Cybersécurité, 7 habitudes à VITE abandonner

La plupart des mots de passe sont aisés à craquer. Par exemple, il faut moins d’une seconde pour craquer un mot de passe comme « avion » ! Parce qu’il est trop court, et qu’il correspond à un mot courant.

Pour mieux comprendre comment opère les hackers, voilà comme cela les choses se passent. Lorsqu’un intrus parvient à dérober un mot de passe, il le récupère sous forme cryptée. C'est-à-dire qu’une expression comme « avion » a fait l’objet d’une transformation en une suite de 256 chiffres binaires (0 et 1). Cette suite apparemment indéchiffrable est le résultat d’un algorithme de cryptage, généralement SHA-256, qui a été appliqué à « avion ».

Donc, à première vue, à partir de ce brouillage de 256 chiffres, impossible de reconstituer « avion ,». Seulement voilà, les hackers disposent de dictionnaires et ils s’appliquent à en balayer un à un les mots – ce qu’un ordinateur peut accomplir à une vitesse sidérante. Ils appliquent donc SHA-256 sur tous les mots du dictionnaire et comparent le résultat avec la suite de 256 chiffres qu’ils ont dérobé.

Dès lors qu’ils arrivent à « avion », les deux suites de 256 chiffres correspondent. Alors,  le hacker sait qu’il peut utiliser « avion » pour consulter les emails et sites Web de l’internaute concerné.

Donc, pour être à l’abri, il vaut mieux définir un mot d’au moins une dizaine de caractères avec une combinaisons de symboles divers. Et idéalement absent du dictionnaire.

Les scams sont un type de sollicitation qui fait appel à votre générosité et votre envie d’aider : quelqu’un vous contacte par courriel, lie des liens avec vous, puis vous supplie de lui envoyer de l’argent pour régler une situation dramatique dans laquelle il dit se trouver. L’histoire est totalement fausse, mais la personne est devenue ‘réelle’ à vos yeux puisque vous avez échangé des messages. Vous êtes donc tenté de baisser la garde et laisser parler votre bon fond. 

Les arnaqueurs se servent de sujets de société actuels pour renforcer leur crédibilité : ils deviennent des « migrants qui n’ont pas de quoi subsister », les victimes d’un pays dictatorial corrompu qui les « empêche de toucher l’héritage qui leur revient », etc. Nous avons tant entendu sur les situations désespérées de certains pays et peuples, que certains sautent à pieds joints sur cette occasion d’offrir leur aide.

Les adeptes les plus zélés du scam parviennent à se faire passer pour l’une de vos connaissances, ce qui rend plus difficile au premier abord de les détecter. Certains réussissent même à faire croire qu’ils sont un ancien partenaire amoureux tombé dans la panade et qui appelle à l’aide ! L’escroquerie peut prendre également la forme du dirigeant d’une société outremer souhaitant vous engager, mais qui vous demande un dépôt d’argent « pour payer votre permis de travail ».

Un seul conseil : ne jamais effectuer de paiement à un inconnu qui vous sollicite de façon inhabituelle.

En avril 2015, l’Université du Michigan s’est livrée à une expérience : 297 clés USB ont été abandonnées à divers emplacements du  campus (parking, entrées d’immeubles, cafétérias, couloirs, etc.). A l’intérieur de chacune, l’université avait placé des codes permettant de savoir si quelqu’un l’avait connectée à son PC. 

Le résultat a été éloquent :

- 45 % de ceux qui ont trouvé l’une de ces clés, soit 135 personnes, l’ont non seulement insérée dans leur PC mais ont également ouvert un ou plusieurs fichiers !

- La moitié des utilisateurs ont commencé par regarder les photos de vacances placées sur la clé USB.

 -L’université a  questionné certains de ceux qui avaient inséré ces clés USB dans leur ordinateur. Il s’est avéré qu’une majorité (68 %) avait pour motivation de restituer l’objet à son propriétaire. Toutefois, un cinquième des participants (18 %) a reconnu que leur seule motivation  était la curiosité.

Seul un petit nombre a indiqué avoir soumis cette clé USB à une analyse anti-virus avant d’en explorer le contenu. Pourtant, nous avions là une population étudiante, censée être bien informée des risques informatiques.

En réalité, la clef USB est une énorme source potentielle d’infection. Par nature, ce type d’objet est couramment partagé et paraît anodin – il est si pratique d’utiliser une clé USB pour s’échanger des fichiers entre proches. Pourtant, il est fréquemment arrivé qu’un logiciel malveillant soit introduit dans un PC suite à l’insertion d’une telle clé.

Donc, si vous trouvez une clé USB que quelqu’un a égaré, commencez par la soumettre à une analyse anti-virus. Et idéalement, ne l’introduisez pas dans votre PC.

Il existe un type d’arnaque qui se déroule ainsi : vous recevez un appel téléphonique d’un technicien d’une société telle que Microsoft, qui affirme qu’il aurait détecté des défaillances sur votre ordinateur et propose de les réparer à distance. Il vous demande un paiement relativement peu élevé par carte bancaire, puis vous demande de pouvoir prendre le contrôle à distance de votre ordinateur. 

L'une des victimes de ce type de scam, Nicole de Kontich (84 ans) a conté sa mésaventure au site Safeonweb : 

« J’ai été escroquée par quelqu’un qui s’est présenté comme un collaborateur de Microsoft. Il m’a annoncé que mon ordinateur présentait des dysfonctionnements et qu’il souhaitait qu’on les règle ensemble. Une simple assistance par téléphone suffisait. 

Une fois au bout de la ligne, il m’a convaincu d’installer un programme censé rétablir la situation. Ce coup de fil a certainement duré trois heures, pour un coût annoncé de 49 euros. 

Pour pouvoir payer ce montant, il avait besoin de mon numéro de compte bancaire. Avant que je me rende compte de la supercherie, il avait littéralement vidé mon compte. » 

Le plus sûr, pour se prémunir, est de raccrocher et aussi d’éteindre immédiatement votre PC et votre box Internet.

Le Wi-Fi est le maillon faible de la connexion Internet. Cette liaison est établie sans fil, par le biais d’ondes radio. Or, il est relativement aisé pour un hacker d’intercepter ces ondes radio.

RTBF, une société de radio-télévision belge a mené une drôle d’enquête en 2016, à l’aide d’un complice, un spécialiste de la cyber-sécurité. Dans le cadre de l’émission On n’est pas des pigeons, ce spécialiste s’est installé à l’intérieur d’un workshop café du centre de Bruxelles. Il a alors inventé un nom de service d’accès très proche de celui du café.

La manœuvre a réussi : 7 personnes se sont laissées tromper. Elles se sont ainsi retrouvées connectées au service d’accès que le spécialiste avait mis en place. À partir de là, il lui était possible de voir toute l’activité de ces internautes : les sites qu’ils visitaient, leurs recherches, mais aussi les mots de passe qu’ils tapaient…

Ainsi donc, si vous vous trouvez dans un café proposant un Wifi public, ne vous y connectez pas d’emblée. Demandez explicitement à l’un des responsable quel est le nom du réseau Wifi de cet établissement et le code d’accès. Et si ce code d’accès Wifi est trop simple, évitez tout simplement de vous y connecter – il est trop facile pour un hacker de s’y immiscer. Utilisez plutôt la connexion 3G/4G de votre téléphone mobile.

Depuis mars 2018 et l’affaire Cambridge Analytica, le nom de Facebook est couramment associé à une violation de la vie privée. Pourtant, le public a souvent mal compris ce qui s’était passé : les internautes concernés par cette affaire étaient en partie responsables de ce détournement de leurs données personnelles. Ils avaient eux-mêmes autorisé cet usage. En réalité, si Facebook a failli, c’est pour n’avoir pas su prédire qu’une telle situation pourrait se produire.

Là où Cambridge Analytica a pêché, c’est en détournant les informations recueillies par une application de test de personnalité. Des internautes ont ouvertement fourni des données personnelles à cette application Facebook. Cette application a par la suite été utilisée à des fins d’influence de leur vote sur les élections américaines de 2016.

Or, ceux qui se sont inscrits à l’application de test de personnalité ont eux-mêmes autorisé l’application à accéder à leurs données personnelles. Et en s’inscrivant à cette app, dans la plupart des cas, ils l’ont également autorisée à accéder aux données de leurs amis Facebook ! Ils l’ont fait sans réfléchir, comme nous le faisons souvent lorsque nous installons une app, sans prêter attention à ce qui est pourtant indiqué noir sur blanc sous nos yeux.

Il est possible de limiter le rayon d’action des applications que vous avez installées dans Facebook et aussi de désinstaller celles qui ne vous sont plus utiles. Il est impératif de le faire régulièrement. 

Et lorsque vous installez une application, prenez le temps de lire les conditions demandées. Si une application est trop indiscrète, ne l’installez pas.

Cadeaux, remboursement d’impôts, loterie gagnante à laquelle vous n’avez jamais joué, bien des messages peuvent donner l’impression que la chance vous sourit et vous pouvez être tentés d’y répondre et aussi d’en faire profiter vos amis.  Voici quelques exemples de demandes frauduleuses que l’on rencontre couramment.

Vous devez payer des soi-disant frais bancaires ou de dossier pour encaisser une grosse somme d’argent (un don généreux de celui qui vous écrit, annonçant qu’il accepte de « partager avec vous son héritage en échange de quelques clics »). Il vous dirige alors vers un faux site chargé de récupérer vos données bancaires.

Vous venez de gagner un iPhone à 1 euro ! Vite, allez sur ce site pour confirmer l’achat avant que le stock ne soit épuisé. Un euro, ce n’est pas grand-chose pour vous, mais multiplié par le nombre de personnes qui se sont laissées ainsi berner, cela représente un beau revenu. En outre, vous avez renseigné vos informations bancaires et devez maintenant faire opposition auprès de votre banque. Cet iPhone finit par coûter cher, d’autant que vous ne le recevrez jamais.

Vous avez eu le malheur de vous faire piéger, et un faux avocat vous contacte en vous signalant que vous avez fait l’objet d’une arnaque, mais que moyennant finances (les vôtres), vous serez rapidement remboursé, et qu’il va vous obtenir des dommages et intérêts énormes !

Et bien d’autres arnaques du même type… Nous connaissons tous des gens très respectables, qui se sont laissés avoir par ce type de ‘scams’. Evitez donc soigneusement d’y prêter le moindre intérêt.