ChezFab

Alternative gratuite au courrier postal, le service de mails a rapidement été très utilisé. Aujourd’hui, il fait partie, pour la plupart d’entre nous, du quotidien.

C’est sans doute pourquoi il est devenu un des principaux vecteurs d’attaque sur Internet. Nous allons donc voir dans ce tutoriel quelques détails sur le fonctionnement de ce service et quelques règles simples qui vous permettront d’éviter tous ces pièges!

Pourquoi les mails ne sont pas fiables

Comme je l’ai indiqué dans l’introduction, le service de mail a été pensé comme le courrier postal. Il y a donc un expéditeur, un ou des destinataires, des pièces jointes, un objet, un contenu … Bref, autant de termes qui se retrouvent dans le courrier classique. Mais il faut bien comprendre que tous ces éléments sont librement éditables par la personne qui envoie le mail ! C’est à dire que je peux envoyer un mail en remplissant ce que je veux dans l’expéditeur.

Tout comme je pourrai très bien vous envoyer une lettre avec l’entête de votre banque, je peux donc vous envoyer un mail avec l’adresse e-mail de votre banque en expéditeur.  On voit donc bien qu’il ne faut pas prendre pour argent comptant tout ce qui se présente dans vos mails.

Méfiez-vous dès l’instant où on vous demande de faire quelque chose

Si vous recevez une lettre de votre banque vous demandant de renvoyer un chèque par courrier à une adresse que vous ne connaissez pas, le faîtes-vous ? Le bon sens fait que vous allez prendre des renseignements (en passant à votre agence ou en téléphonant) qui vous confirmeront que c’est une arnaque. Mais avec les mails, les pièges peuvent être tellement subtils que beaucoup de gens ne se méfient pas.

Par exemple, je peux vous envoyer un mail en me faisant passer pour votre banque. Dans le texte, je prétexte n’importe quel problème informatique pour vous demandez de cliquer sur un lien.  Bien entendu, j’aurai pris soin de faire que cette page soit un clone du site de votre banque (ce n’est pas très compliqué à faire). Sur cette page je vous demande de saisir votre login et votre mot de passe. Une fois que vous l’avez saisi, je vous redirige vers le site réel de votre banque. Sauf qu’au passage, j’aurai pris soin d’enregistrer ce que vous avez saisi pour pouvoir m’en servir par la suite.

Phishing : ne cliquez pas sur un lien

Ce type d’attaque est extrêmement fréquente (plusieurs par semaine) envers les banques, les FAI… Elles ont été baptisées phishing. Comme vous l’aurez compris, le but est de vous faire cliquer sur un lien et de vous faire croire que vous allez arriver sur le vrai site Internet de la société. Il y a des règles (certaines assez complexes) pour reconnaître que le lien en question n’est pas une page du vrai site.

Mais le plus simple est en fait de ne pas cliquer. Là encore prenez d’autres sources d’informations. Allez sur le site de la société de vous même et saisissez votre login et votre mot de passe. Si aucun message venant confirmer ce que vous avez lu dans le mail n’apparaît, alors considérez le mail comme un piège. Ou alors appelez la société en question qui pourra vous dire si ce mail est un faux.

Scam : n’envoyez jamais d’argent

Le scam est un peu plus complexe à mettre en œuvre. Ici, on ne veut pas vous faire cliquer sur un lien, mais vous faire répondre. On vous expliquera qu’une personne a une somme d’argent importante à sa disposition mais qu’il lui faut de l’argent pour la récupérer. La personne se propose de partager le magot à condition que vous envoyiez les frais en question. Bien entendu, tout ceci est une arnaque et vous ne reverrez jamais votre mise. D’une manière générale, peu importe le prétexte, dès qu’on vous demande de l’argent c’est un piège.

Virus : encore et toujours les liens

De nos jours, beaucoup de virus se propagent par mail. Là encore on vous invite à aller sur une page Internet ou à télécharger un document (PDF, Office …). Ce mail peut venir d’une personne déjà infectée et qui vous a dans son carnet d’adresses. Donc même si le mail provient d’une personne connue, le risque est toujours là. La première chose à faire est d’avoir son système à jour ce qui permet d’éviter que de vieilles failles soient exploitées. Ensuite attendez peut être un jour ou deux avant de télécharger le fichier. Le temps que, si c’est virus, il soit reconnu par votre antivirus. Si vous allez lire vos mails sur un site et non pas en les rapatriant via un logiciel sur votre PC (Outlook, Thunderbird), vous éviterez certains virus car les boîtes mails scannent les pièces jointes. Mais cela n’aura aucun effet contre un lien piégé …

Comme nous l’avons vu, il existe de multiples pièges liés aux emails. Il faut donc éviter de faire confiance aux messages qui arrivent même si ils viennent d’une personne ou société connue. Tout ce qui arrive en anglais ou dans un français très approximatif est à considérer comme un piège. Voilà, j’espère que vous serez un peu mieux armé contre vos emails !