Piratage informatique (données personnelles, CB, mot de passe) : les 8 méthodes les plus courantes

Publié le

Connaître les méthodes de piratage c’est être davantage vigilant et abaisser ainsi ses risques de se faire pirater. Phishing, rançongiciels, vols de mots de passe, logiciels malveillants, faux sites internet, faux réseaux wifi… Les pirates ne manquent pas d’imagination pour tenter de s’en prendre à vos données. Le portail de l’Économie, des Finances, de l’Action et des Comptes publics fait le point sur les 8 méthodes de piratage les plus fréquemment utilisées par les escrocs.

1 - Le phishing

Le phishing ou hameçonnage consiste à faire croire à la victime qu’elle communique avec un tiers de confiance dans le but de lui soutirer des informations personnelles telles que son numéro de carte bancaire ou son mot de passe

Phishing, à retenir : aucun établissement financier (banque, assurance, etc.) ne doit vous adresser un email vous demandant de vous connecter à votre espace client via un lien inclus dans l’email. Vous devez toujours vous connecter à partir d’une URL que vous avez saisie dans votre navigateur.

Les antivirus, sont par définition, toujours en retard par rapport aux épidémies. Le logiciel doit être mis à jour avec les nouvelles signatures de virus pour pouvoir les éliminer. Ces logiciels n’offrent donc pas une protection totale, restez vigilants. N’ouvrez pas les pièces jointes de vos courriels, non suspects, dont vous ne connaissez pas l’expéditeur avec certitude.

2 - Réseaux sociaux

Fléau de la tendance actuelle. Les réseaux sociaux sont le terrain de jeu préférés des pirates en tous genres. Vos données personnelles peuvent être facilement exploitées afin de prendre contact avec vous, notamment par email. Les pirates peuvent parfois se servir des informations publiques diffusées sur les réseaux sociaux pour réaliser un phishing ciblé. Restez vigilant et vérifiez les paramètres de vos comptes !

Le conseil sur les réseaux sociaux : comme bon nombre d’utilisateurs, le mieux est encore d’avoir deux comptes. Un compte "officiel" pour échanger avec vos proches, votre famille, poster vos photos identifiables, avec un cercle très fermé d’amis, que vous connaissez absolument. Un compte non officiel, dissimulant votre identité, vos habitudes, vos photos identifiables, vous permettant de rejoindre groupes, et autres pages de sites marchands.

3 - Le rançongiciel / ransomware

Les rançongiciels sont des programmes informatiques malveillants de plus en plus répandus (ex : Wannacrypt, Jaff, Locky, TeslaCrypt, Cryptolocker, etc.). L’objectif : chiffrer des données puis demander à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.

Effectuez des sauvegardes régulières de vos données. N’ouvrez pas les messages dont la provenance ou la forme est douteuse. Apprenez à identifier les extensions douteuses des fichiers : si elles ne correspondent pas à ce que vous avez l’habitude d’ouvrir, ne cliquez pas ! N’ouvez jamais un fichier avec une extension d’exécutable (.exe).

4 - Brut force attack (craquage) de votre mot de passe

Le vol de mot de passe consiste à utiliser des logiciels destinés à tenter un maximum de combinaisons possibles dans le but de trouver votre mot de passe. Le vol de mot de passe peut également se faire en multipliant les essais d’après des informations obtenues par exemple sur les réseaux sociaux. N’utilisez pas le nom de vos enfants, de vos mascottes ou d’autres éléments susceptibles de figurer dans vos réseaux sociaux comme mot de passe.
Construisez des mots de passe compliqués : utilisez des lettres, des majuscules et des caractères spéciaux.

5 - Les logiciels malveillants

Il s’agit d’un programme développé dans le seul but de nuire à un système informatique. Il peut être caché dans des logiciels de téléchargement gratuits ou dans une clé USB. N’installez que des logiciels provenant de sources fiables ! Si un logiciel normalement payant vous est proposé à titre gratuit, redoublez de vigilance. Préférez les sources officielles !

Attention : de nombreux utilitaires proposés sur Internet, gratuitement, "spécialisé" dans le nettoyage de votre ordinateur sont en fait des logiciels malveillants. Vous les installez pensant protéger ainsi votre ordinateur, alors que vous installez un logiciel espion. Ce dernier va intercepter tous vos mots de passe et données personnelles à votre insu.

6 - Les faux sites internet

Des faux sites (boutiques en ligne, sites web administratifs…) peuvent être des copies parfaites de l’original. Leur but : récupérer vos données de paiement ou mots de passe.

A retenir : attention, les faux sites sont maintenant également en protocole HTTPS. La seule indication de l’utilisation de ce protocole ne permet donc pas d’identifier les faux-sites.

7 - Les faux réseaux wifi

Lorsque vous êtes dans un lieu public, une multitude de connexions wifi ouvertes peuvent apparaître. Méfiez-vous, certains de ces réseaux sont piégés et destinés à voler vos informations.
Quatre conseils pour vous protéger contre un faux réseau wifi :

  1. Assurez-vous de l’originalité du réseau concerné. Si possible, demandez confirmation à l’un des responsables du réseau ouvert (Exemple : le bibliothécaire, le responsable d’un café…).
  2. Si vous devez créer un mot de passe dédié, n’utilisez pas le mot de passe d’un de vos comptes.
  3. Ne vous connectez jamais à des sites web bancaires ou importants (boîte de réception, documents personnels stockés en ligne…) via l’un de ces réseaux. N’achetez jamais quelque chose en ligne via ces derniers non plus. Attendez d’être sur un réseau fiable pour ce faire.
  4. N’installez jamais de mise à jour soi-disant obligatoire à partir de l’un de ces réseaux.

8 - La clé USB piégée

Si vous avez trouvé une clé USB, abstenez-vous de la connecter à votre ordinateur ! Celle-ci peut avoir été abandonnée dans le seul but de voler ou de chiffrer vos données contre rançon. Rapportez-la plutôt au service des objets perdus de l’établissement dans lequel vous vous trouvez ou de votre ville.

Une question, un commentaire?

Réagir à cet article Piratage informatique (données : Publiez un commentaire ou posez votre question...

1 commentaire

  • 1• et 6• : vous pouvez (vous devez) fusionner ces deux rubriques. Le hameçonnage est toujours réalisé pour vous emmener sur un faux site (de FAI, de banque, de site marchand…), où il vous sera généralement demandé en tout premier lieu votre n° de CB.
    Le couplet sur les antivirus est hors de propos. Un virus abime votre système, vos applications, vous documents, en se répliquant lui-même, mais il n’a aucun rapport avec le phishing.

    2• : quelques sites vous obligent à choisir vos 3 questions de sécurité, qui vous seront posées pour vous autoriser à réinitialiser votre mot de passe (perdu par exemple). Assurez-vous que les 3 réponses ne sont pas accessibles en analysant vos publications sur réseaux sociaux.
    Le mieux est cependant de choisir des réponses arbitraires, la vérification ne se faisant que sur la conformité, pas sur la pertinence.
    Ainsi, si vous choisissez en questions Nom de votre 1er animal familier ; Marque de votre 1er véhicule ;Film préféré, vous pouvez donner par exemple en réponse : 8 mai ; 11 novembre et 31 décembre (ou trois noms de couleur).

    4• : Vos lecteurs ne sont pas concernés par la « Brute-force attack ». L’attaque par force brute n’est utilisée que sur une cible choisie,
    car cela demande un minimum de moyen et beaucoup de temps.
    L’usurpation de mot de passe est plutôt obtenue à partir d’un phishing : nous avons détecté une activité anormale sur votre compte, veuillez le sécuriser immédiatement, en vous connectant via le lien… sinon nous ne répondrons de rien. Variante : nous tenons à votre sécurité, merci de nous aider à faire cette mise à jour de sécurité, en vous connectant via le lien…
    Concernant LES mots de passe, Il y a une règle qui est primordiale, et beaucoup plus importante que celle de la complexité, c’est l’unicité.
    NE JAMAIS utiliser le même mot de passe sur deux site différents.
    Soit le mot de passe : aZeRtYuIoPmLkJhGfDsQwXcVbN010203040506070809&-é)"à’ç(!§è‹≈©◊ß ∞…÷≠
    Majuscules, minuscules, chiffres, lettres, signes diacritiques, autres caractères… Je suis tellement fier de sa complexité que je l’utilise partout, par copier/coller.
    Problème, le site de couture où j’échange des patrons en pdf a été piraté et siphonné. J’étais inscrit sur ce site avec MonAdresseMail @ FAI.fr et ce mot de passe complexe… qui est aussi celui de MonAdresseMail @ FAI.fr
    C’est la première chose que les pirates du site de couture vont vérifier. Bingo pour eux ! Ils vont avoir accès à ma messagerie, connaître tous les sites de commerce où ma CB est peut-être enregistrée, et faire un maximum de dégâts. Lorsqu’ils tomberont sur un site où j’ai oublié de faire cette bêtise (mot de passe commun), ils pourront demander la réinitialisation sur le site, qui enverra un lien à cet effet vers… MonAdresseMail @ FAI.fr

    5• : Tous les logiciels malveillants (malware) ne se cachent pas, les pires sont ceux qui s’affichent en prétendant vous aider… contre les logiciels malveillants, ou pour faciliter votre navigation. Règle : toujours refuser d’installer un logiciel qui promet, alors que vous n’aviez rien demandé, de vous faciliter la vie.
    Si vous l’avez fait quand même, vous pouvez utiliser le logiciel gratuit Malwarebytes, très efficace avec des signatures régulièrement mises à jour.
    Fuyez aussi comme la peste les Barre d’outils (ToolsBar) qui s’intègrent à votre navigateur. Dans le meilleur des cas, elles ralentiront votre navigation et moucharderont votre activité, dans le pire vous aurez le droit à une attaque du man-in-the-middle.
    Sous prétexte de vous adjoindre une navigation et recherche personnalisée, tout ce que vous tapez dans les formulaires va être d’abord envoyé sur un serveur tiers (et pirate), avant de revenir dans la direction que vous souhaitiez. Et hop, les mots de passe interceptés !
    Symptôme de cette attaque de l’homme du milieu : lorsque vous tentez vous connecter sur votre banque en ligne, on vous demande de reconnecter plus tard.
    C’est systématique, cela dure toute les journée malgré vos essais multiples. Et curieusement, la connexion depuis votre smartphone, votre tablette ou un autre ordinateur se réalise au même moment dès la première tentative.
    Explication : les sites des banques sont sécurisés et se rendent compte que la communication avec vous est sortie du tunnel sécurisé (tunnel SSH) qu’ils avaient construit pour vous.
    Préférez, sur votre ordinateur personnel, l’utilisation d’un logiciel client mail (comme Thunderbird) plutôt que le relevé en ligne via navigateur.
    Ainsi, si votre navigateur est vérolé par une ToolsBar, le mot de passe de votre compte mail ne passera pas par lui.
    Encore une fois, le mot de passe de votre compte mail doit en plus d’être complexe, ne pas être utilisé ailleurs.

    Répondre à ce message

Sur le même sujet

A lire également