De l’art du scam ou comment repérer les faux mails

Étiquettes

, ,

mail

Récemment mes parents ont reçu un mail particulièrement douteux. Les connaisseurs auront déjà deviné l’histoire : une de leurs connaissances se trouve en difficultés à l’étranger et il lui faut de toute urgence 1500€ pour s’en sortir. Quand on a l’habitude, c’est direct à la poubelle. À l’inverse, il y a de quoi se poser des questions et, face à de nombreux cas que je rencontre notamment chez mes amis, j’ai pensé qu’il était intéressant de faire une petite série d’articles sur la cybersécurité, en particulier sur l’ingénierie sociale.

Qu’est-ce que l’ingénierie sociale premièrement ? J’aime beaucoup cette citation issue d’En famille d’Hector Malot et qui résume à peu près bien ce que peut être l’ingénierie sociale, à savoir user de la connaissance de données plus ou moins privées à des vues d’extorsion (d’autres données, d’argent…) ou d’usurpation d’identité.

C’est tout de même étonnant que celui qui est victime de cet espionnage ne le devine pas et ne comprenne pas que ce merveilleux accord d’idées dont on se vante, que cette intuition extraordinaire ne sont que le résultat de savantes préparations: qu’on me rapporte que vous avez ce matin exprimé l’opinion que le foie de veau aux carottes était une bonne chose, et je n’aurai pas grand mérite à vous dire ce soir que je suppose que vous aimez le veau aux carottes.

Il existe de nombreuses formes d’ingénierie sociale et je ne prétends pas être exhaustif mais vous donner quelques clés qui vous permettront de repérer plus facilement les arnaques.

Commençons donc par les scams. Ces derniers sont une escroquerie classique qui existait déjà sous forme de courrier papier et qui consiste à se faire passer pour autrui pour vous extorquer le plus souvent de l’argent, des données de paiement ou des informations privées permettant d’usurper votre identité.

Il existe principalement six cas de figure :

  • une personne souhaite pour des raisons diverses partager sa fortune, son héritage avec vous,

Pourquoi vous ? « Parce que c’était lui, parce que c’était moi », pourrait-on vous répondre. Il n’y a bien évidemment pas d’héritage à partager à la clé. Par contre, les frais de banque, d’huissier et de notaire seront bien réels. On va en effet vous réclamer régulièrement de l’argent pour faire avancer le dossier.

  • un cadeau magnifique vous tombe du ciel,

Quelle chance ! D’autant que vous n’avez participé à aucun concours ou aucune loterie via internet. Vous ne connaissez pas non plus la société qui organise ce concours. La plupart du temps les liens sur lesquels on vous demande de cliquer pour recevoir renvoient sur des pages à risque (publicités véreuses, virus et autres malwares qui risquent de compromettre votre ordinateur…).

  • une personne que vous connaissez a des ennuis ou veut vous parler,

Posez-vous quelques questions. Avez-vous un degré d’intimité tel qu’il vous paraît évident que cette personne fasse appel à vous ? Si votre plombier vous demande 1500€ car coincé au fin fond de l’Ouganda, c’est plutôt suspect, non ? D’autre part, fait-on une telle demande par mail ? Il y a bien d’autres canaux de communication et il y a très peu de chances que votre interlocuteur soit coincé dans une histoire de terrorisme façon James Bond où il a profité d’un instant d’inattention de ses ravisseurs pour vous envoyer un mail.

  • une personne que vous ne connaissez pas se trouve dans le même cas de figure,

Idem que pour le cas précédent. La personne qui ouvre un annuaire, tombe sur votre adresse au hasard et vous envoie un courrier pour demander de l’aide, ça existe… dans les films. Mettez vos émotions de coté et reléguez ce mail à la poubelle.

  • la sécurité de votre adresse mail est compromise,
  • vous avez un retard ou un défaut de paiement sur un service (banque, eau, électricité, fournisseur d’accès à internet…).

Ces deux derniers types de mails constituent ce que l’on appelle une tentative de phishing et ne sont destinés qu’à récupérer des informations privées en vous demandant par exemple de confirmer votre adresse ou plus grave vos données de paiement (numéro de carte bleue & co). La réponse à apporter à ces mails (en premier lieu la poubelle) tient dans les quelques conseils ci-dessous.

Dans tous les cas, on ne répond jamais à un mail de ce type, même pour demander des précisions car ces mails sont envoyés en masse. Lors d’un piratage, par exemple, le même mail est envoyé à tout le carnet d’adresses de la personne piratée. Si vous répondez, vous indiquez que votre adresse est valide et qu’il y a donc possibilité de vous envoyer d’autres arnaques. C’est un peu comme si vous ouvriez votre porte à un vendeur à la sauvette qui sait désormais que cette maison cache un client potentiel. Attendez-vous donc à recevoir d’autres mails du même genre.

Il est important de faire attention à certains détails comme l’orthographe, le niveau de langage ou la logique apparente du mail. Si votre collègue qui d’ordinaire vous vouvoie et vous sert du « très cher » vous tutoie par mail en démarrant par « wesh gros », il y a de très très très fortes chances que ce soit un scam. Un service d’entreprise qui vous écrit avec des fautes énormes, c’est aussi suspect. Et puis il y a le classique « envoie-moi ton mail », genre « je t’appelle pour te demander ton numéro de téléphone ». Bref, ça ne mérite pas que l’on s’y attarde.

On ne clique jamais sur les liens et on lit les adresses très attentivement. Dans le cas du phishing par exemple, l’objectif est de vous faire passer par un faux site avant de vous renvoyer vers le vrai. Dans le monde physique, la technique existe déjà avec de faux lecteurs de carte bleue qui était apposés sur les vrais. La carte était enregistrée dans le faux lecteur puis le paiement s’effectuait correctement sur le vrai.

Imaginons que vous ayez acheté deux paires de chaussettes sur le site : http://www.archiduchesse.com/ (qui est tout ce qu’il y a de plus vrai celui-là et très sympa) ; une potentielle tentative de phishing vous renverrait vers des adresses de ce type (notez bien les différences) :

  • http://www.arch1duchesse.com/
  • http://www.archiduchese.com/
  • http://www.archiduchesses.com/

Comme vous pouvez le constater, les différences sont minimes mais l’adresse est alors totalement différente et peut renvoyer vers une copie de ce site. L’usurpateur va tenter au travers du mail de vous faire croire que le règlement des chaussettes n’a pas fonctionné et qu’il vous faut recommencer. Vous allez donc entrer vos données de paiement sur un faux site avant d’être redirigé vers le véritable site. C’est un type d’arnaque qui fait énormément de tort d’une part aux clients mais aussi aux marques qui sont visées, la plupart des personnes trompées ne comprenant pas la supercherie.

On sera aussi attentif à l’adresse de l’interlocuteur : un service client qui vous contacte via une adresse comportant une faute d’orthographe ou n’ayant rien à voir avec le schmilblik, c’est suspect.

C’est tout pour aujourd’hui. Nous évoquerons prochainement les faux profils et la lecture à froid.

Numérique : que peut-on apprendre (D’ABORD!!!) aux enfants ?

old school keyboard

Former les enfants au numérique, « vaste programme », comme aurait dit De Gaulle. Attendez-vous à vous heurter à certains écueils qui parfois peuvent mettre en danger votre santé mentale. Bref, avant de plonger totalement dans le numérique (et pas qu’avec les enfants), que convient-il de leur apprendre ?

Number 1 ! Éteindre un ordinateur.

Non, appuyer sur le gros bouton de l’écran ou juste rabaisser l’écran du portable ne suffit pas pour éteindre un ordinateur. Montrez leur la séquence. Vous sauverez des vies plus tard (d’administrateurs-système, de responsables informatiques… qui frôlent régulièrement la crise cardiaque lorsqu’on leur répond « Mais je l’ai éteint ! »).

Number 2 ! C’est quoi sauvegarder ?

Force est de constater que les enfants utilisent l’ordinateur bien avant de connaître la différence entre dossiers et fichiers et de savoir comment se structure un système de fichiers. On peut vivre sans cela, me direz-vous. Certes… Mais de là, la perte de fichiers sauvegardés n’importe où sur le disque dur, la suppression parfois de fichiers vitaux et surtout l’incapacité à sauvegarder correctement et régulièrement les travaux. C’est pour cela que j’utilise plus facilement l’interface en ligne de Scratch plutôt que le logiciel offline. Les sauvegardes se font automatiquement et les enfants peuvent suivre plus facilement leurs projets. N’oubliez pas non plus de leur apprendre à nommer leurs projets sinon on voit apparaître une multitude de « untitled » ou de noms de fichier vides dans lesquels il est difficile de s’y retrouver.

Number 3 ! Apprendre à utiliser la touche Shift.

Mais quel est l’imbécile ayant imaginé la touche Capslock ??? Outre le fait qu’il y a encore des gens qui écrivent en majuscules, ce qui donne la vague impression qu’ils nous hurlent dessus, les enfants s’emmêlent les pinceaux avec la touche Capslock et pensent que c’est le seul moyen d’obtenir les chiffres. C’est pourtant si simple avec la touche Shift appelée aussi « la grosse flèche vers le haut ».

Number 4 ! Apprendre à utiliser les touches fléchées plutôt que la souris.

Je désespère chaque fois que je les vois péniblement se déplacer dans un texte à l’aide de la souris, alors qu’avec les touches fléchées cela se fait en quelques secondes. Que de temps perdu surtout quand il s’agit de modifier une simple lettre ou un mot. Aidez-les à prendre de bonnes habitudes en leur montrant tous les bienfaits du clavier, ainsi que de quelques raccourcis (sauvegarder, copier / coller…).

Number 5 ! Apprendre à passer d’une application à l’autre (et à les fermer).

En parlant de raccourcis clavier, l’un d’entre eux est quasi-indispensable à votre survie : ALT-TAB ou CMD-TAB. Il permet en effet de se déplacer d’une application à l’autre de façon rapide. Cela évite de les voir de nouveau péniblement utiliser la souris pour passer d’une fenêtre à l’autre mais aussi de relancer une application alors qu’elle est en déjà en cours d’utilisation. Cependant, cette dernière remarque n’est propre qu’à Windows, GNU/Linux et Mac OS X vous renvoyant vers l’application en cours plutôt que de relancer une nouvelle instance. J’ai trouvé ainsi sur une machine cinq instances de Super Tux Kart en cours d’utilisation. D’après l’enfant, l’ordinateur avait « tendance à ramer ». Un peu, oui… De là, tout l’intérêt aussi de leur apprendre les bienfaits de la touche ESCAPE, ESC ou ECHAP qui permet bien souvent de sortir de différents menus ou logiciels.

Number 6 ! Apprendre à utiliser le trackpad.

Cela me fait toujours sourire quand je vois des enfants tenter de cliquer directement sur l’écran du PC. L’habitude des tablettes… Certes, de nombreuses interfaces deviennent tactiles mais le temps est encore loin où l’on verra du 100% tactile (et à ceux qui me traiteraient de réactionnaire, je leur rappellerais que l’on attendait des robots dans les classes et des voitures volantes en l’an 2000…). L’utilisation de la souris risque de durer encore un moment et il est important aussi de savoir se suffire du trackpad de l’ordinateur. Gain de temps et réduction de la fatigue au niveau de la main. Apprenez-leur donc à en tirer le meilleur parti et à l’utiliser avec les deux mains, l’habitude de nouveau de la tablette donnant des gestuelles peu efficaces.

Punir, oui ! Mais avec Scratch… ;-)

De l'art des relations entre frères et soeurs... et d'avoir sa maman maitresse d'école...

Oui, j’avoue. Cette fois, ils m’ont saoulé. Ce n’est pas tous les jours « bisounours land »  et chez certains gamins le « ta g… » a remplacé le « bonjour »  entre eux.

En général, je suis patient jusqu’à… Oui, jusque ça au moins…

Ce jour-là, la sanction est donc tombée. « Vous me copierez 300 fois ‘je ne dois pas médire de mes camarades’ (et vous en profiterez pour aller voir sur le net ce que signifie ‘médire’). »

Regards interloqués… Apportons donc quelques précisions. « Avec Scratch évidemment. »

Sourires… Avec Scratch, trop facile. Il suffit de faire une boucle. Soyons donc sadique et ajoutons une autre précision. « Sans boucle. »

Ils ont cherché un moment. Certains ont tenté de dupliquer les blocs mais c’est vite devenu lassant. Il y avait donc une astuce à découvrir en utilisant un compteur et les messages. L’une d’entre eux a fini par trouver et partager sa découverte.

screenshot-scratch mit edu 2016-05-13 07-36-43

Certes, cela ne réglera pas les problèmes de comportement à long terme mais, pendant cette bonne demi-heure de recherche, il n’a plus été question de conflits et on a cogité.

Il va falloir que je potasse une série de punitions…:-)