Catégorie | Cyber-sécurité

Phishing chantage : les bonnes pratiques à adopter

Dans la série Black Mirror disponible sur Netflix, vous vous souvenez certainement d’un épisode. Celui dans lequel plusieurs personnages sont victimes de phishing puis de chantage. Ils doivent réaliser certaines actions bien précises sous peine de voir des informations compromettantes les concernant être divulguées… Preuves à l’appui. Puisqu’on se souvient du protagoniste qui avait reçu une vidéo directement issue de sa webcam piratée pour faire pression.

Mais rassurez-vous, en réalité, il est rare que l’on dispose de quelque chose qui puisse vous causer du tort.

Voici tout de même une liste non exhaustive de bonnes pratiques à adopter. Ceci afin d’éviter de vous retrouver dans une telle situation :

  • Couvrez votre webcam pour vous assurer que personne ne puisse vous filmer même en cas de piratage. Coller un morceau de scotch opaque suffit amplement, sinon il existe des caches spéciaux.
  • Ne communiquez aucune donnée sensible et/ou personnelle par messagerie ou téléphone. Un organisme légitime ne vous demandera jamais d’informations de ce type dans un tel contexte.
  • Mettez régulièrement à jour tous vos appareils et votre antivirus. Veillez à en utiliser un si ce n’est pas déjà le cas.
  • Lorsque vous recevez un message de la part d’un inconnu, ne cliquez sur aucun lien et n’ouvrez aucune des pièces jointes qui seraient contenus dans le message. Sous peine de tomber dans un piège du type phishing puis de chantage.
  • Soyez prudent même si le message provient de quelqu’un que vous connaissez bien. Si vous remarquez quoi que ce soit qui vous paraît suspect, ne répondez pas et n’ouvrez aucun lien ni aucune pièce jointe. Votre contact a peut-être été piraté.
  • Utilisez des mots de passe forts sur chacun de vos comptes et évitez au maximum de les recycler (un guide pour vous aider).
phishing chantage pharos

Et si vous êtes victime de phishing ou de chantage malgré tout ?

Ne paniquez pas ! Il est fréquent de recevoir des messages d’inconnus qui prétendent détenir tout un tas d’informations sur vous, et c’est heureusement faux la plupart du temps.

Si vous êtes victime de chantage à ce sujet (bien souvent, on vous demandera une rançon pour ne pas divulguer vos données), réagissez calmement :

  • Ne répondez en aucun cas au message reçu, surtout s’il vous demande des informations personnelles, et ne payez aucune rançon !
  • Par précaution, changez rapidement vos mots de passe qui auraient pu être affectés.
  • Vous pouvez signaler cette tentative d’extorsion aux autorités. Prenez garde à conserver le message et tout élément qui pourrait appuyer votre déposition. La plate-forme Pharos est dédiée à ceci.

De même, les Emails frauduleux indiquant qu’un lointain parent riche est décédé en vous laissant pour seul héritier, ou qu’il y a un problème urgent avec votre compte en banque ne sont pas inhabituels.

Ne vous laissez pas berner et gardez toujours à l’esprit les quelques conseils donnés plus haut. Et n’hésitez pas à faire de la prévention aux membres de votre entourage qui pourraient se faire avoir.

Avez-vous déjà eu un compte piraté ?

Tout d’abord, la phrase “mes comptes web n’intéressent personne et je n’ai rien à me reprocher, mon compte ne sera jamais piraté” est totalement fausse. Bien entendu, un compte Instagram de star, d’un président… vaut plus que celui d’un citoyen “normal”. Cependant, tous les comptes sont intéressants pour un pirate.

Que faire avec un compte piraté ?

Principalement, le pirate peut l’utiliser pour vider vos comptes bancaires. S’il dispose de votre compte E-mail, il peut demander des réinitialisations de mot de passe. Et ainsi accéder à votre compte Paypal, votre compte Amazon…

compte piraté

Il peut aussi se faire passer pour vous et extorquer de l’argent à vos amis. Grâce notamment à du phishing.

Il peut utiliser votre compte pour de la propagande ou des messages haineux. Il peut s’en servir pour favoriser un candidat dans une élection, en association avec des milliers d’autres comptes piratés… Ceci est courant et beaucoup de personnes possèdent des vieux comptes Twitter, Facebook… qui ont été piratés sans le savoir.

Bien entendu, si un hacker pirate les réseaux sociaux et les boites E-mail… Imaginez les soucis que cela peut engendre… Sachez que cela a déjà eu lieu plusieurs fois. Voici d’ailleurs une petite vidéo qui montre qu’il faut être vigilant.

TV5 Monde vient de se faire pirater. Ce monsieur semble surpris. Si vous n’avez rien remarqué, zoomez sur les papiers derrière lui…

Donc si vous soupçonnez d’avoir été piraté : prenez tout de suite les bonnes dispositions pour y remédier. Cependant, un pirate peut vous avoir piraté sans que vous ne le sachiez. C’est ce que nous allons voir ici.

haveibeenpwned.com

Le site web haveibeenpwned.com vous permet de vérifier si l’un de vos comptes a déjà été piraté.

Je vous invite à entrer votre adresse e-mail habituelle, dès l’arrivée sur le site.

haveibeenpwned

Si vous avez le message “Good news — no pwnage found!”. Alors félicitations ! Votre adresse e-mail n’apparaît sur aucune liste de pirates.

Pour l’exemple, j’ai mis mon adresse personnelle. Je l’utilise (trop) souvent. Mon adresse est donc dans la liste de certains pirates (comme des millions de personnes).

compte piraté nexus

Sur ce site : les adresses E-mail, les mots de passe et les pseudonymes ont été piratés. J’ai donc tout intérêt à changer mon mot de passe sur ce site. MAIS pas uniquement ! Je dois aussi le changer sur tous les sites où j’utilise la même adresse (ou pseudonyme) et le même mot de passe. Car les pirates testent toutes ces combinaisons sur les sites les plus connus.

Le site haveibeenpwned.com vous permet aussi de tester votre mot de passe. Pour cela rendez-vous dans l’onglet “Passwords”. Pour ce test, j’ai utilisé le mot de passe “azerty” et voici le résultat.

mot de passe piraté

Ce mot de passe a été vu 315 309 fois sur des listes piratées ! Il est donc préférable de ne pas l’utiliser. Je vous laisse tester les mots de passe “simples” pour vous rendre compte de la catastrophe. Mais je vous conseille aussi de tester le vôtre : le nom de votre chien n’est pas un mot de passe sûr ! ^^