briller en société

Sécurité : les 10 termes à connaitre pour briller en société

Dans notre série de billets visant à sensibiliser les utilisateurs à la sécurité informatique, voici aujourd’hui un petit point « vocabulaire », qui vous permettra de faire tomber la mâchoire de votre responsable informatique dans son plat de pâtes lors du prochain repas de service.

Le tour du sujet en 10 termes, pour tout connaitre sur les principales cyber-menaces !

Phishing (hameçonnage) : Cette pratique de « pêche au gros » plutôt perverse consiste pour un pirate à reproduire l’interface d’un site web que vous connaissez à l’identique, et de vous inciter à y entrer vos identifiants afin de récupérer des données personnelles précieuses (mot de passe sur le « vrai » site, numéro de carte bancaire, photocopie de carte d’identité, etc…). Cette méthode est également très souvent utilisée dans des e-mails frauduleux (ex : site de votre banque, de votre fournisseur d’accès internet…). Elle est parfois aussi appelée « filoutage », mais je vous conseille de ne pas trop miser sur ce terme lors d’un repas mondain…

Astuce : Pensez à privilégier les sites dont l’URL commence par https (vous trouverez un petit cadenas juste à coté de la barre d’adresse), preuve que le site est certifié par un organisme de sécurité et que vos données transiterons de manière sécurisée.

Social engineering (l’ingénierie sociale) :  C’est le nouveau « fonds de commerce » des pirates informatiques. Cette technique consiste à jouer sur la manipulation psychologique de l’internaute pour obtenir des informations confidentielles. Les attaquants exploitent les faiblesses de leur interlocuteur par des moyens de pression, de charisme et de culot à des fins d’imposture et d’escroquerie. On pourra citer entre autres la fameuse « arnaque au Président », consistant à se faire passer pour le PDG pour obtenir un virement ou certaines données critiques, ainsi que la technique du phishing, citée plus haut. Une étude récente de Proofpoint estime que 93% des attaques passent désormais par ce biais.

Typosquatting (faute de frappe opportuniste) : Cette technique consiste à enregistrer plusieurs noms de domaine proches de celui d’un site légitime, en modifiant un caractère, et en comptant sur une erreur de frappe de l’internaute, qui va se retrouver à son insu sur un site malveillant. Cette technique est très proche (et complémentaire) du phishing.

Pour contrer ce risque, les grandes marques prennent le soin d’enregistrer des noms de domaine défensifs, c’est-à-dire tous les noms de domaines qui peuvent ressembler de près au leur, orthographiquement ou phonétiquement parlant.

Trojan (cheval de Troie) : C’est la technique d’attaque la plus vieille du monde, comme en atteste la mythologie grecque ! Le principe est très simple et très proche de l’astuce utilisée par Ulysse : L’utilisateur installe un logiciel ayant une finalité précise et a priori non dommageable. Mais ce logiciel contient un code malveillant caché qui va généralement ouvrir un port (on parle de backdoor, ou porte dérobée) sur l’ordinateur, permettant ainsi au pirate de s’introduire sur la machine et d’en prendre le contrôle.

Comment conserver les portes de la ville fermées ? En utilisant un firewall (pare-feu), qui va sécuriser les ports de la machine et éviter les intrusions et le vol de données.

Webinject (injection de code web ) : Cette technique consiste à modifier des pages web lorsqu’elles s’affichent sur l’écran de l’internaute. En injectant du code malveillant, le pirate ajoute des formulaires non sécurisés à des sites web qui sont censés l’être. Lorsque l’utilisateur renseigne ces formulaires, les informations (identifiants bancaires, données persos) sont envoyées au pirate au lieu du site sur lequel il se trouve.

Malvertising (publicité malveillante) : Les attaques sont initiées par un code dans les publicités en ligne. Auparavant majoritairement présentes sur les sites qui se financent par la publicité (site de streaming…), aujourd’hui elles apparaissent souvent sur des sites légitimes, les rendant ainsi plus compliquées à identifier et à bloquer.

Botnet (réseau de « machines zombies ») : Derrière ce nom sorti tout droit d’un jeu vidéo post-apocalyptique se cache un type d’attaque dite « indolore ». En effet, les cyber criminels prennent le contrôle d’un ensemble d’ordinateurs pour avoir des adresses IP « propres » sous la main. Cela crée un réseau puissant de machines capable de mener à bien des attaques ou des campagnes de SPAM de grande envergure.

Mail harvesting (moissonnage d’adresses mail) : Il s’agit simplement de parcourir le web afin de collecter un grand nombre d’adresses mail, dans le but de créer des campagnes de spam. Les destinataires recevront des « pourriels », c’est à dire des emails non sollicités.

Le port scanning (balayage de ports) : Les pirates balayent l’intégralité de vos ports web, afin de détecter une faille de sécurité sur un port en particulier. Ils envoient des paquets de données pour déduire la disponibilité de chacun d’eux en fonction de la réponse de celui-ci. Cette technique permet de détecter les services en fonctionnement sur un ensemble de machines et de prévoir par quel biais une future attaque peut être menée.

Man in the middle (attaque de l’homme du milieu) : Cette attaque basée sur le navigateur web consiste à intercepter et manipuler une communication entre 2 entités sans que celles-ci ne s’en aperçoivent. Elle est particulièrement dangereuse dans la mesure ou les données peuvent être non seulement subtilisées, mais également modifiées à l’insu de l’expéditeur et du destinataire… Pour éviter de tomber « dans le panneau », fiez-vous à des sites dont les communications sont sécurisées de bout en bout (si votre navigateur affiche un message indiquant que le certificat présenté est suspect, tenez-en compte !).


Vous souhaitez en apprendre davantage ? Vous souhaitez sensibiliser vos collaborateurs à ces menaces ? Contactez-nous ou inscrivez-vous à notre liste de diffusion « sensibilisation à la sécurité » en renseignant votre adresse mail ci-dessous :



Share Button

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *