Étiquettes

, ,

mail

Récemment mes parents ont reçu un mail particulièrement douteux. Les connaisseurs auront déjà deviné l’histoire : une de leurs connaissances se trouve en difficultés à l’étranger et il lui faut de toute urgence 1500€ pour s’en sortir. Quand on a l’habitude, c’est direct à la poubelle. À l’inverse, il y a de quoi se poser des questions et, face à de nombreux cas que je rencontre notamment chez mes amis, j’ai pensé qu’il était intéressant de faire une petite série d’articles sur la cybersécurité, en particulier sur l’ingénierie sociale.

Qu’est-ce que l’ingénierie sociale premièrement ? J’aime beaucoup cette citation issue d’En famille d’Hector Malot et qui résume à peu près bien ce que peut être l’ingénierie sociale, à savoir user de la connaissance de données plus ou moins privées à des vues d’extorsion (d’autres données, d’argent…) ou d’usurpation d’identité.

C’est tout de même étonnant que celui qui est victime de cet espionnage ne le devine pas et ne comprenne pas que ce merveilleux accord d’idées dont on se vante, que cette intuition extraordinaire ne sont que le résultat de savantes préparations: qu’on me rapporte que vous avez ce matin exprimé l’opinion que le foie de veau aux carottes était une bonne chose, et je n’aurai pas grand mérite à vous dire ce soir que je suppose que vous aimez le veau aux carottes.

Il existe de nombreuses formes d’ingénierie sociale et je ne prétends pas être exhaustif mais vous donner quelques clés qui vous permettront de repérer plus facilement les arnaques.

Commençons donc par les scams. Ces derniers sont une escroquerie classique qui existait déjà sous forme de courrier papier et qui consiste à se faire passer pour autrui pour vous extorquer le plus souvent de l’argent, des données de paiement ou des informations privées permettant d’usurper votre identité.

Il existe principalement six cas de figure :

  • une personne souhaite pour des raisons diverses partager sa fortune, son héritage avec vous,

Pourquoi vous ? « Parce que c’était lui, parce que c’était moi », pourrait-on vous répondre. Il n’y a bien évidemment pas d’héritage à partager à la clé. Par contre, les frais de banque, d’huissier et de notaire seront bien réels. On va en effet vous réclamer régulièrement de l’argent pour faire avancer le dossier.

  • un cadeau magnifique vous tombe du ciel,

Quelle chance ! D’autant que vous n’avez participé à aucun concours ou aucune loterie via internet. Vous ne connaissez pas non plus la société qui organise ce concours. La plupart du temps les liens sur lesquels on vous demande de cliquer pour recevoir renvoient sur des pages à risque (publicités véreuses, virus et autres malwares qui risquent de compromettre votre ordinateur…).

  • une personne que vous connaissez a des ennuis ou veut vous parler,

Posez-vous quelques questions. Avez-vous un degré d’intimité tel qu’il vous paraît évident que cette personne fasse appel à vous ? Si votre plombier vous demande 1500€ car coincé au fin fond de l’Ouganda, c’est plutôt suspect, non ? D’autre part, fait-on une telle demande par mail ? Il y a bien d’autres canaux de communication et il y a très peu de chances que votre interlocuteur soit coincé dans une histoire de terrorisme façon James Bond où il a profité d’un instant d’inattention de ses ravisseurs pour vous envoyer un mail.

  • une personne que vous ne connaissez pas se trouve dans le même cas de figure,

Idem que pour le cas précédent. La personne qui ouvre un annuaire, tombe sur votre adresse au hasard et vous envoie un courrier pour demander de l’aide, ça existe… dans les films. Mettez vos émotions de coté et reléguez ce mail à la poubelle.

  • la sécurité de votre adresse mail est compromise,
  • vous avez un retard ou un défaut de paiement sur un service (banque, eau, électricité, fournisseur d’accès à internet…).

Ces deux derniers types de mails constituent ce que l’on appelle une tentative de phishing et ne sont destinés qu’à récupérer des informations privées en vous demandant par exemple de confirmer votre adresse ou plus grave vos données de paiement (numéro de carte bleue & co). La réponse à apporter à ces mails (en premier lieu la poubelle) tient dans les quelques conseils ci-dessous.

Dans tous les cas, on ne répond jamais à un mail de ce type, même pour demander des précisions car ces mails sont envoyés en masse. Lors d’un piratage, par exemple, le même mail est envoyé à tout le carnet d’adresses de la personne piratée. Si vous répondez, vous indiquez que votre adresse est valide et qu’il y a donc possibilité de vous envoyer d’autres arnaques. C’est un peu comme si vous ouvriez votre porte à un vendeur à la sauvette qui sait désormais que cette maison cache un client potentiel. Attendez-vous donc à recevoir d’autres mails du même genre.

Il est important de faire attention à certains détails comme l’orthographe, le niveau de langage ou la logique apparente du mail. Si votre collègue qui d’ordinaire vous vouvoie et vous sert du « très cher » vous tutoie par mail en démarrant par « wesh gros », il y a de très très très fortes chances que ce soit un scam. Un service d’entreprise qui vous écrit avec des fautes énormes, c’est aussi suspect. Et puis il y a le classique « envoie-moi ton mail », genre « je t’appelle pour te demander ton numéro de téléphone ». Bref, ça ne mérite pas que l’on s’y attarde.

On ne clique jamais sur les liens et on lit les adresses très attentivement. Dans le cas du phishing par exemple, l’objectif est de vous faire passer par un faux site avant de vous renvoyer vers le vrai. Dans le monde physique, la technique existe déjà avec de faux lecteurs de carte bleue qui était apposés sur les vrais. La carte était enregistrée dans le faux lecteur puis le paiement s’effectuait correctement sur le vrai.

Imaginons que vous ayez acheté deux paires de chaussettes sur le site : http://www.archiduchesse.com/ (qui est tout ce qu’il y a de plus vrai celui-là et très sympa) ; une potentielle tentative de phishing vous renverrait vers des adresses de ce type (notez bien les différences) :

  • http://www.arch1duchesse.com/
  • http://www.archiduchese.com/
  • http://www.archiduchesses.com/

Comme vous pouvez le constater, les différences sont minimes mais l’adresse est alors totalement différente et peut renvoyer vers une copie de ce site. L’usurpateur va tenter au travers du mail de vous faire croire que le règlement des chaussettes n’a pas fonctionné et qu’il vous faut recommencer. Vous allez donc entrer vos données de paiement sur un faux site avant d’être redirigé vers le véritable site. C’est un type d’arnaque qui fait énormément de tort d’une part aux clients mais aussi aux marques qui sont visées, la plupart des personnes trompées ne comprenant pas la supercherie.

On sera aussi attentif à l’adresse de l’interlocuteur : un service client qui vous contacte via une adresse comportant une faute d’orthographe ou n’ayant rien à voir avec le schmilblik, c’est suspect.

C’est tout pour aujourd’hui. Nous évoquerons prochainement les faux profils et la lecture à froid.