Les risques sur Internet

LE PHISHING

Le principe
De l’autre côté de votre écran se cachent des fraudeurs qui n’ont qu’une idée en tête : vous faire ‘‘mordre à l’hameçon’’ et détourner les fonds de vos comptes bancaires.

+ Voir comment se déroule un phishing …

>> Vous recevez un e-mail
Ce message a l'apparence d'un véritable e-mail émis par une société commerciale, par exemple une banque.

>> Cet e-mail vous demande d'effectuer une opération
Par exemple vous connecter sur votre compte en ligne pour confirmer votre mot de passe, consulter vos nouveaux messages, ou faire une mise à jour de vos données personnelles.

>> Vous êtes dirigé vers un site identique à celui de votre banque
Ce site imite parfaitement son apparence, en général sous la forme de fausses pages de maintenance technique. Même l'adresse du site semble correcte.
Vous sont demandés votre identifiant, votre mot de passe, ainsi que, dans certains cas, d’autres données bancaires (carte bancaire par exemple).

>> L'escroc dispose désormais de toutes les informations pour accéder à vos comptes
Il est maintenant en mesure d'effectuer toutes les opérations que vous êtes vous-même autorisé à réaliser sur Internet.

Les différents types
On distingue plusieurs formes de phishing :
>> Les faux e-mails de banques
L'internaute est faussement informé que son compte risque d'être désactivé, qu’il a fait l’objet d’une tentative d’usurpation d’identité ou que de nouvelles mesures de sécurité sont mises en place.
Ce type de phishing est le plus répandu : l'accès aux comptes en ligne permet d'effectuer des virements à destination de fraudeurs.

>> Les faux e-mails des sites marchands
Les grands sites de e-commerce sont également ciblés car des numéros de cartes bancaires peuvent y être stockés. En effet, lors de vos achats, le site peut garder en mémoire votre numéro de carte bancaire pour vous éviter de le saisir à nouveau lors de vos prochaines connexions. Veillez à protéger vos mots de passe et évitez de mémoriser vos coordonnées bancaires sur Internet.

>> Le phishing par téléphone
Egalement appelé « vishing ». Des escrocs utilisent un téléphone pour tenter de récupérer les identifiants bancaires de leur victime.
Un e-mail ou un appel téléphonique, prétendument émis par votre banque, vous invite à contacter un serveur vocal censé appartenir à votre banque, sous de faux prétextes (erreur dans votre dossier, transactions inhabituelles). Le serveur vocal vous demande de vous authentifier. Ce serveur vocal, qui appartient au pirate, récupère ainsi vos codes d'accès. Le pirate peut alors effectuer des opérations sur votre compte, à votre insu.
Le malfaiteur ou un serveur vocal peut également vous appeler directement et vous demander de vous authentifier immédiatement, sous de faux prétextes.
La Banque Postale vous rappelle que vos codes d’accès sont strictement personnels et ne vous seront jamais demandés.

>> Le phishing par téléphone mobile
Le téléphone mobile est également un canal utilisé pour tenter de récupérer les identifiants bancaires des victimes.
Un SMS envoyé sur le téléphone mobile des victimes confirme leur inscription à un site Internet payant. Pour annuler cette transaction, le SMS leur demande de se désinscrire en se connectant à un site internet. Il s’agit d’un site pirate, qui va installer un cheval de Troie à leur insu et ainsi voler des informations personnelles (identifiants bancaires par exemple).
Vous pouvez aussi recevoir un message (SMS ou MMS) vous demandant de vous connecter à Internet depuis votre téléphone mobile (accès i-Mode ou WAP). Là encore, il s’agit d’un faux site qui récupèrera vos identifiants bancaires.

>> Le phishing par fax
Le fax est également utilisé pour récupérer les identifiants bancaires ou de compte PayPal des victimes.
Un e-mail, prétendument émis par PayPal ou par votre banque, vous informe qu'un pirate tente d'effacer le mot de passe de votre compte. L'e-mail, qui vise à s'assurer que votre mot de passe n'a pas été utilisé de manière frauduleuse, contient un formulaire à remplir avec vos identifiants et à renvoyer par fax.

>> Les fausses barres Google
La barre Google s'installe dans votre navigateur sous la forme d'une barre additionnelle. Elle octroie un accès direct au moteur de recherche et bloque les ouvertures de fenêtres intempestives.
Depuis le 5 Octobre 2005, une fausse barre du moteur propagée à partir de services de messagerie instantanée a pour objectif de récupérer les numéros de cartes bancaires.
Des liens proposant le téléchargement de l'application frauduleuse circulent actuellement sur les réseaux de messagerie. Une fois installée, rien ne distingue la fausse barre de la vraie. Cependant, la fausse barre génère à votre insu un programme espion nommé «World AntiSpy» qui récupère vos informations personnelles.

Les bons réflexes
o Méfiez-vous des demandes urgentes d’informations personnelles, que ce soit par e-mail ou par téléphone.
o Méfiez-vous des e-mails et des sites Internet en mauvais français contenant des fautes d’orthographe, des fautes de grammaire, des tournures de phrase inhabituelles, des caractères issus d’alphabets étrangers…
o Ne vous fiez pas à l’adresse de l’émetteur d’un message.
o Ne vous fiez pas aux informations personnelles contenues dans un e-mail ; celles-ci ont pu être dérobées à votre insu.
o Évitez de suivre les liens dans les e-mails. Préférez saisir l’adresse du site dans votre navigateur.
o Utilisez les fonctions anti-phishing des navigateurs et des anti-virus récents.
o Vérifiez régulièrement les opérations effectuées sur vos comptes.

+ Que faire si …
Si vous avez fourni des informations confidentielles, contactez rapidement votre centre financier.
o Transférez le mail reçu à l’adresse qui vous sera donnée par votre conseiller, puis détruisez-le.
o Si vous avez communiqué vos identifiant et mot de passe d’accès aux services en ligne, modifiez immédiatement votre mot de passe sur votre Espace Client Internet.
o Si vous avez communiqué des informations relatives à votre carte bancaire, faites opposition le plus rapidement possible.

LE VIRUS

Le principe
Le virus est un moyen pour les pirates de récupérer des données sensibles (coordonnées bancaires, adresses e-mails, identifiants).

+ Voir les différentes formes de virus …

>> Enregistrement des frappes de claviers : les pirates obtiennent tous les codes.

>> Faux logiciels antivirus : après leur installation, ils bloquent l’ordinateur et facturent le déblocage.

>> Relais : un pirate peut simplement utiliser votre ordinateur pour diffuser d’autres logiciels malveillants par votre biais.

Les bons réflexes
o Vérifiez vos e-mails : n’ouvrez pas un mail d’origine inconnue, ne cliquez pas sur les pièces jointes douteuses, méfiez-vous des annonces attrayantes (soldes, tirages au sort, bons plans financiers).
o Ignorez les fenêtres pop-up signalant un problème sur votre machine.
o Ne répondez pas à un inconnu qui vous contacte par e-mail ou messagerie instantanée.
o Vérifiez que votre logiciel antivirus est à jour (une fois par semaine).
o Scannez votre ordinateur régulièrement.
o Vérifiez régulièrement vos mouvements bancaires.

+ Que faire si …
Si vous pensez être ‘‘infecté’’, téléchargez les mises à jour éditées régulièrement par les éditeurs des logiciels installés sur votre ordinateur (navigateur, bureautique).

LE SPAM

Le principe
Egalement nommé « pourriel » ou « courrier indésirable ». Un spam est un courrier non sollicité, envoyé en masse.
Votre adresse électronique peut avoir été récupérée sur une liste d’e-mailing que se revendent des sociétés spécialisées, ou trouvée sur Internet grâce à un logiciel spécifique, ou encore fabriquée aléatoirement par un logiciel spécialisé.

Les bons réflexes
- Ne donnez pas votre adresse e-mail principale sur des sites
o Conservez cette adresse pour vos correspondances privées ou professionnelles, et pour des tiers de confiance comme votre banque ou l'administration.
o Vous n'éviterez pas tous les spams puisque certains virus servent uniquement à récupérer les adresses des carnets d'adresses Outlook. Si l'ordinateur d'un de vos amis est infecté, il est possible que votre e-mail soit utilisé par des spammeurs.

- Utilisez une autre adresse pour les offres promotionnelles et les achats en ligne
o Créez une autre adresse e-mail que vous réserverez à ce genre d'usage : vos achats sur Internet, vos newsletters, etc. La plupart des fournisseurs d'accès vous permettent de créer plusieurs adresses.
o Lorsque la quantité de spams reçue sur cette boîte deviendra trop importante, vous pourrez la supprimer et en créer une nouvelle avec un nom différent.

- Lisez les petits caractères sur les sites
o Si vous donnez votre adresse sur un site marchand, lisez la section du site consacrée à la protection de la vie privée : l'entreprise doit normalement préciser que votre adresse électronique ne sera ni cédée, ni revendue à un tiers.
o Si vous ne souhaitez pas recevoir de publicité, pensez à décochez la croix « Je désire recevoir des informations des partenaires». Cela signifie souvent que le site va donner ou vendre votre e-mail.

- Ne répondez pas aux spams
o En répondant à ces e-mails, vous confirmeriez l'existence et l'exactitude de votre adresse.
o Ne cliquez pas sur « Se désinscrire », sauf s'il s'agit d'un site que vous connaissez et auquel vous étiez bien inscrit. Comme précédemment, les pirates vérifient par ce biais que l'adresse de messagerie est toujours valide et régulièrement consultée.

- N'appelez pas les numéros surtaxés
o Un spammeur peut vous envoyer un SMS vous demandant d’appeler un numéro surtaxé en 0899XXXXXX => n'appelez pas ce numéro, mais transférez le message au 33700 : il s’agit d’un numéro court mis en place par l‘association SMS+ dont les principaux opérateurs Français sont membres.

- Utilisez un logiciel ou un service antispams
Les fournisseurs d'accès proposent un service en option qui arrête le spam directement sur leur serveur, avant que vous ne le receviez. Il existe également des logiciels qui s'installent par votre logiciel de messagerie et qui trient les e-mails au moment où vous les recevez en fonction de règles que vous définissez au fur et à mesure.

- Vérifiez s'il s'agit d'un canular, d'un virus ou de phishing
Un message non sollicité peut également être un canular, ou un virus ou un message de phishing. Pour vous en assurer, rendez-vous sur un site Internet spécialisé. 

LE MALWARE

Le principe
Ce logiciel est  installé sur votre ordinateur à votre insu.
Son fonctionnement est totalement invisible, il dépend du logiciel malveillant et parfois du site Internet sur lequel l’internaute désire se connecter.

+ Voir les divers biais d’installation du logiciel …
o Connexion à Internet avec un ordinateur ayant des failles de sécurité exploitables,
o Exécution d’un programme infecté,
o Ouverture d’une pièce jointe ou d’un document infecté,
o Navigation sur des sites douteux,
o Clic sur des bannières publicitaires infectées,
o Connexion de périphériques infectés (clé usb, disque dur amovible ...).

+ Voir les objectifs des escrocs qui les exploitent …
o Vendre un produit : Votre navigation est enregistrée pour mieux cibler vos habitudes.
o Voler vos informations confidentielles pour les réutiliser à leur profit.
o Voler vos documents.
o Paralyser votre ordinateur et le débloquer contre une somme d’argent.
o Utiliser votre ordinateur pour déclencher des attaques : paralysie d’un serveur spécialement ciblé (déni de service) ou générateur de courriels massifs (voir « spam »).

Les bons réflexes
- Équipez-vous d’un antivirus et d’un pare-feu (firewall).
- Maintenez à jour l’antivirus et l’anti-spyware, et effectuez un scan régulièrement.
- Effectuez régulièrement les mises à jour de votre système pour corriger les failles de sécurité.
- Vérifiez régulièrement les opérations effectuées sur vos comptes.
- Méfiez-vous des mails d’origine inconnue avec une pièce jointe.

+ Que Faire si...
- Si vous détectez des opérations frauduleuses sur vos comptes :
    - Contactez rapidement votre Centre Financier.
    - Vérifiez que votre antivirus et votre anti-spyware sont à jour. Lancez un scan.
o Si un logiciel malveillant est détecté, demandez à votre antivirus ou votre anti-spyware de le détruire, puis seulement après, modifiez tous vos codes confidentiels.
o Si aucun malware n’a été détecté, vérifiez une seconde fois par un ‘‘scan en ligne’’ depuis Internet, en passant par les grands éditeurs d’antivirus.

L'ARNAQUE (SCAM)

Le principe
Vous recevez un e-mail indésirable visant à obtenir de l’argent de votre part.

+ Voir les différentes formes d’e-mail ….

>> Crédulité : Un e-mail vous informe que vous avez gagné une somme importante à une loterie. Vous devez prendre contact avec un huissier ou un avocat. Celui-ci vous informe que pour effectuer le transfert, vous devez vous acquitter de quelques frais en mandat international (Western Union par exemple). En réalité, vous ne toucherez jamais ce gain.

>> Compassion : Un e-mail vous informe qu’une personne est dans la détresse ou qu’elle détient une grosse somme d’argent mais ne peut la faire sortir du pays qu’avec votre aide …. Comme précédemment, vous devrez vous acquitter de quelques frais à l’étranger par Western Union…

>> Gain ou cadeau : Une page web s’affiche pour vous informer que vous avez gagné un cadeau. Ce dernier sera gratuit, mais vous devrez payer des frais de livraison et donc renseigner vos codes de carte bancaire. Le pirate pourra alors les utiliser pour effectuer des paiements frauduleux … Et encore une fois, vous ne recevrez jamais le cadeau promis.

Les bons réflexes
- Méfiez-vous des gains trop faciles, ils cachent généralement une escroquerie.
- Méfiez-vous des adresses obtenues sans contrôle chez les grands opérateurs mondiaux. 
- Méfiez-vous tout particulièrement des mails avec des numéros de téléphone étranger.
- Si un de vos amis vous réclame de l’aide en grande urgence, essayez de vérifier qu’il s’agit bien de lui en croisant plusieurs informations.
- Ne donnez jamais votre code de carte bancaire sans vous assurer de la pertinence et de la notoriété du site web ou de la société à l’origine de l’offre.
- Pour déterminer si un e-mail alarmiste est un canular, une arnaque ou non, une solution simple : rendez-vous sur le site spécialisé http://www.hoaxbuster.com. Vous saurez s'il y a lieu de le prendre au sérieux ou non.

+ Que Faire si...
Vous devez déposer plainte en expliquant que vous avez été victime d’une arnaque sur Internet et que vous avez envoyé des fonds à telle personne.

LA TRANSMISSION DE DONNEES

Le principe
Certaines informations confidentielles circulent à votre insu lorsque vous naviguez sur Internet. Un pirate est en capacité d’intercepter ces données pour les utiliser à son profit.

+ Voir vos points sensibles …
o Votre navigateur Internet,
o Votre messagerie,
o Les blogs, forums, réseaux sociaux,
o Les applications manipulant des données confidentielles,
o Le réseau Internet avec tous ses composants.

Les bons réflexes
- Sur les sites sensibles, vérifiez que l’adresse est du type « https:// ». Un cadenas fermé doit apparaître dans un coin de votre navigateur pour indiquer que votre navigation est protégée.
- Lorsque vous accédez à vos comptes bancaires pour visualiser des informations, effectuer des opérations et gérer vos comptes :
o n’utilisez que les sites de banque en ligne officiels,
o n’utilisez que les applications bancaires officielles pour gérer vos comptes.
- Assurez-vous que vos logiciels, et particulièrement votre navigateur, sont bien au dernier niveau de mise à jour.
- Vérifiez régulièrement les opérations effectuées sur vos comptes.