Après Free, c’est au tour de Bouygues d’être victime d’un faux mail à son effigie. On notera particulièrement les adresses mails improbables.

Pour un commentaire détaillé de cet énième arnaque, voir cet article.

C’est l’opérateur Free, ici, dont on imite les mails. Comme à l’habitude, on constate :

• L’adresse email de l’expéditeur qui n’est pas la même en cas de réponse. Et surtout, une adresse qui n’a rien à voir avec un quelconque service de Free
• Le mail est tout d’un bloc, impossible de sélectionner des parties du mail. En réalité, c’est une image, difficile à détecter par nos défenses anti-spams
• La deuxième phrase « pour participer et … » ne commence pas par une majuscule
• Les caractères accentués, propres à notre langue, sont mal encodés
• Les fautes d’orthographe « supers« , « parmis« . Visiblement, le français n’est pas la langue maternelle de notre pirate, d’où les caractères bizarres et les fautes d’orthographe

Voici un deuxième exemple :

• Nulle part « Free » n’est mentionné dans les trois mails
• Le logo « Free » au sein du texte ressort à peine
• Le texte n’est pas sélectionnable (voir plus haut)
• A notre connaissance, Free n’a jamais mis en place de programme de fidélité

Voici ce vers quoi redirige le bouton « Découvrez »

Pour une explication détaillée, voir cet autre article : http://jeanboi.cluster031.hosting.ovh.net/2020/02/24/amazon-vous-ferait-il-un-si-beau-cadeau/

Voilà un autre exemple de phishing reçu dans ma boîte mail aujourd’hui.

Au premier regard, le mail est très bien fait, les images sont belles, le texte est cohérent et surtout sans faute d’orthographe. Le piège est joliment dissimulé. Les tentatives d’hameçonnage récentes sont très bien faites. On est loin du phishing d’il y a 4 ou 5 ans.

Toutefois, étudions le de plus près :

• Le nom de l’expéditeur est étrange « voilà » mais surtout l’adresse mail qui se cache derrière n’a rien à voir avec ce qu’on pourrait attendre d’Amazon « sales@premiergourmet.com ». Gourmet fait plus référence à de la gastronomie qu’à une carte cadeau, vous en conviendrez. On peut supposer que l’adresse mail de l’expéditeur a été piratée
• Il faut toujours essayer de sélectionner le texte dans un mail suspect. Si vous n’y arrivez pas et que tout se sélectionne d’un seul bloc, c’est que c’est une arnaque. Les images n’étant pas lisibles par les filtres anti-spam, les mails passent mieux au travers des mailles du filet.
• Le logo Amazon en haut à gauche est très moche, déformé. Dommage, il eut pourtant été facile, pour le pirate, de recopier proprement le vrai logo Amazon. Il est plus facile de le démasquer. D’autant plus dommage que l’image des cadeaux est très belle, c’est très crédible
• Le bouton jaune, « Confirmé votre cadeau », une faute d’orthographe qui éveille notre esprit critique. Dommage…
• En bas du mail, la phrase en anglais , en petits caractères, est antinomique « This is an advertisement. Amazon is a trademark who is not affiliated with this promotion ». Comment Amazon peut-il ne pas être lié avec cette « promotion » si c’est pour obtenir une carte cadeau Amazon? Étrange!!

S’il on clique sur le bouton jaune, on arrive sur l’écran ci-dessous :

Il ne s’agit plus de carte cadeau mais d’un smartphone haut de gamme. Bizarre!!

On vous donne même votre adresse IP (très facile à obtenir) pour donner toujours plus de vraisemblance. Et on joue sur l’aspect de l’urgence qui joue à la fois sur notre appétit pour le gain et sur notre peur de passer à côté d’une bonne affaire. Notre esprit critique est totalement inhibé, on ne prend pas le temps de réfléchir et on fonce tête baissée.

Le coup de grâce est asséné par l’encart des commentaires situé en dessous. L’ensemble des commentaires est accompagné d’une photo ce qui signifie que tous les utilisateurs ont mis leur photo au moment de l’inscription. C’est très peu probable. Vous ne le verrez nulle part. Dans le meilleur des cas, c’est un avatar qui accompagne le pseudo de l’utilisateur. Ici, ce n’est pas non plus le pseudo qui est utilisé mais les nom et prénoms de chaque personne. Le but recherché est que vous puissiez plus facilement vous identifier à l’un de ces gagnants. Les dates des commentaires sont récentes pour vous donner à croire que l’offre est tout chaude.

La grande majorité des commentaires est élogieuse même si parfois ponctuée de nuances, encore un fois pour donner de la crédibilité. Une utilisatrice déclare « je pensais que c’était une arnaque » pour se rattraper : « je viens vraiment de recevoir un iPhone ce matin ». C’est une manière de prêcher le faux pour savoir le vrai, ou tout au moins, faire croire que c’est vrai.

Bien évidemment, on va vous demander tout un tas d’informations qui pourront être réutilisées, au mieux, pour du spam, au pire, pour une usurpation d’identité.

Lorsque vous validez ce formulaire, vous arrivez sur un écran où le téléphone n’est plus gratuit mais il faut s’acquitter de 1,50€ pour l’obtenir. Après tout, 1,50€, ce n’est rien lorsqu’un super smartphone est en jeu. C’est votre appétit pour le gain qui l’emporte sur votre raison.

Tout ceci est un prétexte pour vous demander votre carte bancaire.

L’URL, à laquelle on ne fait généralement pas attention, est sans aucun rapport avec l’offre en cours : starmusicmix.com. Que viendrait faire de la musique ici?

L’encart est très bien fait. On dirait, à s’y méprendre, une véritable fenêtre de saisie des coordonnées bancaires. Tout est très bien, sauf le bouton vert « Trainer transaction ».

Et voilà, le piège s’est refermé. Non seulement, nous avons décliné notre état civil mais nous avons également offert sur un plateau nos coordonnées bancaires à un pirate qui saura en faire bon usage.

Qu’est-ce que l’hameçonnage ?

L’hameçonnage est une escroquerie qui consiste à tromper les gens pour qu’ils révèlent des informations sensibles, telles que des mots de passe et des numéros de carte bancaire. Tout comme il existe plusieurs types d’hameçon, il existe plusieurs façons d’attraper une victime, mais une tactique d’hameçonnage spécifique a le vent en poupe. Les victimes reçoivent un e-mail ou un SMS qui imite (ou « usurpe l’identité de », en anglais, « spoofing ») une personne ou une organisation à laquelle elles font confiance, comme un collègue, une banque ou un une organisation gouvernemental, ministérielle ou étatique. Quand la victime ouvre l’e-mail ou le SMS, elle y trouve un message inquiétant qui joue sur la peur pour l’empêcher de raisonner. Ce message demande à la victime de se rendre sur un site Internet et d’exécuter immédiatement une action ou, dans le cas contraire, d’en subir des conséquences. 

Si les utilisateurs mordent à l’hameçon et cliquent sur le lien, ils sont envoyés sur un site imitant , en tous points, un site légitime. Là, on leur demande de se connecter avec leur nom d’utilisateur et leur mot de passe. S’ils sont assez crédules pour accepter, les informations de connexion sont transmises au malfaiteur, qui les utilise pour voler les identités, piller les comptes en banque et vendre des informations personnelles sur le marché noir.

Contrairement aux autres types de menaces en ligne, pas besoin d’être un technicien spécialisé pour pratiquer l’hameçonnage. L’hameçonnage est la forme de cyberattaque la plus simple, et en même temps, la plus dangereuse et la plus efficace. En effet, elle ne fait pas tant appel à des outils informatiques qu’à notre crédulité.  Les hameçonneurs n’essaient pas d’exploiter une faille technique dans le système d’exploitation de votre appareil, ils utilisent l’« ingénierie sociale ». De Windows aux iPhones, des Macs aux appareils Android, aucun système d’exploitation n’est entièrement à l’abri de l’hameçonnage, quelle que soit la sécurité qui l’entoure. En fait, les malfaiteurs utilisent souvent l’hameçonnage parce qu’ils ne trouvent pas de failles techniques. Pourquoi perdre du temps à essayer de cracker des couches de sécurité quand vous pouvez faire en sorte que quelqu’un vous donne la clé ? Bien trop souvent, le maillon le plus faible dans un système de sécurité n’est pas un problème dissimulé dans un code informatique, c’est un être humain qui ne vérifie pas à deux fois la provenance d’un e-mail.

L’origine du mot « hameçonnage » (« phishing », en anglais) est facile à trouver. Le processus qui consiste à hameçonner ressemble de près à la pêche à l’hameçon. Vous montez un appât conçu pour leurrer votre victime, puis vous le lancez et vous espérez qu’elle morde. Quant au « ph » qui remplace le « f » dans le terme anglais « phishing » (au lieu de « fishing » – pêcher), ce pourrait être le résultat de la combinaison des termes « fishing (pêcher) » et « phony (faux) », mais d’autres sources pointent vers une autre origine possible.

Types d’attaques par hameçonnage

Malgré leur diversité, le dénominateur commun de toutes les attaques par hameçonnage est l’utilisation d’un prétexte frauduleux pour acquérir des biens de valeur. Les catégories principales comprennent :

Harponnage

Alors que la majorité des campagnes d’hameçonnage envoient des e-mails groupés à autant de personnes que possible, l’harponnage est plus ciblé. Les attaques par harponnage visent une personne ou une organisation spécifique, généralement avec du contenu adapté à la ou aux victimes. Ces attaques nécessitent des recherches préalables pour découvrir les noms, les postes occupés, les adresses e-mail, etc. Les pirates informatiques parcourent Internet pour associer ces informations à d’autres renseignements trouvés sur les collègues de la cible, ainsi que les noms et les relations professionnelles des employés clés de son organisation. À l’aide de ces informations, les hameçonneurs créent un e-mail crédible.

Par exemple, un fraudeur peut harponner un employé dont la responsabilité comprend la capacité à autoriser les paiements. L’e-mail est censé provenir d’un cadre supérieur de l’organisation qui ordonne à l’employé d’envoyer un paiement substantiel soit à lui-même, soit à un fournisseur de l’entreprise (alors qu’en fait, le lien de paiement malveillant l’envoie au cybercriminel).

L’harponnage est une menace critique pour les entreprises et les gouvernements et coûte des fortunes. Selon un rapport de 2016 d’une étude sur le sujet, l’harponnage est à l’origine de 38 % des cyberattaques sur les entreprises participantes au cours de l’année 2015. De plus, concernant les entreprises américaines impliquées, le coût moyen des attaques par harponnage par incident s’élevait à 1,8 million de dollars.

Clonage

Pour cette attaque, les cybercriminels font une copie (ou un clone) d’e-mails déjà envoyés mais légitimes qui contiennent soit un lien soit une pièce jointe. L’hameçonneur remplace ensuite le lien ou les fichiers joints par des éléments malveillants qui ressemblent aux vrais. Les utilisateurs inconscients cliquent sur le lien ou ouvrent la pièce jointe, ce qui permet souvent aux pirates de prendre le contrôle de leur système. L’hameçonneur peut alors imiter l’identité de la victime afin de se faire passer pour un expéditeur de confiance auprès d’autres victimes de la même organisation.

Arnaques nigériennes 419

L’e-mail d’hameçonnage prolixe de quelqu’un qui prétend être un prince nigérien est l’une des premières et des plus anciennes escroqueries sur Internet. L’e-mail d’hameçonnage du prince nigérien provient d’une personne qui prétend être un fonctionnaire du gouvernement ou un membre d’une famille royale qui a besoin d’aide pour transférer des millions de dollars hors du Nigeria. Cet e-mail est marqué comme « urgent » ou « privé » et son expéditeur demande au destinataire de fournir un numéro de compte bancaire pour garder les fonds. 

Dans une version actualisée hilarante du modèle d’hameçonnage nigérien classique, le site d’information britannique Anorak a rapporté en 2016 qu’il avait reçu un e-mail d’un certain Dr Bakare Tunde, qui prétendait être le responsable projet du département astronautique de l’agence du développement et de la recherche nationale du Nigeria. Le Dr Tunde prétendait que son cousin, Air Force Abacha Tunde, se trouvait à bord d’une ancienne station spatiale soviétique depuis plus de 25 ans. Mais pour seulement 3 millions de dollars, les autorités spatiales russes pourraient envoyer un vol pour le ramener à la maison. Tout ce que les destinataires avaient à faire était d’envoyer leurs informations de compte bancaire afin de transférer la somme nécessaire, ce pour quoi le Dr Tunde paierait à chacun un montant de 600 000 dollars.

Il se trouve que le numéro « 419 » est associé à cette arnaque. Il fait référence à l’article du Code pénal nigérien qui traite de la fraude, des accusations et des peines applicables aux contrevenants.

Hameçonnage téléphonique

Avec les tentatives d’hameçonnage par téléphone, parfois appelées « phishing vocal », les appels de l’hameçonneur prétendent représenter votre banque locale, la police ou même les impôts. Ensuite, ils vous effraient en mentionnant un problème et insistent pour que vous le résolviez immédiatement en partageant vos informations bancaires ou, en cas de refus, en payant une amende. Ils vous demandent généralement de payer par virement bancaire ou avec des cartes prépayées, afin qu’il soit impossible de remonter jusqu’à eux.

L’hameçonnage par SMS, ou « smishing », est le frère jumeau maléfique de l’hameçonnage par téléphone. Il utilise le même genre d’arnaque (parfois avec un lien malveillant sur lequel cliquer) au moyen d’envoi de SMS.

Comment identifier une attaque par hameçonnage?

Reconnaître une attaque par hameçonnage n’est pas toujours simple, mais quelques conseils, un peu de discipline et du bon sens devraient suffire. Recherchez quelque chose d’étrange ou d’inhabituel. Demandez-vous si le message « sonne vrai ». Faites confiance à votre intuition, mais ne vous laissez pas tirailler par vos émotions, ce qui altère votre jugement.

L’e-mail fait une offre qui semble trop belle pour être vraie. Il peut mentionner que vous avez gagné au loto, un prix de valeur ou un article incroyable (voir cet article).

Voici d’autres signes :

• Vous reconnaissez l’expéditeur mais c’est quelqu’un à qui vous ne parlez pas. Même si vous connaissez le nom de l’expéditeur, méfiez-vous s’il s’agit de quelqu’un avec qui vous ne communiquez pas habituellement ; il vous tutoie au lieu de vous vouvoyer.
• Le message semble délirant. Méfiez-vous si l’e-mail utilise un langage anxiogène ou alarmiste pour créer un sentiment d’urgence, vous exhortant à cliquer et à « agir maintenant » avant que votre compte ne soit clôturé. N’oubliez pas, les organisations officielles ne demandent pas d’informations personnelles sur Internet (voir cet article).
• Le message contient des pièces jointes inattendues ou inhabituelles. Ces pièces jointes peuvent contenir des malwares, des ransomwares ou une autre menace en ligne.
• Le message contient un lien étrange. Même si votre 6e sens ne vous dit rien au sujet de toutes les informations précédentes, ne faites pas aveuglément confiance aux liens hypertexte intégrés. Au lieu de cela, survolez le lien avec votre curseur pour voir la véritable URL. Soyez particulièrement attentif aux fautes d’orthographe sur un site qui vous est familier, parce que ces fautes signifient qu’il est faux. Il est toujours préférable de saisir directement une URL plutôt que de cliquer sur le lien intégré ou aller chercher le site par la voie officielle depuis votre moteur de recherche (voir cet article).

Comment me protéger contre l’hameçonnage ?

Comme indiqué précédemment, l’hameçonnage est une menace qui touche tout le monde, et qui peut apparaître sur les PC, les ordinateurs portables, les tablettes et les smartphones. La majorité des navigateurs ont la possibilité de vérifier si un lien est fiable, mais la première ligne de défense contre l’hameçonnage, c’est votre propre jugement. Entraînez-vous à reconnaître les signes d’hameçonnage et essayez de mettre en place une pratique informatique sécurisée quand vous vérifiez vos e-mails, consultez des publications sur Facebook ou jouez à votre jeu en ligne préféré.

Voici les pratiques les plus importantes à mettre en place pour protéger votre sécurité par, à nouveau, notre Adam Kujawa à nous ;

• N’ouvrez pas les e-mails des expéditeurs que vous ne connaissez pas.
• Ne cliquez jamais sur un lien contenu dans un email sauf si vous savez exactement ce qu’il contient.
• Pour renforcer la protection, si vous recevez un e-mail d’une source dont vous n’êtes pas sûr, rendez-vous manuellement sur le lien fourni en saisissant l’adresse du site Internet légitime sur votre navigateur ou accédez au site en question depuis votre moteur de recherche ou vos favoris/marque-pages.
• Recherchez le certificat numérique d’un site Internet.
• Si l’on vous demande de fournir des informations sensibles, vérifiez que l’URL de la page commence par « HTTPS » au lieu de « HTTP ». Le « S » signifie « sécurisé ». Il ne garantit pas qu’un site est légitime, mais la plupart des sites légitimes utilisent le HTTPS car il est plus sécurisé. Les sites HTTPS, même légitimes, sont vulnérables aux hackers. 
• Si vous suspectez qu’un e-mail n’est pas légitime, extrayez un nom ou un morceau de texte du message et copiez-le dans un moteur de recherche pour savoir si des attaques par hameçonnage connues existent et utilisent les mêmes méthodes (voir cet article).
• Survolez le lien avec votre curseur pour l’analyser et voir s’il s’agit d’un site légitime.

Testez vos connaissances avec un Quizz sur l’hameçonnage proposé par Google.

C’est quoi le piratage ?

Le piratage est un ensemble de techniques visant à mettre à mal des appareils numériques et connectés, comme les ordinateurs, les smartphones, les tablettes, les montres et même des réseaux complets. Et bien que le piratage n’ait pas toujours lieu à des fins malveillantes, on le définit comme une activité illégale pratiquée par des cybercriminels motivés par le gain financier, la contestation politique, l’espionnage et même simplement par goût du défi ou besoin de reconnaissance de la part de ses pairs.

Dans l’inconscient collectif, le pirate informatique (ou hacker, en anglais) est un petit génie autodidacte ou un programmeur méchant capable de détourner des matériels et des logiciels de leur objectif initial. Mais il ne s’agit là que d’une minorité des pirates.

Vous l’aurez compris, le piratage nécessite des connaissances techniques. Mais les pirates peuvent également utiliser la psychologie pour inciter l’utilisateur à cliquer sur une pièce jointe malveillante ou à fournir ses données personnelles. Ces méthodes découlent de l’« ingénierie sociale ». L’ingénierie sociale (social engineering) recouvre l’ensemble des méthodes utilisées par les cybercriminels pour que leur victime baisse la garde et ouvre le pont-levis d’accès à la forteresse ou encore communique des informations confidentielles à leur sujet. De nombreuses techniques visent cet objectif, au nombre desquelles la manipulation mentale. Séduire les victimes en faisant appel à leurs émotions, leur empathie, leur appétit pour le gain, leur orgueil.

Le piratage est passé de loisir d’adolescents désœuvrés à une industrie, structurée, florissante, qui brasse des centaines de millions de dollars.

Les cadres de cette entreprise dévoyée ont établi une infrastructure criminelle qui développe et vend des outils de piratage clé en main à des escrocs en devenir dotés de compétences techniques moins sophistiquées (connus sous le nom de « script kiddies » (les enfants du codage) – pirates avec peu ou pas de compétence de codage).

Dans un autre exemple, les utilisateurs Windows sont la cible d’une attaque cybercriminelle de grande envergure qui offre un accès à distance aux systèmes informatiques pour seulement 10 dollars via une boutique consacrée au piratage sur le Dark Web, ce qui peut potentiellement permettre aux malfaiteurs de voler des informations, perturber les systèmes, déployer des ransomwares, etc. Les propriétaires des boutiques offrent même des conseils pour utiliser des identifiants illicites et rester indétectables.

Les types de piratage

De manière générale, on peut dire que les pirates essaient de pénétrer dans les ordinateurs et les réseaux pour l’une des 5 raisons suivantes :

• Le gain financier de nature criminelle, soit le vol de numéros de cartes de crédit ou la violation des systèmes bancaires.
• Ensuite, acquérir une crédibilité et améliorer sa réputation au sein de la sous-culture des hackers en motive certains qui laissent leur empreinte sur les sites Internet qu’ils pillent comme preuve qu’ils ont réussi leur mission.
• Après cela, il y a l’espionnage d’entreprise, quand les pirates informatiques d’une entreprise cherchent à voler des informations sur les produits et les services d’un concurrent pour obtenir un avantage sur le marché.
• Des nations entières se livrent à des actes de piratage soutenus par des États en vue de voler des renseignements commerciaux ou nationaux, déstabiliser l’infrastructure de leurs adversaires ou même semer la discorde et la confusion dans le pays cible. (Il existe un consensus qui veut que la Chine et la Russie aient effectué ce genre d’attaques, notamment une sur le site Forbes.com.
• Le pirate informatique qui a des motivations politiques ou sociales. Ce genre d’activistes-pirates (ou « hacktivists » en anglais) cherchent à attirer sensibiliser le public à un problème en jetant une lumière peu flatteuse sur la cible, généralement en rendant publiques des informations sensibles. Pour découvrir des groupes d’activistes-pirates, ainsi que leurs activités les plus célèbres, consultez Anonymous, WikiLeaks et LulzSec.

Si un pirate informatique est une personne qui possède une connaissance approfondie des systèmes informatiques et des logiciels, et qui utilise cette connaissance pour subvertir d’une manière ou d’une autre cette technologie, alors un pirate malfaisant le fait pour voler quelque chose de valeur ou pour d’autres raisons malveillantes. Par conséquent, il est raisonnable d’attribuer une ou plusieurs de ces 5 motivations (vol, réputation, espionnage d’entreprise et piratage d’État-nation) à ce qu’on appelle les « chapeaux noirs ».

D’un autre côté, les pirates à « chapeaux blancs », s’efforcent d’améliorer l’efficacité des systèmes de sécurité d’une organisation en trouvant des failles afin de pouvoir empêcher le vol d’identité ou d’autres cybercrimes avant que les chapeaux noirs ne s’y engouffrent. Les grandes entreprises emploient même leurs propres pirates à chapeaux blancs au sein de leur équipe d’assistance technique. Nos entreprises peuvent même sous-traiter leurs pirates à chapeaux blancs à des services tels que HackerOne, qui teste les logiciels pour y trouver des vulnérabilités et des bugs moyennant rémunération.

Enfin, il y a cette foule de pirates informatiques à « chapeaux gris », qui utilisent leurs compétences pour pénétrer dans les systèmes et réseaux sans autorisation (comme les chapeaux noirs). Mais au lieu de semer le chaos à grande échelle, ils peuvent signaler leur découverte à la personne ciblée et offrir de réparer les vulnérabilités contre rétribution.

Piratage des téléphones Android

Alors que la majeure partie du piratage cible des ordinateurs Windows, le système d’exploitation Android est également une cible de choix pour les pirates informatiques.

Les premiers pirates informatiques qui ont exploré les méthodes low-tech pour contourner les réseaux de télécommunication sécurisés (et les appels longue distance coûteux de leur époque) étaient à l’origine appelés phreaks – une combinaison des mots « phone » (téléphone) et « freaks » (fous). Ils appartenaient à une sous-culture définie dans les années 70, et leur activité était appelée le piratage téléphonique (phreaking).

De nos jours, ces pirates téléphoniques ont quitté l’ère de la technologie analogique pour devenir des pirates informatiques dans un monde numérique de plus de 2 milliards d’appareils mobiles. Les pirates de téléphones mobiles utilisent de nombreuses méthodes pour accéder au téléphone d’une personne et intercepter ses messages vocaux, ses appels, ses SMS et même le micro et la caméra du téléphone, tout cela sans que l’utilisateur l’y autorise voire même ne s’en rende compte.

Par rapport aux iPhones, les téléphones Android sont beaucoup plus vulnérables, avec une nature en open-source et des incohérences en termes de développement logiciel qui les exposent à un risque accru de corruption et de vol de données. Les cybercriminels peuvent voir les données stockées sur le téléphone, notamment les informations d’identité et financières. De la même façon, les pirates informatiques peuvent suivre votre situation géographique (géolocalisation), forcer votre téléphone à envoyer des SMS à des correspondants ou même propager un lien malveillant intégré, à d’autres personnes parmi vos contacts, qui cliqueront dessus en croyant qu’il vient de vous.

Sur demande d’un magistrat, en France, les forces de l’ordre peuvent être mandatées pour surveiller des téléphones, stocker des copies de SMS et d’e-mails, transcrire des conversations privées ou suivre les mouvements d’un suspect. Mais ceci relève plus de la surveillance légitime que du piratage.

Les pirates de téléphones ont l’avantage de disposer de nombreuses techniques de piratage d’ordinateurs, qui sont simples à adapter aux appareils Android. L’hameçonnage, (« phishing » en anglais) l’activité criminelle qui consiste à cibler des individus ou des membres d’organisations pour les inciter à dévoiler des informations sensibles via l’ingénierie sociale, est une méthode redoutable. En fait, parce qu’un téléphone affiche une barre d’adresse beaucoup plus petite qu’un PC, l’hameçonnage sur un navigateur Internet mobile facilite probablement la contrefaçon d’un site Web apparemment fiable sans afficher les signes subtils (comme les fautes d’orthographe intentionnelles ou les URLs fantaisistes) que vous pouvez déceler sur un navigateur de bureau. Alors, vous recevez un message supposément de votre banque vous demandant de vous connecter pour résoudre un problème urgent, cliquez sur le lien fourni, saisissez vos identifiants sur le formulaire, et le piège se referme sur vous.

Les applications avec chevaux de Troie téléchargées sur des boutiques non sécurisées sont une autre menace des pirates sur les appareils Android. Les grandes boutiques d’applications Android (Google et Amazon) surveillent de près les applications proposées sur leur plateforme mais les malwares intégrés peuvent parfois déjouer leur surveillance, parfois à partir de sites fiables, ou plus fréquemment à partir de sites suspects. C’est de cette façon que votre téléphone finit pas héberger des adwares, des spywares, des ransomwares, (voir cet article) ou un grand nombre de malwares plus ou moins dangereux.

D’autres méthodes sont encore plus sophistiquées et ne nécessitent même pas qu’un utilisateur clique sur un lien corrompu. Le Bluehacking (piratage via des appareils Bluetooth) accède à votre téléphone quand celui-ci apparaît à portée d’un réseau Bluetooth non protégé. Il est même possible d’imiter un réseau de confiance ou un relais mobile pour rediriger les SMS ou les sessions de connexion. Et si vous laissez votre téléphone non verrouillé sans surveillance dans un lieu public, au lieu de simplement le voler, un pirate informatique peut le cloner en copiant la carte SIM, ce qui revient à lui ouvrir grand les portes de la forteresse.

Piratage des Mac

Les ordinateurs Apple (MacBook Air, MacBook, MacBook pro, Mac Mini, iMac) sont tout aussi exposés.

En 2017 a eu lieu une campagne d’hameçonnage visant les utilisateurs de Mac, principalement en Europe. Transporté par un cheval de Troie qui avait obtenu un certificat de développeur Apple valide, une fenêtre en plein écran déclarait qu’une mise à jour essentielle d’OS X était en attente d’installation. Si le piratage fonctionnait, les malfaiteurs obtenaient un accès total à toutes les communications de la victime, leur permettant d’espionner toute la navigation sur le Web, même les connexions HTTPS avec une icône de verrouillage.

En plus des attaques d’ingénierie sociale sur les Mac, la faille matérielle occasionnelle peut également créer des vulnérabilités, comme ce fut le cas avec les failles nommées Meltdown et Spectre que le journal The Guardian a signalées début 2018. Apple a répondu à ces failles de sécurité en développant des protections, mais a également conseillé à ses clients de télécharger les logiciels uniquement depuis des sources fiables, comme ses boutiques d’applications App et Apple Store, pour aider à empêcher les pirates informatiques de pouvoir exploiter les vulnérabilités du processeur.

Donc entre les virus, les malwares et les failles de sécurité, les pirates informatiques ont créé des kits d’outils complets pour mettre à mal votre Mac.

Prévention contre le piratage

Pour commencer, téléchargez un anti-malware efficace (ordinateur et téléphone) qui peut à la fois détecter et neutraliser les malwares et bloquer les connexions aux sites d’hameçonnage que vous soyez sous Windows, Android ou Mac, sur un iPhone, ou sur un réseau d’entreprise.

Deuxièmement, téléchargez uniquement les applications téléphoniques provenant de boutiques d’applications officielles qui font le ménage dans les applications qui transportent des malwares, comme Google Play et Amazon Appstore. La politique d’Apple permet uniquement aux utilisateurs d’iPhone d’effectuer des téléchargements sur l’App Store. Malgré cela, chaque fois que vous téléchargez une application, vérifiez d’abord les commentaires et les notes. Si les notes sont mauvaises et que le nombre de téléchargements est bas, il est préférable d’éviter cette application.

Sachez qu’aucune banque ou système de paiement en ligne ne vous demandera jamais de fournir vos identifiants de connexion, numéro de sécurité sociale ou numéros de carte bancaire par e-mail.

Que vous utilisiez votre téléphone ou un ordinateur, pensez à mettre à jour votre système d’exploitation ainsi que vos logiciels.

Évitez de vous rendre sur des sites Internet non fiables, et ne téléchargez jamais de pièces jointes non vérifiées ou ne cliquez jamais sur des liens dans des e-mails que vous ne reconnaissez pas.

Toutes les recommandations ci-dessous sont des règles universelles. Mais les hackers recherchent en permanence de nouveaux moyens de pénétrer votre système. Si un pirate informatique découvre un des mots de passe que vous utilisez pour plusieurs services, il dispose d’applications qui peuvent violer vos autres comptes. Alors utilisez des mots de passe longs et compliqués, n’utilisez pas le même mot de passe pour différents comptes, et utilisez plutôt un gestionnaire de mots de passe. (Voir cet article) Parce que même un seul compte de messagerie piraté peut être un véritable désastre pour vous et vos proches.