Tous les dispositifs de sécurité sont soumis à un risque ultime : celui de se faire piéger et de livrer soi-même les clés d’accès à son compte. Quelles sont donc les règles à suivre pour vous éviter de tomber dans le piège d’un pirate ?
Après avoir suivi toutes les recommandations de sécurité pour l’accès à son compte Mailo décrites dans les articles précédents de cette série Bien protéger son compte Mailo, il reste le dernier facteur de risque à connaître : l’humain, c’est à dire nous-même.
En effet, la meilleure façon de s’introduire chez quelqu’un n’est pas de forcer la porte d’accès, mais de se voir confier les clés de la porte. Et la meilleure façon de voler quelqu’un est de le pousser à vous offrir l’objet convoité (le plus souvent de l’argent).
Comment un pirate arrive-t-il à s’introduire dans un compte de messagerie ? Il peut récupérer votre mot de passe de différentes manières.
Par la force brute
Le pirate essaye toutes les combinaisons possibles, les mots de passe faciles, couramment utilisés, ou déjà fuités par le passé.
Il existe une règle simple pour éviter que son mot de passe soit « craqué » : se choisir un mot de passe complexe, long, sans éléments pouvant être devinés à partir d’informations personnelles facilement accessibles (dates de naissance ou noms de ses enfants par exemple). Il doit aussi s’agir d’un mot de passe unique (non utilisé pour un autre compte).
En profitant d’une fuite ou de votre négligence
Votre mot de passe peut traîner sur un appareil auquel le pirate a accès, et où vous vous étiez connecté auparavant. C’est le risque notamment depuis un site public ou un réseau mal sécurisé lors d’un déplacement. Par exemple sur un ordinateur qui ne vous appartient pas et qui peut être infecté par un virus ou un malware. Ou dont le navigateur est configuré de façon à enregistrer les formulaires et mots de passe saisis.
Si vous ne supprimez pas, après vous être connecté, les cookies du navigateur utilisé exceptionnellement, la prochaine personne à accéder à cet ordinateur pourra simplement utiliser l’historique du navigateur pour revenir sur votre page d’accès et se connecter à votre insu avec le mot de passe pré-enregistré par le navigateur. Quand vous accédez à votre compte depuis un ordinateur qui n’est pas le vôtre (chez des amis, un cybercafé, un ordinateur accessible en public, etc.), effacez donc l’historique du navigateur utilisé après vous être déconnecté.
En vous piégeant
Vous donnez de vous-même votre mot de passe, en le saisissant sur un faux site vers lequel un message frauduleux vous a guidé.
Le cas le plus classique est de recevoir un message frauduleux qui semble provenir d’un organisme ou d’un expéditeur de confiance, que vous connaissez (votre banque, assurance, opérateur internet, votre plateforme de messagerie comme Mailo). Et ce message vous demande à suivre un lien ou à cliquer sur un bouton, pour vous emmener vers un site où on vous demandera de vous connecter à votre compte – donc en y saisissant votre mot de passe.
Afin de vous inciter à faire ce qui est demandé, un tel message frauduleux va souvent jouer sur deux ingrédients : la menace et l’urgence. Comme par exemple la menace que votre compte est sur le point d’être supprimé ou bloqué, ou ne pourra plus fonctionner correctement sans une mise à jour à faire, nécessitant une connexion à votre compte. Et l’urgence, sous quelques heures, jours, sinon la menace (suppression, blocage, etc.) risquerait de se réaliser et serait irréversible : l’objectif est de vous faire réagir rapidement, donc ne pas remettre à plus tard et de mettre la pression pour vous faire agir en mode stress, donc sans recul ni réflexion.
Bien évidemment, il ne faut jamais répondre à ces messages et surtout ne pas suivre une telle demande.
Généralement ces faux messages sont repérés par les filtres antispam, supprimés ou déposés dans votre dossier des messages indésirables. Mais il arrive parfois que certains de ces messages frauduleux de phishing (hameçonnage) arrivent jusque dans votre boîte de réception.
Comment alors identifier une telle tentative de vous extorquer votre mot de passe ?
Ces messages se caractérisent par :
- Le ton de la menace et de l’urgence.
- Ces messages sont toujours des messages non sollicités : ils ne font pas suite à un échange avec le service concerné.
- Ces messages contiennent toujours un lien direct (soit comme lien ou sous forme d’un bouton à cliquer) vers une page d’un site, qui bien entendu ne sera pas le site officiel de l’organisme ou de la plateforme dont le message se prétend.
Si un message répond à une ou plusieurs de ces trois caractéristiques, alors vous faites avec certitude face à un message frauduleux.
Un site sérieux, où vous détenez un compte, par exemple votre compte de messagerie Mailo, n’aura jamais besoin d’une connexion par un utilisateur pour une mise à jour technique, éviter un blocage ou valider un compte. Et un service sérieux ne vous enverra jamais un message non sollicité, contenant un lien de connexion vers un site – encore moins vers un site qui n’est pas le site habituel. Au mieux, cela peut arriver en réponse à une sollicitation initiale de votre part, suite à un souci que vous avez rencontré.
Si jamais le message frauduleux est bien fait, et que vous avez encore un doute, deux indices supplémentaires pour déceler le faux :
- Vérifier l’adresse de l’expéditeur du message frauduleux : s’agit-il d’une adresse légitime de l’organisme ou de la plateforme qui vous écrit ? Pour connaître la véritable adresse utilisée par l’expéditeur, ne considérez pas l’expéditeur affiché dans l’entête simple du message reçu – qui est le nom ou adresse fictive que l’expéditeur souhaite voir afficher, mais n’est en rien factuel.
Ouvrez l’entête complet du message reçu : dans le message reçu, cliquez sur le bouton « … » situé à droite. Puis sélectionnez « Entête complet ». Cela ouvre une page qui affiche toutes les informations techniques du message reçu. Repérez la rubrique « From : », suivi par le nom de l’expéditeur, puis entre < > la véritable adresse de l’expéditeur. Si vous voyez une ligne ressemblant à « From : Support Mailo <tartempion@gmail.com>« , alors vous savez que l’expéditeur est tout sauf le support Mailo, puisque jamais Mailo n’utilisera une adresse tartempion@gmail.com pour vous envoyer un message. - Vérifiez l’adresse du site vers lequel le lien (ou bouton) contenu dans le message suspect souhaite vous diriger : glissez la souris au-dessus du lien/bouton (sans cliquer). Dans le coin en bas à gauche de votre navigateur apparaît, plus ou moins furtivement, l’adresse du site cible de ce lien. Vous pouvez aussi faire un clic droit sur le lien/bouton, et sélectionnez dans le menu contextuel l’action « Copier l’adresse du lien ». Puis copier ce lien dans votre bloc note ou sur un document Word. L’adresse du lien s’y affiche alors en clair. Et comme pour l’adresse e-mail de l’expéditeur, si l’adresse du site n’a rien à voir avec l’organisme ou la plateforme dont le message prétend s’agir, alors c’est un faux. Par exemple, si vous voyez un site comme « www.rtyop84.czue.ru/mailo », il ne s’agira évidemment pas de notre site, qui aura toujours une adresse en « www.mailo.com/quelquechose« .
Suivait en rouge : « accéder à la mise à jour »
Signé : « Cordialement, la direction des systèmes informatiques »
Sir mon smartphone, j’ai cliqué » sur le lien « Acccéder à la mise à jour » et l’on m’y a demandé mon met de passe. il ne s’est plus rien passé quand j’ai cliqué sur « Connecter ». C’est alors que j’ai constaté que le message venait d’une adresse lors mailo à soir en gmail.com.
Serait-ce une tentative de piratage? J’ai aussitôt changé mon mot de passe depuis mon ordinateur.
Merci de m’indiquer si j’ai été victime d’une tentative de fraude.
Bien à vous. Philippe Aubry