Partage de données sur le Net : les raisons d’être vigilant

Manipulation en ligne, faux prétextes, hameçonnage, quiproquo... Tour d'horizon des pièges à éviter quand on partage des informations via Internet.

Je dois reconnaître qu'il était très plaisant de prendre connaissance de ces listes de "25 choses qu'il faut savoir" ou "25 choses sur untel" qui ont récemment circulé sur les messageries électroniques, sur Facebook et d'autres vecteurs de communication. Si certaines étaient purement humoristiques, d'autres visaient réellement juste, et je ne peux qu'en remercier tous les contributeurs. J'ai tout d'abord pensé y répondre via mes propres contacts, mais après réflexion, j'ai préféré vous faire part de ma propre "liste de choses" (il n'y en a pas vraiment 25) auxquelles il convient de penser avant de partager ses informations sur Internet.

  1. L'ingénierie sociale (ou manipulation en ligne) - De quoi s'agit-il ? Cela consiste en la collecte d'informations confidentielles vous concernant via un moyen apparemment innocent. Plusieurs tactiques sont utilisées - depuis le simple courriel vous demandant de préciser vos coordonnées bancaires pour y verser le montant d'un héritage inespéré (!), jusqu'à des approches beaucoup plus élaborées de manipulation, toutes ayant pour finalité de récupérer vos infos personnelles. Même si vous n'êtes pas inconscient au point de communiquer vos coordonnées bancaires à n'importe qui, un pirate pourra toujours récupérer certains éléments des informations que vous avez fournies pour avoir simplement accès à votre PC, et partant à vos comptes en ligne.

  2. La poussée significative de l'ingénierie sociale - Il existe de nombreuses formes d'ingénierie sociale, mais laissez-moi vous en préciser les plus flagrantes :
·         Les faux prétextes : on s'adresse directement à quelqu'un pour obtenir ses informations personnelles, souvent sous la forme d'un scénario suffisamment plausible pour que le destinataire se fasse piéger.
·         Le hameçonnage (pousser quelqu'un à dévoiler ses infos personnelles) : ces attaques se produisent souvent sous la forme d'un courriel vous sommant de mettre à jours vos informations personnelles (mot de passe ou numéros de carte bancaire) par retour d'e-mail ou via un faux site Internet.
·         Le hameçonnage téléphonique : cette technique consiste à diriger le destinataire du message vers un n° de téléphone pour y communiquer les mêmes infos personnelles (code PIN, etc.) en répondant à un soi-disant opérateur téléphonique. Le résultat est le même...
·         Le hameçonnage IVR (répondeur vocal) : même principe que précédemment, mais cette fois-ci avec un système automatique qui interprète les réponses vocales et les entrées de touches, pour être immédiatement exploitées par le cyber-criminel.
·         L'attirance/provocation : le pirate agit sur la réaction du destinataire et s'introduit dans son PC et ses informations en le poussant à cliquer sur un e-mail très original ou sur un logo. Mieux encore, un accessoire média bien ciblé, tel qu'une clé USB ou un DVD, peut très facilement être utilisé pour infecter un PC à l'insu de l'utilisateur.
·         Le quiproquo (quelque chose destiné à quelqu'un d'autre) : réfléchissez à deux fois avant de communiquer avec un étranger. Un pirate pourra d'abord se présenter comme capable de proposer des services à sa victime (assistance informatique, par exemple) pour lui soutirer ses informations personnelles, et notamment ses mots de passe.

  1. Le Web est viral par nature - Dès lors que vous êtes sur Internet, vous êtes connecté à bien plus de gens que vous ne l'imaginez. Il y a des bons, des brutes et des truands. Les bons : ce sont les collègues et les amis avec lesquels on communique fréquemment et utilement, sans avoir à bouger de chez soi. Les brutes : ce sont tous ceux qui sont peut-être en train de vous surveiller avant de vous attaquer. Les truands : au fur et à mesure que s'élargit le cercle de votre réseau social, votre PC, vos comptes et vos identités peuvent aussi vite faire les affaires des pirates, voire même plus vite !

  2. Les noms de vos proches - Soyez très prudents dans la communication des noms de ceux qui vous sont proches (animaux compris !), car ces noms sont souvent utilisés en tant que mots de passe. Les pirates - qui n'ont pas oublié d'être malins -, savent exploiter ces informations pour déchiffrer vos activités en ligne - et bien sûr accéder à vos comptes bancaires. Ces attaques ne concernent pas uniquement vos autorisations : elles englobent également les "questions personnelles" que vous choisissez lors de la création d'un mot de passe. Naturellement, ces questions sont liées à votre famille ou à vos animaux domestiques, ce que n'ignorent pas les pirates. Ceux-ci peuvent ensuite se connecter au site en déclarant avoir "perdu" votre mot de passe, et ainsi répondre à la question personnelle qui sera posée !

  3. Méfiez-vous des inconnus - Si l'on ne cesse de répéter cette formule aux enfants, pourquoi l'oublier lorsque l'on devient adulte ? La première raison qui nous pousse vers les réseaux sociaux est de nous reconnecter à d'anciens amis et d'en découvrir de nouveaux. Mais vous n'avez pas à répondre à une "proposition de contact" émanant d'une personne que vous ne connaissez pas du tout et que vous ne voulez pas connaître. Certaines de ces propositions proviennent de "faux amis" et peuvent s'avérer très vite d'une très haute dangerosité.
  1. Les chaînes de courriels - Amusantes, altruistes ou exaspérantes ? C'est à vous de voir... Mais avant de répondre à un groupe de personnes, vérifiez les adresses e-mail déjà attachées et posez-vous la question de savoir si vous voulez communiquer avec ces personnes. De même que pour les faux amis précédemment mentionnés, abstenez-vous d'établir un lien avec des inconnus.

  2. Infos personnelles sur sites sociaux - Il existe de nombreuses raisons d'être particulièrement prudent vis-à-vis de la dissémination des infos personnelles sur Internet - la plus évidente étant que vous ne souhaiteriez pas que votre futur employeur vous découvre en rock star (simple hypothèse...). Ce que vous ne réalisez peut-être pas, c'est qu'une fois que ces informations sont présentes sur le Web, tout le monde peut y avoir accès. De plus, elles y résident pour une période de temps quasiment illimitée. Si vous estimez intéressant de publier les photos de votre rendez-vous de vendredi dernier, dites-vous aussi que le site concerné ne devrait permettre que de visualiser ces photos, et pensez à ce qui pourrait se passer si ces photos étaient "copiées-collées" par n'importe qui...

  3. Preuves d'identité (credentials) - Il est parfois difficile de se souvenir de tous les identifiants et de tous les mots de passe que l'on a créés, tant à titre privé que professionnel. Mais surtout, ne tombez pas dans la facilité d'utiliser la même séquence pour tous vos accès !! Vous risquez ainsi d'exposer vos informations confidentielles à une multitude de tentatives d'accès, sans compter que la divulgation d'informations internes de votre entreprise pourrait tout simplement vous coûter votre poste...

  4. Mises à jour de votre emploi du temps - Attention à la façon de procéder pour ces mises à jour ! Soyez particulièrement circonspects, notamment si vous n'êtes pas sur votre PC habituel ou s'il s'agit d'une mise à jour déclenchée par une action précise. Demandez-vous d'abord si ce n'est pas le fait d'un "faux ami" issu d'une de vos listes, qui chercherait à vous nuire. Avez-vous communiqué à certaines personnes ce que vous faisiez dans le cadre de votre job, ou avez-vous averti quelqu'un que vous seriez absent du bureau à un certain moment ? Ces éléments peuvent-ils devenir des armes contre vous ? Un exemple de ce type est cité par Fierce CIO : "Les pirates cherchent à convaincre votre support informatique - durant les périodes de congés, par exemple - que vous cherchez absolument à accéder à vos e-mails depuis l'étranger et que vous avez oublié votre mot de passe". Inutile de vous détailler les conséquences (et votre responsabilité) stratégiques et financières pour l'entreprise, tout cela pour une inattention lors d'une mise à jour !

  5. Ne soyez pas naïf - Attention ! Rappelez-vous que les structures autorisées disposent de toutes les informations nécessaires à leurs échanges avec vous (votre banque, par exemple), et qu'elles n'ont aucune raison de vous envoyer un courriel aléatoire ou de vous appeler pour vous demander de communiquer votre n° de sécurité sociale. Ne tombez pas dans ce genre de piège, et si vous n'êtes pas sûr de l'origine exacte de ce contact, contentez-vous d'appeler vous-même votre banque !

  6. Protection légale - Il y a cependant de bonnes nouvelles : il existe un arsenal législatif destiné à garantir la protection de vos informations confidentielles. Aux Etats-Unis, le Gramm-Leach-Bliley Act est une loi fédérale qui punit et sanctionne toute tentative de manipulation visant à obtenir des informations personnelles. Si vous avez été abusé, vous pouvez donc vous retourner vers la justice.

Soyez vigilant

Mon intention dans ce document n'est pas de créer une psychose et de vous amener à considérer chacun de vos vieux camarades de classe comme un criminel potentiel, même s'il publie une photo de votre fin de promo ou s'il énumère vos "25 défauts" : là, nous sommes au cœur de l'utilité des réseaux sociaux. Restez donc en contact avec vos anciens et nouveaux amis, mais avec ces quelques remarques en mémoire, vous pourrez désormais élargir votre cercle de relations tout en vous protégeant, de même que votre famille et votre employeur.

Dernière chose : n'oubliez jamais de sécuriser vos informations confidentielles. Soyez donc vigilant vis-à-vis de ce que vous faites, de ce que vous dites et de ce que vous publiez sur Internet, car c'est justement sur l'absence de cette vigilance que comptent avant tout les cybercriminels !