L'Ingénierie sociale (Social Engineering) est une technique de piratage consistant à profiter de la crédulité d'un utilisateur afin de lui soutirer des informations confidentielles attenantes à un système d'information cible. Le but principal pour le pirate est de pouvoir obtenir des informations lui permettant d'avoir un accès valide sur le système d'information qu'il souhaite pénétrer.
Prudence en cas de demande d'informations
Ne divulguez à personne votre nom d'utilisateur ou votre mot de passe. Aucun organisme sérieux ne vous demandera cette information (même par téléphone). Cette remarque vaut également lorsque la demande paraît crédible et comporte des caractéristiques d’identification évidentes de l'organisme pour lequel il se fait passer, par exemple une adresse électronique source, un site Internet ressemblant au site officiel, etc.
En cas de doute, ne répondez pas et posez la question à l'autorité compétente afin de confirmer le sérieux de la demande.
S’enquérir du sérieux du fournisseur
Lors d'achats en ligne, il faut veiller à ne traiter qu'avec les fournisseurs sérieux. Ne saisissez votre numéro de carte de bancaire que sur des pages Web utilisant un protocole sécurisé. On peut les reconnaître au petit cadenas s’affichant sur le bord inférieur du navigateur ou au protocole indiqué dans l'URL (qui devient HTTPS au lieu de HTTP).
Attention : le fait de constater la navigation sur des pages sécurisées (https) ne permet en aucun cas de s'assurer du sérieux du site Internet visité. HTTPS garantie que les informations échangées ne seront pas échangées en clair comme avec HTTP mais la présence de HTTPS ne permet nullement de garantir :
-
du sérieux du site Internet visité : celui-ci peut être sous le contrôle de pirates informatiques. La commande en ligne peut ne jamais être reçue,
-
du niveau de sécurité du chiffrement des informations échangées : HTTPS assure que les données sont chiffrées, mais ne garantit en aucun cas la robustesse du chiffrement utilisé,
-
du bien fondé de la demande des identifiants bancaires : bien que la connexion se fasse en HTTPS, il n'est nullement garanti que les informations bancaires demandées seront exploitées à bon escient si la connexion est effectuée sur un site malicieux.
Il faut noter que des failles récemment découvertes permettent d'effectuer du spoofing de certificats SSL, dupant ainsi l'utilisateur.
Toujours se déconnecter des sites Internet
Il est recommandé de toujours utiliser les menus de déconnexion prévus pour quitter les applications Web comme les webmails ou lors de la connexion à son site e-bancaire.
Lorsqu'on n'utilise pas la déconnexion, des traces de la session peuvent toujours être accessibles par un pirate informatique et ainsi lui permettre d'exploiter les identifiants dans un but malicieux.
Surveiller ses comptes bancaires
Il peut se passer jusqu'à plusieurs semaines entre la collecte et l'utilisation des identifiants dérobés et le constat des dommages par l'utilisateur. Il donc important de suivre soigneusement les mouvements d'argent sur ses comptes bancaires pour vérifier qu'aucune opération anormale n'y figure, et pouvoir, le cas échéant, poser une réclamation. Il ne doit pas s'écouler plus d'un mois sans que vous ayez consulté et validé les opérations effectuées sur votre compte bancaire.
|
