Photo by Soumil Kumar from Pexels

 

Contrer le piratage des mails

Dans cet article, je vais commencer par donner quelques exemples « vécus » d’arnaque ou de piratage des mails. Je donnerai ensuite une liste de précautions à prendre. Une de ces précautions concerne les mots de passe, nous verrons comment les construire et les gérer. Enfin j’indiquerai quelques outils utiles en ligne.

Sécurité des mails

Les pirates ne tarissent pas d’imagination pour accéder à vos données : Les techniques de piratage sont de plus en plus sophistiquées et les cybercriminels de plus en plus nombreux.

Phishing (hameçonnage), ransonwares (rançongiciels), vol de mots de passe, usurpation d’identité, malwares (logiciels malveillants), spywares (logiciels espions), faux sites internet, faux réseaux wifi, clés USB piégées… Toute une gamme que le pirate informatique va utiliser pour infecter votre ordinateur ou vous arnaquer.

Table des matières

Introduction et exemples – sécurité des mails

Les précautions à prendre

Gestion des mots de passe

Comment choisir un bon mot de passe ?

Gérer ses mots de passe, comment les retenir ?

Les outils de contrôle

Contrôler la réelle destination d’un lien frauduleux

Sites utiles

haveibeenpwned

Calcul de la force d’un mot de passe

Karpersky

Conclusion

Voir les principales méthodes d’escroqueries sur le site gouvernemental : https://www.economie.gouv.fr/entreprises/methodes-piratage

Exemples

Voici quelques exemples fréquents de demandes de mes clients :

Exemple 1

Je reçois ce mail d’un de mes clients :

Grosse surprise ce matin quand je vois qu’une personne utilise mon adresse mail pour m’envoyer un e-mail ??? comment cela est il possible ?

Cela devient de plus en plus dangereux… nous sommes sans cesse en train de vérifier les provenances, les sujets… pour être sûr de ne pas tomber sur un virus ou autre.

Il n’y a malheureusement rien d’autre à faire que de redoubler de vigilance. N’importe qui peut envoyer un courrier électronique en déclarant une fausse adresse d’expéditeur, nul besoin d’être un hacker chevronné.

Exemple 2

Un de mes clients me demande comment gérer le mail suivant :

OWA-WEBMAIL NETWORK

Hello your Microsoft account have been dictated faulty and in few days you will be cut off, You have to update and clear your terms to enable you enjoy your comfort and fast access VERIFY

Thank you,

Copyright © 2019 Web-mail .Inc . All rights reserved.

Ce genre de tentative de piratage est très fréquent. Les mails frauduleux contiennent souvent une pièce jointe piégée ou un lien. Heureusement (pour nous, français), dans la majorité des cas l’orthographe de ces mails n’est pas parfaite. J’explique plus bas comment vérifier l’authenticité des liens douteux.

Exemple 3

Dans ma boîte mail ce matin : Une espèce fréquente de mail piégé, signe que son expéditeur a été victime d’une intrusion, que son compte a été piraté et que son carnet d’adresses a été enregistré à son insu par les escrocs.

« Bonjour

j’espère que tu vas bien ? 

La santé ?? Est-il possibIe d,échanger par em-ail ?

En. ce qui me concerne,le moral n’est pas au beau.Fixe, avec des pepin.s­_de(sante—) . . .

Peux.Tu me rendre un servi-ce    ?

PS : Je compt e sur ta discrÉtion ?   ! »

Fautes de frappe volontaires et demande discrétion sont de mise. Ainsi le destinataire du mail ne cherchera pas à téléphoner mais enverra une réponse par sa messagerie électronique, signifiant aux hackers une potentielle victime.

Exemple 4

Je gère un site d’association pour lequel j’avais assigné à chaque utilisateur un mot de passe fort. Devant les difficultés de connexion fréquentes, j’ai fini par laisser chacun choisir son mot de passe. J’ai eu la surprise de constater que 80 % des mots de passe utilisés étaient dramatiquement faibles. Dates de naissance, prénom, nom de sa rue…

Bonjour la faille de sécurité !

Les précautions pour contrer le piratage des mails :

Quelques réflexes que nous devrions tous avoir pour contrer le piratage des mails :

  • Avoir un bon antivirus. (Les antivirus gratuits ne sont pas les plus performants − vous retrouverez le plus connu dans la liste des serveurs victimes de fuites massives, avec les identifiants, adresses et mots de passe de 423 000 utilisateurs).

  • Utiliser des mots de passe « forts ».

  • Changer le mot de passe régulièrement.

  • Utiliser des mots de passe différents pour chaque site web.

  • Ne pas faire confiance aux messages de demande d’aide, même si on connaît l’expéditeur.

  • Redoubler de vigilance devant les mails émanant d’organismes officiels. Vérifier l’orthographe et regarder la destination des liens avant le moindre clic (Impôts, Sécurité sociale, banque…)

  • Vérifier que les sites consultés soient bien en HTTPS (cadenas dans la barre d’adresse).

  • En déplacement, se méfier des faux réseaux wifi, source importante de piratage informatique.

  • Ne jamais insérer de clef USB inconnue dans sa machine et toujours activer la vérification antivirus préalable à son ouverture. Les clés piégées abandonnées dans la rue ou oubliées dans un lieu public sont un grand classique de la cybercriminalité qui s’apparente au cheval de Troie (trojan).

  • Faites systématiquement les mises à jour de vos logiciels et ordinateurs.

Gestion des mots de passe

Contrer le piratage des mails : Commencez par choisir un bon mot de passe

Une ancienne méthode répandue consistait à se choisir une phrase facilement mémorisable et de constituer son mot de passe en prenant les initiales (ou les xèmes lettres) des mots.

« Mignonne allons voir si la rose qui ce matin avait déclose » devenait « Mavslrqcmad»

Malheureusement, cette méthode ne fait pas assez la part belle aux chiffres et caractères spéciaux qui sont devenus indispensables aujourd’hui pour une bonne sécurité informatique et pour contrer le piratage des mails.

Composez votre mot de passe en alternant chiffres, minuscules, majuscules et caractères spéciaux. (Il m’arrive même utiliser la ponctuation et les espaces).

Exemple : 2iJ$m8%D+r9 est à cette heure un mot de passe fiable.

Gérer ses mots de passe, comment les retenir ?

En fait c’est impossible et il ne sert à rien d’essayer. D’autant qu’il est fondamental de ne jamais utiliser le même mot de passe en plusieurs endroits.

Il est donc devenu indispensable d’utiliser des gestionnaires de mots de passe. Il s’agit d’outils qui stockent les mots de passe en un endroit unique et qui ne s’ouvrent qu’avec un mot de passe principal. Un seul mot de passe à retenir pour accéder à nos centaines de mots de passe nécessaires.

La liste des utilitaires de gestion de mots de passe est longue, je citerai KeePass en open source.

Les outils de contrôle

Contrôler la réelle destination d’un lien frauduleux

Au moindre soupçon, il suffit de survoler le lien suspect avec le curseur de la souris. En bas à gauche de la fenêtre du navigateur apparaît la réelle destination du lien. Ensuite, il faut juger de la fiabilité du domaine (.fr, .com…) et regarder en détail ce qu’on nomme l’URL.

Exemples d’arnaques tirées de ma boîte d’indésirables (spam)

  • https://ameliassurancemaladiefan.tumblr.com/cgi=?id=/Amail3… (sensé venir de la sécurité sociale)

  • http://urls.kilova.re/spool/x0bgdcyr/2864/url/ (sensé venir de Bouygues)

  • http://links.informations-edf.fr/ctt?kn=1&ms=NDk4NzMz … (sensé venir d’EDF)

  • https://www.vminfo.fr/page,105855,75669662,6… (sensé venir d’Amazon)

  • http://hubtr.lettres-infos.bercy.gouv.fr/mirror32/428/193…(sensé venir des impôts)

Au moindre doute, à la trappe.

Normalement on est protégé par l’antispam de son logiciel de messagerie électronique, mais certains messages peuvent malgré tout passer les filtres. (Les systèmes de sécurité auront toujours un minimum de vulnérabilité).

Sites utiles

Attention à ne pas mettre son mot de passe dans les outils de contrôle en ligne.

On trouve sur le net divers outils pratiques :

haveibeenpwned

https://haveibeenpwned.com/ vous permet de vérifier si votre adresse mail s’est trouvée dans un de ces lots de millions d’adresses compromises, après avoir été enregistrées dans les serveurs de gros opérateurs. Par exemple : Adobe, Avast, Dafont, Dropbox, Linkdin…

Si c’est le cas, il vous faut sécuriser votre compte (changer votre mot de passe).

Calcul de la force d’un mot de passe

https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/

ou chez kaspersky :

https://password.kaspersky.com/fr/

Conclusion

Une certaine culture assimile « Internet » et « Gratuit ».

Que valent vos données bancaires, vos diverses données confidentielles, voire l’intégralité du contenu de votre ordinateur ?

Que valent (même en abonnement annuel) un bon antivirus, un bon système de sauvegarde, un gestionnaire de mot de passe ?

Combien vaut un ordinateur récent avec un système d’exploitation maintenu par l’éditeur ? (Je veux évoquer Windows XP dont la sécurité n’est plus maintenue).

D’un côté moins d’une centaine d’euros par an, de l’autre la somme folle que vous seriez prêt à débourser pour récupérer vos photos ou documents essentiels.

Sans compter le temps perdu.

Prendrez-vous les bonnes mesures pour contrer le piratage des mails ? À vous de voir ☺