Sur Internet, ne soyez pas dupe
Par David Garcia (Professeur d'université)
L'utilisation constante d'internet à tout moment de la journée fait du réseau un élément essentiel dans nos vies. L'essor et l'utilisation massive d'applications et de services sur Internet pour toutes sortes de besoins (achats, banque, éducation, loisirs, etc.) ont fait changer nos habitudes, tant sociales que professionnelles, faisant que tout circule sur Internet.
Cette utilisation massive du réseau n'est pas sans danger, et les cybercriminels qui sont des attaquants qui cherchent à profiter des failles de sécurité des applications et de la distraction des utilisateurs pour en tirer un certain profit, qu'il soit économique, idéologique ou vengeance. Il faut faire la distinction entre « hacker » et « cybercriminel », car le mot hacker est mal utilisé par la société en général (aidée par la multitude de films et de séries télévisées qui leur donnent presque toujours un sens négatif), lui attribuant des qualités néfastes. Un hacker est une personne ayant des connaissances approfondies en sécurité informatique (tout comme un cybercriminel) mais son objectif est de chercher à améliorer la sécurité des applications, signaler et résoudre les erreurs constatées pour les protéger d'éventuelles attaques causées par des cybercriminels. Par conséquent, la distinction entre un pirate informatique et un cybercriminel réside pratiquement dans la motivation qu'ils ont, ou aident à résoudre des problèmes (le premier), ou réalisent un profit (le second).
Les cybercriminels ont une connaissance approfondie de la sécurité informatique et, en plus, ils utilisent des outils préparés pour faciliter les cyberattaques, rendant plus ou moins facile le vol de vos données stockées sur votre appareil, ou lançant des attaques plus sophistiquées sur les entreprises et les grandes entreprises pour voler un une plus grande quantité de données et d'informations pouvant être vendues à des tiers ou utilisées à des fins de chantage ou d'extorsion. La cyberattaque contre SEPE en 2021 était bien connue, mais l'Agence européenne des médicaments a également subi des cyberattaques en pleine pandémie, des entreprises comme Adif, Mapfre, ou encore l'attaque bien connue contre Telefónica en 2017 par un ransomware (chiffrement de toutes vos données et demande de rançon pour pouvoir les récupérer). Mais il n'y a pas que les entreprises qui sont attaquées, tout le monde peut être victime d'une cyberattaque, et pour mener à bien ces attaques, l'une des techniques les plus utilisées par les cybercriminels est l'ingénierie sociale.
L'ingénierie sociale ou l'art de la tromperie consiste à tromper ou à manipuler des personnes pour obtenir leurs informations personnelles, telles que des mots de passe et des coordonnées bancaires, ou pour accéder à leurs ordinateurs afin d'installer par inadvertance des logiciels malveillants ou des logiciels malveillants, afin de s'approprier et d'avoir le contrôle de notre appareils et pouvoir accéder à toutes les informations que nous avons stockées, y compris l'utilisation des applications installées sur nos appareils. Ce qu'ils veulent, c'est capter notre attention en prétendant que nous agissions d'une certaine manière. Si un cybercriminel veut que vous cliquiez sur un lien pour télécharger un virus sur votre ordinateur, qu'utilisera-t-il comme revendication ? a) "Cliquez ici pour télécharger un virus [lien]", ou b) "L'État vous accordera une aide si vous êtes majeur [lien]". Force est de constater que la deuxième option est plus attractive et suscite plus d'intérêt en faisant cliquer sur le lien malveillant et tomber dans le piège. Ce type d'ingénierie sociale ou de tromperie peut apparaître dans les e-mails, les messages instantanés ou les réseaux sociaux et utilise souvent des excuses telles que les catastrophes naturelles, les nouvelles sur les célébrités, les offres de produits à bas prix, les contraventions, les problèmes de sécurité des comptes bancaires, etc. Agence fiscale ou envoi de factures électroniques.
Pour prévenir ce type de tromperie, il convient de suivre ces recommandations : 1) Ne jamais fournir nos mots de passe à qui que ce soit, ni les partager par email ou sur les réseaux sociaux ; 2) Nous ne fournissons jamais nos informations personnelles ou bancaires sur Internet même s'ils en font la demande par e-mail ou par téléphone ; 3) Si nous ajoutons des informations privées ou sensibles à une page Web, assurez-vous que la page Web ou l'URL est correcte (par exemple, cette URL "http://sede23.agenciatributaria.234gob.es" est suspecte car elle comporte une série de chiffres à des caractères étranges, il est préférable de taper ou de rechercher directement le lien au lieu de cliquer sur celui fourni dans un e-mail) ; 4) N'ouvrez jamais un fichier étrange si nous ne connaissons pas l'expéditeur ou ne l'attendions pas, ou si le message est mal orthographié ou mal rédigé. De plus, il est toujours pratique d'avoir des copies de sauvegarde des données importantes, d'activer les méthodes d'authentification biométrique pour les appareils mobiles (empreintes digitales, visage, etc.) et l'authentification à double facteur (comme le mot de passe et les SMS) pour les applications Internet (banque en ligne, achats , etc.), et de ne pas mettre le même mot de passe pour tous les services et de les changer souvent, qu'ils soient robustes (au moins 8 caractères, quelques majuscules, chiffres et symboles spéciaux) pouvoir utiliser un gestionnaire de mots de passe pour qu'il soit gérés automatiquement et ne pas avoir à les mémoriser.
L'homme est le maillon faible de la chaîne, alors ne facilitons pas la tâche au cybercriminel, s'il veut voler vos mots de passe d'accès à la banque en ligne par exemple, devoir recourir à des procédures techniques plus complexes et coûteuses et prendre beaucoup de temps à faire ce. Le Bureau de la sécurité Internet (www.osi.es) comme l'Institut national de la cybersécurité (www.incibe.es) vous aident à vous protéger et à prendre conscience des dangers d'internet.
david garcia rosado
professeur
Groupe de recherche GSyA (https://gsya.esi.uclm.es)
Ecole Supérieure d'Informatique
Université de Castilla-La Mancha
