Naviguer sur Internet, c’est pratique, mais c’est encore mieux quand on peut le faire de manière sécuritaire. Ce billet présente quelques risques qui nous guettent durant la navigation et les bonnes pratiques à appliquer pour prévenir les mauvaises surprises.
Quelles sont les principales menaces à la sécurité numérique?
Les taupes
On aime souligner les anniversaires de nos contacts sur Facebook. Toutefois, ces informations peuvent être une mine d’or pour des personnes peu scrupuleuses. D’après un reportage de L’Actualité, les fraudeurs et fraudeuses n’auraient en effet besoin que de notre nom, de notre date de naissance et de notre adresse pour usurper notre identité. Comme notre vie est de plus en plus visible en ligne (sur nos médias sociaux, mais aussi sur des sites comme les Pages Jaunes, les sites de généalogie ou nos pages professionnelles), ces informations sont facilement accessibles, sans même avoir à les obtenir de manière illégale. Les personnes qui récupèrent ces informations de manière légale dans le but de frauder sont des “taupes”.
Informations à ne pas divulguer sur les médias sociaux:
- Date de naissance
- Adresse postale, case postale et numéro de téléphone
- Numéro d’assurance sociale
- Numéro de permis de conduire
- Numéro d’assurance maladie
- Numéro de passeport
- Coordonnées bancaires
Conseils pour rendre ses médias sociaux plus sécuritaires:
Seules, nos informations personnelles ont rarement de la valeur pour les fraudeurs et fraudeuses. C’est le croisement de plusieurs informations qui est dangereux et peut mener à des problèmes. Voici quelques recommandations :
- Utiliser un pseudonyme au lieu de votre véritable nom.
- Mettre le moins possible d’informations personnelles en ligne.
- Configurer vos paramètres de confidentialité : la plupart des médias sociaux offrent des options pour restreindre ou non la publication de certaines informations.
Les fuites de données
De plus en plus d’entreprises, comme les institutions bancaires ou gouvernementales, récoltent nos informations personnelles pour nous proposer des produits et services. Les institutions publiques, comme l’Agence du revenu du Canada, se servent aussi de nos informations personnelles pour valider notre identité. Le stockage et le traitement de ces données nécessitent des infrastructures informatiques conséquentes, de même que des barrières de sécurité pour éviter qu’elles ne tombent dans de mauvaises mains. Mais il peut arriver que des personnes malveillantes profitent de brèches dans ces barrières pour faire fuiter des données et les revendent à bon prix sur le marché noir. Récemment, ce sont des millions de comptes Facebook et LinkedIn dont les informations ont été revendues. C’est aussi ce qui s’est produit lorsqu’un ancien employé de Desjardins a volé les données de l’ensemble des membres de la coopérative en 2019.
Que faire en cas de fuite de données?
- Vérifiez si vous avez été victime de la fuite. Le site HaveIBeenPwned est souvent mis de l’avant pour faire cette vérification. Pour les appareils Apple, une application est aussi disponible.
- Changez vos mots de passe et vos questions de sécurité pour les sites touchés.
- Vérifiez si les informations bancaires ont pu être divulguées, et si tel est le cas, surveillez vos relevés pour repérer d’éventuelles irrégularités.
- Ne pas répondre aux messages dont vous ne pouvez certifier la provenance.
L’hameçonnage et le harponnage
À la pêche comme sur le web, l’hameçonnage (phishing en anglais) consiste à camoufler un danger sous une apparence inoffensive. Un exemple courant est l’envoi d’un message électronique par lequel on cherche à soutirer des informations personnelles. Une technique de supercherie répandue consiste à imiter une institution (banque, organisme gouvernemental), un fournisseur de service (téléphonie, Internet) ou un commerce en ligne connu dans le but de réclamer une somme d’argent, ou encore, de demander l’accès à certaines informations, comme des informations bancaires, des codes d’accès ou des mots de passe.
Alors que l’hameçonnage peut viser n’importe qui, le harponnage est une attaque personnalisée qui utilise des informations spécifiques sur la personne ciblée pour la “harponner”. Pour mener ce genre d’attaque, les fraudeurs et fraudeuses peuvent aller chercher des renseignements sur la personne par l’intermédiaire des réseaux sociaux, par exemple. Dans les deux cas, mordre à l’hameçon ou se faire harponner par mégarde peut conduire au vol d’identité, à la fraude ou à l’intrusion de virus informatiques.
Ces attaques prennent parfois la forme d’un courriel de chantage où l’on doit payer une rançon à défaut de quoi des informations compromettantes à notre sujet pourraient être mises en circulation. Néanmoins, ces attaques sont pour la plupart inoffensives. Il vaut mieux ne cliquer sur aucun lien, ne pas répondre au message et consulter directement le site de l’institution concernée. Il est aussi recommandé de faire une capture d’écran du message à garder en cas de preuve (il faut s’assurer de voir la date du message dans la capture).
Cinq indices pour reconnaître les tentatives d’hameçonnage et de harponnage:
- Le ton du message est alarmant : par exemple, on annonce que votre compte sera supprimé et que vous devez agir rapidement.
- On demande des informations personnelles; rappelez-vous que les informations sensibles ne sont habituellement pas demandées par courriel!
- On annonce que vous avez gagné un prix; ne fournissez jamais d’informations délicates, même sous la promesse de récompenses.
- La source du message est inconnue; cela pourrait être, par exemple, l’annonce de la réception d’un colis que vous n’avez pas commandé.
Le message manque de sérieux; le message comporte des fautes d’orthographe, un graphisme douteux, des liens Internet qui ne fonctionnent pas ou qui ne mènent pas à la page voulue, des noms de fichiers étranges, etc.
Les logiciels malveillants (virus)
Il existe plusieurs sortes de logiciels malveillants. Ils fonctionnent de différentes façons, mais ils ont en commun d’être des logiciels indésirables qui s’infiltrent dans nos appareils sans notre consentement. Le plus connu des logiciels malveillants (maliciel) est le virus. C’est un programme informatique conçu pour se multiplier et infecter le plus grand nombre d’appareils possible. Comme les virus biologiques, les virus informatiques ont besoin d’un véhicule pour se propager. Concrètement, les virus peuvent se cacher dans des fichiers téléchargés en ligne, comme de la musique, des jeux ou des films sur des sites de téléchargement gratuit, ou encore, ils peuvent prendre l’apparence d’une publicité cliquable. Paradoxalement, ils peuvent même se faire passer pour un antivirus gratuit! Les logiciels malveillants peuvent également s’introduire dans nos appareils à travers les fichiers joints par courrier électronique ou par des périphériques de stockage externes (clé USB).
Les conséquences des virus varient en gravité. Certaines intrusions ont des conséquences mineures, comme des publicités indésirables ou un ralentissement de l’appareil. D’autres peuvent avoir des conséquences beaucoup plus graves, comme paralyser complètement l’utilisation d’un ordinateur, le vol d’informations personnelles et la fraude.
Quelques logiciels malveillants:
- Le cheval de Troie (ou Trojan): un cheval de Troie est un logiciel malveillant qui se loge dans un programme légitime sur votre appareil. Une fois installé, le logiciel peut servir au cybercriminel afin de récupérer vos informations personnelles.
- L’adware (logiciel publicitaire): très courant, le logiciel publicitaire se glisse dans vos appareils pour vous bombarder de publicités envahissantes qui s’ouvrent à nouveau aussitôt qu’elles sont fermées. Ces publicités sont conçues pour être attirantes au premier regard pour vous encourager à cliquer: produits miracles ou image à caractère sexuel, il faut s’en méfier!
Le ransomware (rançongiciel): les logiciels de rançon cryptent les fichiers d’un ordinateur pour les rendre inaccessibles. Le cybercriminel derrière l’attaque peut alors demander une rançon afin de les décrypter.
Comment s’en protéger?
- Faites preuve de vigilance sur la provenance du courrier électronique et sur le Web en tout temps.
- En cas de doute sur la crédibilité d’un lien, abstenez-vous de cliquer. Ce conseil vaut particulièrement pour les sites de téléchargement gratuits et illégaux (films, musique, logiciels, applications).
- Ayez un bon logiciel antivirus et maintenez-le à jour.
Comment reconnaître les signes d’une intrusion?
- Présence de publicités à des endroits inhabituels.
- Les pages ne s’affichent pas normalement.
- Les liens sur lesquels vous cliquez ne vous mènent pas sur le bon site.
- Votre appareil cesse de fonctionner, ralentit ou redémarre sans raison.
Que faire s’il y a des virus dans mon ordinateur?
Le journal Le Monde propose une marche à suivre spécifiquement pour les propriétaires d’un ordinateur qui fonctionne sur Windows et qui est déjà équipé d’un antivirus.
Pour les internautes plus expérimentés, il est possible d’identifier manuellement les logiciels malveillants. Cette page WikiHow présente deux méthodes pour le faire sur un système Windows 10 et une autre sur macOS.
En dernier recours, il est également possible de restaurer le système. Voir la démarche sur Windows. Si vous n’êtes pas à l’aise de vous lancer dans ces opérations, n’hésitez pas à demander du soutien auprès de personnes expertes!
Piratage
À la manière de leurs homonymes qui naviguent sur les mers, les pirates du Web sont des férus d’informatique qui cherchent à trouver les brèches pour prendre le contrôle de comptes personnels ou institutionnels. Certains pirates travaillent de manière bienveillante, par exemple pour trouver ces brèches et les colmater. D’autres, les hacktivistes, vont profiter de ces brèches pour demander des changements sociaux ou politiques aux entreprises et aux gouvernements. Toutefois, ces pirates peuvent aussi empoisonner notre vie lorsqu’ils ou elles prennent le contrôle de nos comptes personnels à des fins malveillantes, pour bloquer des ordinateurs ou demander une rançon, par exemple. Les pirates travaillent un peu partout dans le monde, parfois de façon très organisée. Beaucoup cherchent à se cacher, ce qui rend le traçage de leurs attaques difficile. Néanmoins, il y a moyen de prévenir la plupart de ces attaques en adoptant de bonnes pratiques.
Prévenir les attaques informatiques :
- Vérifiez l’adresse du site qui s’affiche dans le navigateur.
- Utilisez des mots de passe différents et complexes pour chaque site et application.
- Changez régulièrement ses mots de passe.
- Usez de créativité dans la création de vos mots de passe et évitez les éléments trop personnels.
- Usez de créativité dans vos réponses aux questions de sécurité et ne donnez pas de réponses exactes.
- Mettez régulièrement à jour vos logiciels pour bénéficier des dernières mesures de sécurité.
- Assurez-vous d’utiliser des sites Web sécurisés, reconnaissables par le symbole du cadenas (entouré en vert) à gauche de l’adresse :
Que faire si on soupçonne avoir été victime d’une attaque informatique?
- Dans le cas d’hameçonnage, conservez des preuves (capture d’écran).
- Changez vos mots de passe et questions de sécurité.
- En cas d’achats illicites ou de fraudes bancaires, contactez les institutions concernées pour annuler les transactions et prendre les mesures nécessaires concernant les informations compromises.
Déposez une plainte auprès du service de police et du Centre antifraude du Canada.
Pour se protéger davantage
- Activez la double authentification : la double authentification ajoute une couche de sécurité supplémentaire pour accéder à vos comptes. En plus d’un mot de passe, vous devrez inscrire un code reçu par téléphone ou par courriel pour valider l’accès à votre compte ou à votre profil en ligne.
- Utilisez un gestionnaire de mots de passe : si vous éprouvez de la difficulté à vous souvenir de tous vos mots de passe, installez un gestionnaire de mots de passe. C’est un logiciel qui génère et gère l’ensemble des codes dont vous avez besoin pour accéder à vos comptes personnels. Des spécialistes de la sécurité numérique proposent certaines options, comme LastPass, Dahslane et KeePass.
Pour aller plus loin
Sources gouvernementales
Le gouvernement du Canada mène une campagne de sensibilisation à la sécurité en ligne et offre une foule d’information vulgarisée sur leur site Web: Pensez cybersécurité (pensezcybersecurite.gc.ca)
En France, le groupement d’intérêt public Actions contre la cybermalveillance propose plusieurs ressources pour se renseigner sur la sécurité sur Internet : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/liste-des-ressources-mises-a-disposition
Consultez Le petit livre noir de la fraude du Bureau de la concurrence du Canada pour connaître les différentes formes de fraudes, sur le Web ou ailleurs: Little-Black-Book-Scams-f.pdf (bureaudelaconcurrence.gc.ca)
La Sûreté du Québec offre une capsule vidéo humoristique sur les différents types de fraudes sur Internet: Les différents types de fraude sur Internet – YouTube
À la radio
Pour en savoir plus sur les Réseaux privés virtuels (VPN pour virtual private network), écoutez Stéphane Garneau et Véronick Raymond à l’émission Moteur de recherche: https://ici.radio-canada.ca/ohdio/premiere/emissions/moteur-de-recherche/segments/chronique/207416/internet-connexion-securite-ordinateur-web
Un épisode du balado Ça s’explique consacré à la protection des données fait l’importante distinction entre les données recueillies et les données volées : Le défi de protéger nos données personnelles en ligne (radio-canada.ca
HabiloMédias
Les résultats d’une enquête menée auprès de jeunes Canadiens et Canadiennes: McAleese, Samantha, Matthew Johnson, Marc Ladouceur, (2020). Les jeunes Canadiens s’expriment : Une recherche qualitative sur la protection de la vie privée et le consentement. HabiloMédias. Ottawa
Articles
Pour mieux connaître les enjeux liés aux brèches de sécurité, voir cet article de Crypto Québec: Couvrir les brèches de sécurité – Pourquoi? – Crypto.Québec
Cours en ligne
Un cours en ligne permet de mieux connaître les bases de la sécurité numérique: Découvrez les bases de la sécurité numérique – OpenClassrooms
3 Responses
[…] cookie n’est pas un virus informatique (voir le billet sur la Sécurité numérique). Le fichier témoin est logé sur notre appareil personnel et le seul site qui peut l’ouvrir est […]
[…] sécurité des […]
[…] sécurité des […]