Comptes détournés: comprendre la technique pour s’en protéger

Les pirates ont besoin de votre complicité pour prendre le contrôle de votre compte Facebook, Google, ou Amazon. Pour vous inciter à livrer de plein gré les clés de vos données, ils exploitent à fond la technique éprouvée du phishing. Principe: se déguiser et vous filer la frousse.

Georges Lekeu
Comptes détournés: comprendre la technique pour s’en protéger
©weerapat1003 - Fotolia

Perdre le contrôle de son compte Facebook, Google, Amazon, Paypal, eBay, Gmail ou encore Outlook: c’est le cauchemar par excellence, redouté et… fantasmé.

Oui, des pirates tapis dans l’ombre se spécialisent dans le kidnapping de nos identifiants et nos mots de passes, ces précieux sésames susceptibles de libérer des trésors (données personnelles, numéro de carte de crédit).

Non, ces esprits mal intentionnés ne disposent pas d’un arsenal technologique digne des services secrets pour faire sauter nos verrous.

Sauf cas extrême et hautement improbable à l’échelle du citoyen lambda, nous perdons un accès crucial à notre vie digitale car nous relâchons notre garde.

La porte s’ouvre uniquement parce que nous donnons sa clé de plein gré, sans prendre conscience du piège qui se referme.

Patients pêcheurs, les pirates nous tendent des perches en eaux troubles et attendent que nous mordions à l’hameçon.

Au cœur de l’écrasante majorité de ces campagnes de piratage et de détournement: la technique éprouvée du phishing (hameçonnage).

Une commande que vous n’avez jamais passée

Exemple concret: vous recevez un courrier électronique généré en apparence par le site marchand Amazon.

C'est une «Confirmation de commande» pour un appareil photographique d'une valeur de 255€ à livrer à… Paris.

Si vous disposez bel et bien d’un compte Amazon, jamais ô grand jamais vous n’avez commandé cet article, et encore moins pour une livraison si lointaine.

«Désormais pour annuler un achat Amazon, la connexion à votre compte est facultative», vous rassure le mail, «il suffit de cliquer sur le bouton Mode hors connexion, d'insérer votre numéro de commande indiqué sur le courriel, puis d'annuler votre commande.»

Un exemple d’un mail de phishing: envoyé par des pirates, ce message vous fait croire qu’une commande Amazon a été passée avec votre compte. Pour soi-disant l’annuler, vous devrez communiquer votre identifiant et votre mot de passe.
Un exemple d’un mail de phishing: envoyé par des pirates, ce message vous fait croire qu’une commande Amazon a été passée avec votre compte. Pour soi-disant l’annuler, vous devrez communiquer votre identifiant et votre mot de passe. ©Capture d’écran

Si jamais vous cliquez sur le lien, votre navigateur vous parachute sur un formulaire habillé aux couleurs du marchand où il vous est demandé d’encoder, outre le numéro de la commande incriminée, le nom d’utilisateur et le mot de passe de votre compte Amazon.

À l’autre bout de la ligne, les pirates se préparent à récolter ces informations sensibles que vous transmettez de bonne grâce.

Du site originel au formulaire, tout est faux, tout est construit, déguisé et piloté à distance pour faire croire que vous êtes bel et bien chez Amazon. En réalité, vous naviguez sur une plate-forme temporaire administrée par vos bourreaux potentiels.

Peurs et déguisements

C’est la clé de voûte du phishing: se déguiser et se faire passer pour une institution, un site ou une marque connue avant d’agiter une peur qui vous poussera à communiquer les données personnelles réclamées.

Ces peurs sont relayées par de (faux) courriers électroniques, de (faux) sites Internet et de (fausses) applications: «Votre compte bancaire va être fermé. Cliquez pour annuler la procédure» ou encore «Paiement suspect avec votre carte de crédit. Cliquez pour vérifier les transactions.»

À l'occasion, l'expéditeur suspect pousse le vice jusqu'à usurper l'identité d'un proche à l'heure de vous faire paniquer: «J'ai reçu des photos compromettantes de toi, clique ici pour les effacer de ton Facebook.»

La mesure de prudence de base? Se méfier en toutes circonstances et se connecter manuellement au compte concerné pour vérifier indépendamment du mail ou du site suspect la véracité de la peur agitée.