Les fêtes de fin d’année sont une période faste pour les pirates informatiques, et les nombreuses transactions qui ont lieu à cette période leur donnent l’occasion de s’interposer entre acheteurs et revendeurs pour profiter d’une manne financière potentiellement illimitée.
Alors que le Black Friday a débarqué des États-Unis il y a une dizaine d’années, et est maintenant rentré dans les mœurs de la plupart des pays européens, c’est 50% des Français qui avaient prévu de profiter des offres proposées par les nombreux acteurs du retail, français comme étrangers, le 29 novembre dernier. Avec 85% des participants ayant prévu de dépenser en moyenne 160 euros, et les fêtes de Noël qui approchent, on peut comprendre l’intérêt qu’ont les malfaiteurs à mettre en œuvre toutes leurs ressources à ce moment.
Pour ne pas regretter ses achats en réalisant que notre compte en banque a été piraté, Darktrace met son expertise au service du consommateur en lui prodiguant quelques conseils afin de pouvoir surfer et acheter en toute sérénité pendant cette période chargée :
L’une des attaques qui fonctionne le mieux ces dernières années auprès du grand public est le “Doppleganger”.
Certains pirates reproduisent effectivement des sites de vente reconnus, en changeant une lettre dans le nom par exemple, et en comptant ensuite sur la crédulité de ceux qui passeraient sur leur plateforme. En effet, les internautes n’ont pas toujours le réflexe de bien vérifier dans la barre d’adresse s’ils sont bien sur le site qu’ils désiraient, après avoir cliqué sur une offre aux conditions exceptionnelles. Ce type d’attaque a d’ailleurs augmenté de 70% en novembre et décembre 2018, comparés aux mois de septembre et octobre 2018, montrant bien le lien avec la période des fêtes. En cas de doute, il est conseillé de passer par un moteur de recherche pour retrouver le site voulu, ce qui permet de s’assurer de ne pas tomber sur ces sites copies.
Même si l’information a été martelée depuis des années, de nombreux particuliers utilisent encore des mots de passe basiques tels que “12345” ou bien “password”. Or la première chose à retenir est qu’un mot de passe se doit d’être unique et compliqué. Plus le nombre de caractères (lettres, chiffres, caractères spéciaux) est élevé, plus il sera difficile de le retrouver. Une tactique consiste à créer non pas des mots de passe mais plutôt des “phrases de passe”, trois mots courts accolés les uns aux autres ou séparés par un espace (“ChatMang3Souris!” par exemple). Il est également possible de les personnaliser pour chaque site en gardant la même base, si vous avez peur de ne pas vous en souvenir : ChatMang3Souris!Fnac.
Si le nombre de mots de passe devient trop important, il est toujours possible d’utiliser un gestionnaire de mots de passe, disponible aussi bien sur un ordinateur fixe, portable ou même sur un smartphone, et qui reste l’une des solutions les plus simples à mettre en place pour une sécurité robuste. Bien évidemment, ces gestionnaires ne seront jamais aussi sécurisés que votre cerveau, mais restent très pratique pour un usage quotidien.
Dans la mesure du possible et pour une sécurité renforcée, il est également conseillé d’utiliser la double authentification, c’est à dire de valider votre entrée sur un site via un SMS ou une appli sur votre téléphone.
Le Wifi personnel lui aussi, doit être sécurisé par un mot de passe fort. Certaines box permettent aujourd’hui l’appairage en appuyant sur un bouton, mais cela veut également dire qu’il est possible pour une personne externe de s’y connecter pendant le laps de temps où le Wifi est ouvert. Pour éviter cela, il ne faut pas hésiter à utiliser les mots de passe à rallonge que les box proposent d’office.
De la même façon, surfer sur un Wifi public est toujours potentiellement dangereux car ils ne sont généralement pas bien sécurisés et permettent notamment des opérations de type “Man in the Middle”. Le premier conseil serait bien évidemment de ne pas faire d’achat quand vous êtes connecté sur un service Wifi public. Mais cela peut parfois être compliqué en cette période de l’année. La solution la plus simple pour surfer tranquille passe alors par l’utilisation d’un VPN qui va brouiller les pistes et rendre l’ordinateur ou le téléphone plus difficile à découvrir et à hacker.
Enfin, le phishing par mail ou SMS est une tactique très utilisée notamment dans le secteur de la vente.
Sur ce point, les solutions à mettre en place sont relativement simples : il faut se méfier quand la proposition commerciale semble trop belle pour être vraie, quand le mail ou le SMS reçu contient des fautes d’orthographes, ou si le message reçu, soi-disant envoyé par un ami, éveille les soupçons de par sa formulation.
Si vous souhaitez faire vos achats en toute sécurité, il est donc fortement conseillé de suivre ces quelques règles de cybersécurité, et de bien vérifier pendant votre période d’activité que vous êtes sur un site sécurisé (HTTPS dans la barre d’adresse et non HTTP). Enfin, lorsque l’on n’est pas sûr de la provenance d’un email, il suffit de ne pas cliquer sur les liens qu’il contient.