14) Utiliser le même mot de passe partout, et notamment celui d'applications
sensibles pour se connecter à des forums sur Internet. Des banques d'identifiants
sont ainsi testées sur des sites bancaires pour tenter de gagner des accès.
15) Croire à l'authenticité d'emails adressés par sa banque. Les établissements
bancaires n'envoient aucun courrier électronique à leurs clients leur demandant
de saisir leur mot de passe ou comportant un lien hypertexte. Il est toujours
recommandé pour éviter le phishing de saisir soi-même l'adresse dans le navigateur.
Attention toutefois car certains programmes malveillants installés sur le poste
de travail peuvent détourner automatiquement l'internaute et ce de manière transparente.
16) Utiliser n'importe quelle application en ligne pour son activité
professionnelle, comme des agendas partagés. Quelques clics peuvent en effet rendre
visibles les agendas d'utilisateurs de Google Calendar. Ces données pourraient
être exploitées dans le cadre d'attaques en social engineering.
17) Consulter sa banque en ligne avec Internet Explorer. Plusieurs virus,
dont Torpig, sont conçus pour dérober des identifiants de connexion des utilisateurs.
Or, ils sont en général développés pour cibler le plus d'internautes possibles
et ne fonctionnent que sur Internet Explorer. Il peut ainsi être recommandé pour
des opérations sensibles d'utiliser un navigateur alternatif comme Firefox.
18) Installer des mises à jour de Windows expédiées par email. Microsoft
ne distribue pas ses patchs par messagerie mais via son service Windows Update.
De nombreux programmes malveillants sont acheminés par du spam pour tromper les
internautes.
19) Communiquer des données sensibles, comme des mots de passe suite
à une demande par téléphone ou par email. L'identité d'un interlocuteur doit être
vérifiée même si celui-ci tient un discours cohérent ou si son adresse mail paraît
authentique. C'est en effet l'un des principes de base de l'ingénierie sociale
pour tromper des salariés et accéder à des informations confidentielles. Falsifier
l'adresse source d'un email est d'une simplicité effarante, il faut s'assurer
de la cohérence et de la véracité de toute demande sensible.
20) Se protéger du spam en entrée mais pas en sortie.
