Salut,
Je me permets de créer une discussion -qui sera sûrement éphémère- car, au-delà de l'excellente inspiration dont ont fait preuve les intervenants, je trouve que cette discussion aurait pu au moins amener une réponse constructive : expliquer à la personne qui -semble-t-il assez maladroitement- a évoqué le phishing, comment s'en prémunir facilement.
Comme, par exemple, simplement vérifier l'adresse mail qui t'envoie le message frauduleux avant de le cliquer bêtement. Ça paraît peut-être une évidence pour des gens expérimentés, mais j'ai pu vérifier qu'autour de moi pas mal de gens qui utilisent régulièrement l'ordi se font encore avoir… comme des cons, certes.
Ça aurait au moins eu un côté constructif… :rolleyes:

Je n'ai pas eu l'intégralité de la discussion car elle a été modifiée/fermée aussitôt, mais je trouve dommage qu'elle n'ait pas donné lieu à des infos plus utiles pour ceux qui ne sont pas forcément au fait des entourloupes du web. :)

Pas vu passer la discussion, mais bon:

Perso, mes habitudes de base.

1- ne jamais s'identifier sur un site via un lien reçu en e-mail (ou pire,via Facebook ou autre réseau social ou systeme de chat genre Steam). Si c'est un site que l'on visite régulièrement, on est censé être déjà connecté (sauf à ne pas accepter les cookies, mais du coup, on part du principe qu'on sait ce qu'on fait dans ces cas-là). Dans le cas inverse, on va sur le site directement via son browser préféré, et on se connecte.

2- la même que le 1, mais en plus important: on ne rentre JAMAIS d'informations bancaires (au sens large, paypal compris par exemple) via un lien reçu par email. Pareil, on va sur le site par soi-même, on se connecte..
Exemple typique, email "Free, facture Internet impayée, cliquez ici pour payer". On ne clique pas. Point. On va sur free.fr, on se connecte au service client, et on regarde si jamais on a eu un soucis de facture (ça peut arriver :rolleyes: ). Ou on téléphone au service client!

3- On se motive, et on ne ré-utilise pas ses mots de passe. Jamais. On utilise un gestionnaire de mdp. Oui, c'est chiant. Mais c'est comme ça. SI le pire arrive, et que vous cliquez là où il faut pas, vous êtes victimes sur un seul site, avec un seul identifiant. Ie: on est con, on a donné nos identifiants free sur l'email phishing précédent...tant qu'à faire, autant que les identifiants free ne servent pas aussi à se connecter sur paypal....

4- La double authentification, ça peut servir aussi à s'assurer que l'on soit bien sur le site légitime.
Perso, j'aimerai bien que ma banque me propose le 2-auth. Pour me connecter à mon espace perso sur leur site, je rentre mon identifiant et mpd, normal. Je trouve qu'un petit SMS avec code de vérification à chaque fois, non seulement ça empêcherait quelqu'un d'autre que moi de s'y connecter dans le pire des cas, mais ça me permettrait aussi d'être sûr d'être bien connecté à ma banque (ie: si je reçois pas le SMS après avoir rentré tout ça, c'est qu'il y a anguille sous roche). C'est ce que je fais avec Paypal par exemple.

Voilà voilà...

Salut,
Je me permets de créer une discussion -qui sera sûrement éphémère- car, au-delà de l'excellente inspiration dont ont fait preuve les intervenants, je trouve que cette discussion aurait pu au moins amener une réponse constructive : expliquer à la personne qui -semble-t-il assez maladroitement- a évoqué le phishing, comment s'en prémunir facilement.

C'est surtout la demande de l'auteur du topic qui a amené la fermeture en fait. Mais il est vrai que la question est intéressante.


Comme, par exemple, simplement vérifier l'adresse mail qui t'envoie le message frauduleux avant de le cliquer bêtement. Ça paraît peut-être une évidence pour des gens expérimentés, mais j'ai pu vérifier qu'autour de moi pas mal de gens qui utilisent régulièrement l'ordi se font encore avoir… comme des cons, certes.
Ça aurait au moins eu un côté constructif… :rolleyes:

Je n'ai pas eu l'intégralité de la discussion car elle a été modifiée/fermée aussitôt, mais je trouve dommage qu'elle n'ait pas donné lieu à des infos plus utiles pour ceux qui ne sont pas forcément au fait des entourloupes du web. :)

Haik a déjà donné quelques infos intéressantes, une sorte de liste de rappels de base. Malheureusement l'ingéniosité des gens qui pratiquent ce genre d'arnaque est sans limite. Les clients mails vont blacklister les adresses mails à risque? Il vont en changer. Le filtre antispam va se baser sur le corps du message? Ils vont utiliser des caractères spéciaux pour les induire en erreur, etc... etc...
Donc on peut effectuer un certain nombre de rappels, comme le fait de toujours vérifier l'url dans la barre d'adresse pour les sites sensibles, de ne jamais répondre à une sollicitation de paiement par mail comme disait Haik, ne jamais utiliser deux fois le même mot de passe,... Mais le fait est que si l'on veut vraiment se prémunir de ce genre de menace, même les solutions qui nous paraissent les plus simples et les plus basiques peuvent être très difficiles à assimiler pour l'utilisateur lambda.

Le cas du "1 mot de passe différent sur chaque site" est assez représentatif à lui seul. Dans l'absolu c'est la pratique qui amène le plus de sécurité. Dans la réalité, les 3/4 des gens réutiliseront le même mot de passe partout avec parfois quelques variations. Certains sauront peut être que c'est une méthode dangereuse, mais même ceux-là continueront à l'utiliser pour des raisons purement pratiques. Il existe bien des gestionnaires de mots de passe, mais là aussi ça demande une certaine implication et pas mal de temps pour s'y habituer.

Un autre exemple. Tout le monde ou presque a aujourd'hui un ordinateur portable, et l'élément à remplacer en premier c'est souvent la batterie. La dernière fois que j'ai cherché un site sérieux et avec des tarifs pas trop délirants pour en acheter une, il m'a fallu au bas mot au moins une bonne journée pour faire le tri entre les sites sérieux, les fakes et les sites chinois copié collé. C'est presque un travail de détective, trouver des retours utilisateurs en sachant faire le distinguo entre les vrais commentaires et les faux (pas forcément facile). Ensuite regarder le site en lui-même pour voir si c'est du vrai français ou une simple traduction google. Faire un WHOIS sur le site pour vérifier où il est hébergé et par qui, etc... Bref perso ça m'amuse, mais je doute que ça soit le cas de l'internaute standard qui veut juste acheter une batterie.

Si je devais utiliser une image pour représenter ce problème, ça serait celle-là. Quand je vais acheter ma baguette chez le boulanger, je ne veux pas savoir dans quel type de four elle a été cuite à quelle température et avec quel type de farine, ce qui paraît normal à moins d'être un passionné du domaine. Mais bon y'a quand même assez peu de chances pour qu'un peulot au coin de la rue m'interpelle en essayant de me vendre une baguette de contrefaçon :ninja: Malheureusement, sur internet c'est plutôt le contraire.

Donc techniquement ça reste possible avec un peu de vigilance et d'apprentissage d'éviter les arnaques les plus grossières. Mais il existe toujours un risque, notamment face à des menaces plus sophistiquées et ciblées. On peut le voir avec des cas récents notamment comme celui de l'AFP. Les mecs reçoivent un mail qui semble avoir été envoyé par un cabinet d'avocat, ils sont en confiance et se font avoir. Pourtant je suis persuadé que la plupart avaient déjà ces notions de base en tête.

Un lien vers l'histoire en question, racontée par le sysadmin de l'AFP qui est particulièrement intéressante à lire : https://making-of.afp.com/le-diable-se-cache-dans-la-piece-jointe

P.S : désolé pour le pavé :p

Le cas du "1 mot de passe différent sur chaque site" est assez représentatif à lui seul. Dans l'absolu c'est la pratique qui amène le plus de sécurité. Dans la réalité, les 3/4 des gens réutiliseront le même mot de passe partout avec parfois quelques variations. Certains sauront peut être que c'est une méthode dangereuse, mais même ceux-là continueront à l'utiliser pour des raisons purement pratiques. Il existe bien des gestionnaires de mots de passe, mais là aussi ça demande une certaine implication et pas mal de temps pour s'y habituer.

Ca peut paraitre chiant au début, mais on s'y fait rapidement, surtout si on utilise quelque chose comme Dropbox pour synchroniser la BDD des mots de passe si on utilise plusieurs appareils. Après, je me fais pas d'illusion, les gens hermétiques à l'informatique ou incapables d'installer par eux-mêmes une imprimante en wifi ne voudront pas se casser la tête à sécuriser leur mot de passe. Ca restera le nom du chien, l'année de mariage/de naissance et ce, quoi qu'on essaie de leur dire.

Oui carrément, d'ailleurs tu dois sûrement utiliser keepass, couplé à Dropbox c'est le mix simple et pratique. Même si faut pas le crier trop fort au risque de rameuter tous les informaticiens intégristes du quartier :p Perso j'ai toujours eu peur de perdre la bdd locale donc j'ai plutôt opté pour un service en ligne. Dans tous les cas un gestionnaire de mdp ça reste effectivement la meilleure solution pour régler le problème une bonne fois pour toutes.

Désolé pour l'op d'ailleurs, j'ai enchaîné sur les mots de passe alors que le sujet initial concerne le phishing, mais ça reste un des grands classiques (avec le phishing et le reste) quand on parle de sécurité info au niveau de l'utilisateur final.

Ben le but du phishing, ça reste quand même en général soit de te piquer ton mot de passe, soit ton numéro de CB. Donc expliquer comment limiter la casse sur un vol de mot de passe, ça reste dans le sujet je pense. Et oui, j'utilise KeePass + Dropbox. Comme ça, que ça soit sur le PC de bureau, le laptop ou le smartphone j'ai toujours ma base de disponible.

J'ai le même setup, ça marche nickel.

Bon, c'est toujours un peu chiant pour un nouvel appareil: "ma BdD Keepass est sur Dropbox, il me faut donc le mdp Dropbox qui est dans la BdD Keepass" ^_^

Ben le but du phishing, ça reste quand même en général soit de te piquer ton mot de passe, soit ton numéro de CB. Donc expliquer comment limiter la casse sur un vol de mot de passe, ça reste dans le sujet je pense. Et oui, j'utilise KeePass + Dropbox. Comme ça, que ça soit sur le PC de bureau, le laptop ou le smartphone j'ai toujours ma base de disponible.

ouep, j'avais pas vu ça sous cet angle :)


J'ai le même setup, ça marche nickel.

Bon, c'est toujours un peu chiant pour un nouvel appareil: "ma BdD Keepass est sur Dropbox, il me faut donc le mdp Dropbox qui est dans la BdD Keepass" ^_^

Le genre de truc qui a dû arriver à pas mal de monde ^^ D'ailleurs c'est intéressant que tu dises ça parce ça montre bien toute l'étendue du problème. On jongle constamment entre le besoin de sécurité d'un côté et celui d'avoir un outil facile à utiliser de l'autre. Et en l'état des choses on dirait que quoi qu'on fasse, ça reste un vrai casse-tête d'arriver à cumuler les deux. Les gestionnaires de mdp règlent un problème pour en créer un autre. S'ils sont générés automatiquement c'est beaucoup plus secure, mais si on perd l'accès à la bdd, on perd potentiellement l'accès à tous ses comptes. Avec une bonne gestion derrière c'est pas vraiment susceptible d'arriver, mais dans ce cas, ça suppose une vraie organisation.

Et y'a tellement d'exemples comme ça où soit on sacrifie de la sécurité pour plus de liberté d'utilisation, soit le contraire. Et même pour un power user ça peut vite devenir compliqué de tout gérer correctement au quotidien. Gérer ses mdp, savoir reconnaître les mails frauduleux, savoir faire des backups réguliers, savoir se prémunir des dangers divers et variés sur le net... La liste est tellement longue que ça a de quoi faire peur même quand on s'y connaît.

Les utilisateurs novices qui n'arrivent pas ou ne veulent pas apprendre ça reste un problème, mais je me dis qu'il faut pas non plus tout mettre sur le dos de "l'interface chaise clavier". Les informaticiens ont eux aussi un vrai challenge, celui d'offrir des outils à la fois secure et accessibles à tous. Et en l'état je me dis qu'on est pas prêts d'arrêter de faire de la veille et de potasser de la doc ^_^

Sinon on peux jeter un œil à l’entête/source du mail.

Sinon on peux jeter un œil à l’entête/source du mail.Oui, c'est ce que je mentionnais dans mon premier message. Ça suffit la plupart du temps à éviter les mauvaises surprises. ;)

Deux fois en deux semaines que des connaissances se font "pirater" leur compte mail avec envoie de bon gros phishing (un via un faux Dropbox, et via un faux GoogleDoc) :tired:
Par pitié les gens, 2-auth et mot de passe unique, pleeeaaassseee!

Je vais en faire hurler plusieurs mais je reconnais réutiliser le même mdp pratiquement partout parce qu'avec la quantité de compte que je me trimballe, ce serait trop pété d'en avoir un différent à chaque fois même avec un gestionnaire prévu à cet effet. Et puis il y a beaucoup de comptes dont je me fous pas mal qu'ils soient piratés, aussi.
Du coup, j'observe quand même quelques règles qui me semblent permettre, sans atteindre le risque zéro, de limiter énormément la casse :

-les mdp de mes boîtes mail (qui servent à toutes les confirmations d'achats/changements de mdp etc) sont uniques et complexes
-les mdp des comptes importants (Steam, banque, assurance, impôts, Paypal, tout ça) sont uniques
-je lis mes mails en entier avec mon petit cerveau (expéditeur, destinataire, contenu, pièces-jointes douteuses, tronche des liens) et pas juste la ligne "cliker ici pr regler votre fakture impayé lol"
-de temps en temps, je fais un tour sur mon adresse mail via le site web pour procéder à une mise à jour massive des expéditeurs bannis. Comme j'utilise Thunderbird, ça fait double filtre et y'a pas des masses de merdes qui passent au final
-j'ai une adresse poubelle que j'utilise pour les comptes dont je me bats les steaks

Du coup les seuls coups de flippe ont été très rares et totalement indépendants de ma volonté (= intrusion dans des bdd gérées comme et par des mongols, coucou UbiSoft). Et en ces rares occasions :

-modification massive des mdp de comptes sensibles identiques à ceux compromis (peut-être plus chiant que d'avoir un mdp unique pour chaque compte, je reconnais, mais ça n'arrive pas tous les quatre matins non plus)

j'ai une adresse poubelle que j'utilise pour les comptes dont je me bats les steaks

J'ai également une adresse poubelle que je file quand on me demande mon mail sur un truc pas important/connerie/douteux.
Je n'y ouvre jamais aucun mail, je vais juste la vider 3 fois par ans (c'est l'orgie a chaque fois).
Il n'existe aucun carnet d'adresse dessus, ni aucune information sur moi, elle n'est liée a rien.

Je trouve que c'est une pratique saine (pour quand on va sur des trucs moins sains :siffle: ).

J'ai également une adresse poubelle que je file quand on me demande mon mail sur un truc pas important/connerie/douteux.

Tout pareil ! merci yopmail !