Internet, arnaques et malveillances

Le web est un outil formidable pour se renseigner, s’organiser, garder le contact ou réaliser de nombreuses tâches administratives mais il n’est pas sans risque ! Arnaques, faux sites, faux mails… La liste est longue.

Pourtant, il suffit de quelques bons réflexes, d’un peu d’informations et d’une bonne sensibilisation pour esquiver l’immense majorité des risques. Tout le monde n’est pas né avec un ordinateur entre les mains et cela, des personnes malveillantes l’ont bien compris. Voici donc une série de recommandations à l’usage d’Internet et quelques manières d’éviter de prendre des risques.

Les choses à ne pas faire

Si vous n’avez pas le temps de lire tout ce dossier, voici au moins les choses principales à retenir, lisez tout le dossier pour en connaître les raisons :

En ce qui concerne les emails ou les messageries :

N’ouvrez pas les pièces jointes qui vous semblent étranges ou provenant de personnes ou sociétés que vous ne connaissez pas

Ne cliquez pas sur les liens contenus dans des mails qui vous semblent étranges ou dont vous ne connaissez pas l’expéditeur, s’il comporte beaucoup de fautes d’orthographe ou de grammaire, c’est aussi un signal de risque.

Partez du principe que si c’est trop beau pour être vrai, c’est une arnaque.

Lorsque vous ne connaissez pas l’expéditeur, vérifiez toujours bien ce qui se trouve après le @ de son adresse mail, une lettre en trop, qui manque, dans le désordre ou un mot qui n’a rien à voir avec la société censée envoyer le mail est un carton rouge. Attention, certaines arnaques bien faites peuvent utiliser le bon nom après le @.

Si une personne que vous ne connaissez pas vous demande de l’argent ou des données personnelles pour une raison ou une autre, ne le faites pas.

Une véritable société ou un véritable service ne vous demandera jamais votre mot de passe ou votre numéro de carte bleue en direct par téléphone, retour de mail ou via un formulaire.

En ce qui concerne les sites :

Ne rentrez jamais d’informations personnelles importantes ou numéro de carte bleue sur un site qui ne dispose pas d’un certificat de sécurité : vous pouvez le voir dans tous les navigateurs (chrome, firefox, internet explorer, edge, opera etc), si un site a un petit cadenas sur le côté de son adresse (url) et que celle-ci commence par https:// (c’est le « s » qui est important, S pour Sécurité), c’est un site sécurisé. Attention toutefois, ce n’est pas parce qu’un site est sécurisé que les personnes qui l’ont créé sont bienveillantes.

De plus en plus, les sites nécessitant de rentrer des informations de carte bleue passent directement par votre banque, et vous demandent une validation par sms, envoyé par votre établissement bancaire. Contactez votre conseiller bancaire pour en apprendre plus.

Si vous avez subitement de nombreuses fenêtres qui s’ouvrent (pop-up) ou une alerte son, ne cliquez sur rien et fermez votre navigateur. Si vous ne parvenez pas à fermer votre navigateur, éteignez votre ordinateur, même si la fenêtre vous dit de ne pas le faire.

Très peu de sites vous demanderont d’envoyer des informations comme une photo de votre carte d’identité, une copie de votre passeport ou tout autre document officiel, à part éventuellement ceux du gouvernement ou des services publics. Si c’est le cas : vérifier bien l’url (l’adresse du site) et la présence du cadenas.

Quasiment aucun site ne vous demandera d’appeler un numéro pour résoudre un problème ou se connecter.

Certains sites copient des sites connus en changeant une seule lettre, ou avec une lettre en capitale, et sont des copies presque conforme des sites officiels. Mais ils profitent de votre visite pour recueillir des données. Vérifiez toujours qu’une url (adresse de site) ne comporte rien d’étrange avant de cliquer. Par exemple www.neftlix.com (qui heureusement grâce à de bonnes mesure de sécurité de la part du vrai Netflix, renvoie bien sur le bon site, mais ce n’est pas le cas de toutes les sociétés).

Quelles sont les principales formes d’arnaques et comment les éviter ?

Si les méthodes sont nombreuses, les plus fréquente passent par deux canaux principaux : les emails ou messageries et les sites frauduleux.

E-mail

Notre adresse email est facile à trouver, soit vous l’avez mise en ligne sur un réseau social, ou bien vous l’avez renseignée dans un site qui s’est fait pirater ou l’a revendue. L’une des manières les plus fréquentes par lesquelles les emails sont récupérés est lors des fameuses « chaînes ». Vous savez, ces mails envoyés à plusieurs personnes, tous dans le champs « A » de l’email, contenant généralement des blagues ou des powerpoint amusants. Il suffit qu’une seule personne de la liste des destinataires ait une faille de sécurité sur son compte de courriel pour que toutes les adresses soient fuitées.

Si vous avez déjà entendu dire qu’il faut arrêter de mettre toutes les personnes dans le champs « A » ou « Cc » des emails, c’est pour cette raison. Si vous avez besoin d’envoyer un mail à de nombreuses personnes qui ne se connaissent pas forcément, mettez toutes les adresses dans le champ « Cci ». Sensibilisez les personnes qui envoient ce genre de mail à faire de même. En mettant les adresse email en Cci, vous limitez grandement les risques de fuite d’adresses et d’usurpation d’identité.

Les listes d’adresse email et d’informations personnelles ainsi fuitées sont mises à disposition des hackers ou revendues sur des sites non répertoriés d’Internet. Robots d’arnaque et personnes malveillantes s’en servent.

Maintenant vous savez comment votre adresse mail a fuité, ce qui ne vous aide pas beaucoup vous en conviendrez, mais c’est en limitant les fuites que nous compliquerons la vie des pirates.

Recevoir un mail d’arnaque ou frauduleux ne vous mettra presque jamais en danger SI vous n’effectuez aucune action. Les pirates comptent sur votre manque de connaissance pour vous tromper.

Les mails d’arnaques peuvent contenir des données personnelles (votre nom, adresse, date de naissance, mots de passe etc), ces informations ont fuité de la même manière que votre adresse mail. Si c’est embêtant, ce n’est pas encore un problème en soi, la force du pirate est de jouer sur votre peur. Un mail de ce type vous encouragera toujours à faire une action, suivre un lien, répondre avec des données, remplir un formulaire ou vous demander d’ouvrir une pièce jointe ou appeler un numéro de téléphone. Ce sont ces actions qui vont vous mettre en danger.

Les mails frauduleux vont jouer sur la confusion, la peur, l’appât du gain ou le chantage. Ils vont « se déguiser » pour ressembler à un expéditeur fiable : les impôts, votre opérateur téléphonique ou internet, un site sur lequel vous avez l’habitude d’aller…

Il faut alors procéder à un jeu des sept erreurs. Il est très rare que ces mails soient bien faits, il y a presque toujours un détail qui les trahit.

Quelques exemples :

Fautes d’orthographe ou de grammaire, problèmes d’accords : les mails sont souvent générés et traduits automatiquement pour gagner du temps, ou bien les arnaqueurs sont dans divers pays du monde et n’ont qu’une connaissance partielle de la langue française.

Différence entre le nom de l’expéditeur et son adresse email : S’il n’est pas impossible d’envoyer un mail avec une adresse qui comporte le bon « domaine », c’est à dire ce qui se trouve après le @ dans une adresse si celle-ci existe, toutes les arnaques ne prennent pas la peine de le faire. Par exemple quelqu’un pourrait tenter de vous faire croire qu’il travaille chez free, et en regardant son adresse vous voyez exemple@freee.fr. Il y a un e en trop, c’est une arnaque. Il pourrait aussi utiliser free-service.client.com, ou d’autres variantes. Dans le doute, recopiez ce qui se trouve après le @dans votre navigateur et cherchez sur google si c’est une arnaque ou non. Attention : même si l’adresse semble bonne, ça peut toujours être une tentative malveillante.

Sachez également qu’aucune société ne vous enverra un mail à partir d’une adresse de messagerie gratuite comme @gmail ou @yahoo et autre.

Les accents apparaissent mal : souvent, les mails frauduleux ont des erreurs « d’encodage », ce qui fait que les caractères accentués ne s’afficheront pas correctement, il y aura à la places des ? ou des é par exemple.

Logos ou couleurs datés : les robots ou arnaqueurs ne se renouvellent pas beaucoup, ils utilisent souvent des « maquettes » de mail que la véritable société n’utilise plus, ancien logo, ancien code couleur etc.

Chantage : on vous dit qu’il y a une vidéo de vous en train de consulter un site pornographique, que la personne a accès à ceci ou cela et va le rendre public à moins que vous ne versiez une certaine somme d’argent. C’est dans 99% des cas du bluff. Si quelqu’un devait réellement vous faire chanter, il vous enverrait les preuves de ce qu’il avance en même temps que le mail. Auquel cas peu importe votre honte ou vos angoisses : portez plainte immédiatement, la police en a vu d’autre.

Une autre méthode d’arnaque par mail consiste à répondre à vos annonces ou à vous proposer des offres alléchantes. Ce sont généralement de vraies personnes qui vous écrivent, pas des robots, elles savent donc s’adapter à vos éventuelles réponses. Leur objectif est de vous extorquer de l’argent ou des données personnelles.

Ce peut être une annonce pour un logement à louer, mais la personne est à l’étranger et vous demande un virement western union ou autre pour ne pas se déplacer pour rien. Ce peut être une annonce pour un animal à récupérer, mais encore une fois la personne est dans un autre pays et vous demande d’avancer les frais pour payer la caisse de transport et les douanes.

Une autre méthode souvent utilisée est le faux virement ou le faux chèque : la personne prétend s’être trompée dans le montant qu’elle vous a envoyé, un 0 en trop par exemple, et vous demande de rembourser la différence. Sur votre compte en banque, l’argent en trop est effectivement arrivé ! confiant(e) et honnête, vous faites un virement de la différence. Sauf qu’au bout de quelques jours, les sous ont disparu de votre compte. Dans le cadre de faux chèques ou virement frauduleux, une banque peut mettre plusieurs jours pour se rendre compte de la supercherie et vous retire donc les sous qui n’ont en fait jamais existé. Vous venez de perdre la différence que vous avez envoyé. Il est quasiment inutile de vous retourner contre votre banque dans ces cas-là : plusieurs jugements ont d’ores et déjà donné raison aux établissements bancaires, ce n’est pas de leur faute si vous avez été arnaqué(e). Si vous faites face à ce genre de problème, consultez d’abord votre établissement bancaire avant d’éventuellement porter plainte.

Arnaques affectives

Si cela ne concerne pas tout à fait les mails mais plutôt les réseaux sociaux ou sites de rencontre, de nombreuses personnes malveillantes vont profiter de votre détresse affective pour vous extorquer des informations ou de l’argent.

Ces personnes se feront passer pour un(e) célibataire du sexe qui vous intéresse et prendra contact avec vous. De fil en aiguille tentera de vous séduire et prétextera qu’elle aimerait bien vous rencontrer mais n’a pas de quoi se payer un billet de train, est en difficulté financière pour le moment, bref, tous les moyens possibles pour vous pousser à lui envoyer de l’argent. Ce sont des arnaques particulièrement pernicieuses, car non content de vous extorquer des fonds, elles jouent avec vos sentiments et votre moral.

Soyez méfiant(e) et n’envoyez jamais d’argent à quelqu’un que vous n’avez jamais rencontré. Si vous pensez que parce que vous l’avez vu(e) en vidéo c’est une vraie personne, sachez que ce n’est peut-être pas le cas; il existe dorénavant des programmes qui simuleront une discussion vidéo en récupérant des séquences trouvées sur le web.

Si vous êtes ainsi contacté(e) sur un réseau social ou un site de rencontre, l’arna-coeur vous proposera rapidement d’utiliser un autre moyen de messagerie, comme hangout par exemple (un service de google). C’est parce qu’un profil de ce type a de fortes chances d’être signalé et donc de disparaître rapidement des réseaux sociaux.

Âmes esseulées, méfiez-vous, des crapules joueront sur votre détresse pour vous arnaquer.

Exemple de tentative d’arnaque sentimentale, source : Le Parisien (voir l’article)

S’en prémunir peut être plus délicat, certaines personnes sont passées maîtres dans l’art de la manipulation en ligne. Vous pouvez par exemple chercher sur Internet si les photos du profil ou que l’on vous envoie existent ailleurs (clic droit sur une image dans votre navigateur « rechercher cette image sur google »), si le discours est toujours cohérent (ces personnes arnaquent généralement des dizaines de personnes à la fois et peuvent commettre des erreurs de nom, d’âge, de lieux, de métier etc) mais surtout, si une personne commence à vous demander de l’argent ou à le sous-entendre, c’est presque certainement une arnaque. Il arrive aussi régulièrement qu’à force de manipulation, ces personnes obtiennent de vous des photos ou vidéos intimes, qu’elles useront pour vous faire chanter.

Si cela venait à vous arriver n’ayez pas honte, c’est le cas beaucoup de gens, prévenez les forces de l’ordre et déposez plainte, ce genre d’individu fera d’autres victimes. Mais la méfiance est votre meilleure arme. Via le lien ci-dessous, quelques conseils d’Avast, une société de sécurité informatique :

https://blog.avast.com/fr/2015/10/27/rencontres-en-ligne-comment-ne-pas-tomber-dans-le-piege-des-arnaques-aux-sentiments/

Le grand classique

On peut difficilement parler d’escroquerie sur Internet sans mentionner l’arnaque dite « 4-1-9 », aussi appelée « arnaque nigérianne » est sans doute l’une des plus répandue sur Internet, mais pourtant, par manque de sensibilisation, elle génère des millions d’euros aux arnaqueur chaque année. On vous prétexte un héritage, un appel à l’aide, un gain à la loterie etc pour vous demander d’avancer des frais. Attention : ces mails peuvent provenir de personnes que vous connaissez dont la messagerie a été piratée.

C’est un type d’arnaque regroupant plusieurs des éléments cités ci-dessus, pour en apprendre plus, consultez https://fr.wikipedia.org/wiki/Fraude_4-1-9

source : wikipedia

L’arnaque à distance n’est pas nouvelle, cela existait déjà en France aux XVIII siècle (Lettre de Jérusalem), mais Internet et surtout le manque de sensibilisation à son usage sûr en fait aujourd’hui un fléau.

Faux sites

Une autre méthode d’arnaque est le faux site. A force de naviguer sur Internet, sans faire trop attention à la sécurité des sites que l’on visite, on risque de se retrouver orienté vers un site frauduleux ou une notification vous disant que vous avez été piraté.

Tout d’abord, sachez que ce genre d’actions, tout comme les mails que vous pouvez recevoir ne sont presque jamais ciblés. Vous n’êtes pas la cible d’un hacker spécifique, vous mordez juste à un hameçon qui passe sur votre chemin ; c’est pour cela que l’on appelle ça le phishing, ou « hameçonnage », on vous fait croire que vous avez à faire à quelqu’un de confiance pour vous soutirer des informations ou de l’argent.

https://fr.wikipedia.org/wiki/Hame%C3%A7onnage

Comme pour les mails, c’est le jeu des sept erreurs : est-ce que l’url (adresse du site) est correctement orthographiée et que rien n’y est rajouté ? Est-ce qu’on me demande mon mot de passe, d’appeler un numéro ou de rentrer mon code de carte bleue ? Est-ce que l’orthographe et la grammaire de la page sont bonnes ? Est-ce qu’il y a le petit cadenas de sécurité et le https:// ?

Une arnaque actuellement malheureusement répandue est celle de la fausse assistance Windows : un écran bleu apparaît, vous disant que vous avez été piraté, une voix synthétique vous le répète, et on vous dit que pour pouvoir débloquer votre ordinateur, il faut appeler un numéro. Votre navigateur semble être bloqué et vous ne parvenez plus à le fermer.

Des personnes malveillantes au bout du fil vont vous faire croire que votre ordinateur est infecté, vous demanderont de réaliser des actions qui leur feront prendre le contrôle de votre ordinateur. Ils feront semblant de régler des problèmes qui n’existent pas, vous « vendront » des logiciels gratuits et inutiles, tout en installant des logiciels espions ; le tout évidemment en récupérant vos codes de carte bleue.

Vous remarquerez sur cette vidéo : cela ressemble à un site de Microsoft mais pas tout à fait, il y a des fautes de français, on vous demande d’appeler un numéro etc.

Plus d’information sur ce type d’arnaques : https://sospc.name/enquete-mefiez-fausses-alertes-dinfection-affiche-navigateur/

Encore une chose : nous ne parlons pas ici spécifiquement d’ordinateur, mais d’internet : votre téléphone ou votre tablette sont aussi susceptibles de subir des attaques, ne soyez pas moins méfiant(e) parce que vous utilisez votre mobile, les risques sont les mêmes.

Quelques outils pour se défendre

Si la meilleure défense contre ce genre d’attaque est de se renseigner sur les différentes arnaques, il existe tout de même quelques outils qui peuvent vous aider.

Un VPN

VPN veut dire en anglais « Virtual Private Network », soit réseau privé virtuel. C’est un logiciel que vous utilisez sur votre ordinateur ou votre téléphone mobile, il va entre-autres « masquer » votre présence sur le web, pour faire simple. Mais l’un de ses plus gros avantages en termes de sécurité est qu’il va crypter vos échanges d’informations avec les serveurs (sur lesquels sont stockés les sites web et les applications) afin de rendre très difficile, voire impossible de récupérer vos données. En fait, vos données vont vers un serveur sécurisé avant d’atteindre le site que vous consultez, et vice-versa. Il devient alors extrêmement difficile pour un hacker ou un robot de récupération de donnée d’avoir accès à ce que vous consultez et ce qui se trouve sur votre ordinateur. Par exemple, il est très déconseillé de se connecter avec son mobile à un wi-fi public (dans une gare, sur un hotspot, dans un café…) sans VPN : cela ouvre l’accès à une partie voire toutes les données de votre appareil et des comptes qui lui sont liés (compte Google ou Facebook par exemple).

Si des solutions gratuites existent, elles ne sont pas fiables et peuvent même être frauduleuses. Les VPN payants sont les plus performants. Certains d’entre eux font des campagnes en sponsorisant des vidéos Youtube, proposant des codes de réductions très intéressants.

Antivirus et anti malware

Cela semble être la base et pourtant bien des personnes naviguent sans antivirus sur Internet, ou bien avec un antivirus qui n’est pas mis à jour, ce qui revient strictement au même. Un logiciel de protection qui n’est pas à jour a autant d’efficacité qu’un parapluie troué. Les pirates utilisent toujours de nouvelles méthodes pour vous atteindre, si votre antivirus ne les connaît pas, il ne pourra pas vous en protéger. C’est le même principe qu’un vaccin contre la grippe : ce n’est pas parce que vous l’avez fait en 2016 que vous serez protégé de la souche de 2020.

Pour les personnes qui ne souhaitent pas débourser trop d’argent, sachez que le système de protection de base de Windows est relativement efficace, si et seulement SI vous faites régulièrement les mises à jour de Windows. Il en va de même pour les autres systèmes de protection.

Bien lire les messages

Lorsque que vous naviguez sur Internet, lorsque vous installez un nouveau logiciel ou lorsque quelque chose se passe sur votre ordinateur, des messages et alertes s’affichent. Ne cliquez pas simplement sur « ok » ou « autoriser », prenez juste trois ou quatre secondes pour lire ce message et vous demander « est-ce que je suis d’accord avec cela ? » « pourquoi je devrais accepter de donner ma localisation à ce site ? » « pourquoi ce site me demande l’autorisation d’afficher des notifications ? ». Si la réponse n’est pas évidente pour vous, et que vous ne l’aviez pas demandé, refusez.

WoT (Web of Trust)

Il existe un petit « plugin » gratuit (fonctionnalité rajoutée sur un logiciel, ici votre navigateur Internet) du nom de Web of Trust (le web de confiance) qui, même si elle n’est pas une protection en soi, peut vous aider lors de votre navigation à avoir une idée du genre de site sur lequel vous êtes. Cette petite application se base sur le signalement collaboratif et ajoutera à côté des liens que vous voyez sur votre navigateur un code couleur : vert pour les sites qui semblent dignes de confiance, orange pour les sites qui peuvent présenter certains risques, rouge pour les sites que des utilisateurs ont signalé comme dangereux. Si ce n’est pas une assurance absolue, cela peut au moins déclencher votre méfiance si vous voyez un lien noté comme rouge et vous éviter de cliquer dessus. C’est un outil collaboratif : si vous êtes sûr qu’un site que vous utilisez est de confiance, vous pouvez le noter pour que d’autres utilisateurs le sachent. Attention encore une fois : ce n’est pas une valeur sûre, mais une indication.

https://www.mywot.com/

J’ai peut-être été attaqué, que faire ?

A la lecture de ce dossier, vous vous dites peut-être que vous avez déjà été mis en danger, que vous pensez que vos données personnelles, vos mots de passe ou autre peuvent avoir été récupérés.

Pensez alors à changer vos mots de passe, c’est de toute manière une chose à faire régulièrement. Au moins pour vos services les plus importants : vos boîtes mail, vos mots de passe de site administratifs, vos réseaux sociaux. Bien entendu, les mots de passe du type « babette1953″ sont à proscrire : ils sont très faciles à « casser », comprendre pirater par des logiciels spécialisés.

Pour vous faire une idée, il existe un site du nom de « have i been pwned » (« est-ce que je me suis fait avoir » en argot informatique anglo-saxon). C’est un site qui recense beaucoup de « fuites de données », vous pouvez y rentrer votre adresse mail et cela vous donnera la liste des sites où vous avez pu utiliser cette adresse pour vous inscrire qui ont subi des brèches de sécurité ; cela implique que votre email et/ou mot de passe pour ce site ont fuité. Si vous utilisez les mêmes mots de passe partout, il est temps de les changer. Le site est riche d’informations mais est en anglais.

https://haveibeenpwned.com/

Vous pouvez également vérifier si le mot de passe que vous utilisez pour tel ou tel service s’est déjà retrouvé dans des fuites de données en le rentrant ici : https://haveibeenpwned.com/Passwords

Cela ne veut pas forcément dire que c’est spécifiquement vous qui avez subit une fuite, mais qu’un mot de passe identique au vôtre a été fuité. Si vous utilisez des mots de passe très simple, il y a de fortes probabilités que quelqu’un d’autre dans le monde l’ai déjà utilisé. Les logiciels qui tentent de forcer les mots de passe essayent d’abord les listes de ceux ayant déjà fuité pour gagner du temps.

Si vous pensez que vous avez subit une arnaque impliquant votre numéro de carte bleu, il vaut mieux, dans le doute, faire opposition sur votre carte bancaire auprès de votre banque et en demander une nouvelle. Si cela est relativement récent, portez plainte, vous pourrez peut-être récupérer tout ou partie de votre argent si malheureusement quelqu’un venait à se servir de ces informations

https://www.service-public.fr/particuliers/vosdroits/F31324

Si vous avez subi une escroquerie, le gouvernement a mis en place un service de signalement et d’aide

Nous pourrions aller encore plus loin et vous parler de keyloger, de sniffing, de piratage de réseau, de prise de contrôle à distance, d’interception de mails, de social hacking ou autre, mais ce dossier est suffisamment long; si toutefois le sujet vous intéresse, n’hésitez pas à commenter en bas de cet article si vous souhaitez en savoir plus sur des sujets particuliers.

Nous tenons à remercier la société Talençaise Omniscience Technologies, spécialiste de la sécurité et formation en informatique pour ses conseils et précisions dans la réalisation de ce dossier.

Pour aller plus loin

Top 10 des plus grosses arnaques sur Internet :

Arnaques par téléphone :

Arnaques sentimentales :

Facebook
Facebook
Instagram