercer votre mémoire et apprendre par cœur vos informations bancaires – je me suis toujours dit que je le ferais un jour. Enfin. Un jour…
Merlin Lightpainting

S’abonner au blog