🍸 HAPPY HOURS – Édition piratage 2/5 : Le phishing ou quand on te piège toi, pas ton site 🧑‍💻 | S.T.A.G : Stop & Take A Gin 🍸

Description

Deuxième Happy Hour de cette capsule spéciale dédiée au piratage ! Aujourd’hui, on parle de phishing, cette méthode (très efficace) qui ne s’attaque pas à ton site… mais à toi.

Dans cet épisode, tu vas découvrir :
→ Comment les pirates utilisent l’urgence et la tromperie pour récupérer tes identifiants,
→ Ce à quoi ces tentatives ressemblent concrètement,
→ Et les bons réflexes à adopter pour ne pas tomber dans le piège.

Un épisode essentiel pour gagner en vigilance sans tomber dans la paranoïa 💡

________________________________________

Retrouve moi sur Instagram, pour encore + de tips :

https://www.instagram.com/whitestagweb/

Et sinon, tu peux aussi télécharger mon workbook GRATUIT des 8 étapes avant de créer ton site web :

https://landing.mailerlite.com/webforms/landing/r6y3g6

Ou encore, mon template de cahier des charges :

https://landing.mailerlite.com/webforms/landing/l0v3l5

On se retrouve dans 15 jours pour un nouvel épisode !

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
T'as déjà fait entrer quelqu'un chez toi sans savoir qui c'était Et bien pourtant, c'est une erreur très courante en ligne. Hello, moi c'est Émilie, développeuse web chez Waitstag, agence web. Après 5 années de e-commerce et 5 années dans le commerce, je suis devenue développeuse web avec pour mission de faciliter l'accès au web, tout en créant un outil puissant au service de ton business. Si tu cherches des conseils et des astuces sur mon thé web et l'entrepreneuriat, tu es au bon endroit. C'est pour l'épisode du jour, c'est parti Hello, on se retrouve pour le deuxième épisode de cette capsule spéciale piratage. Aujourd'hui, on va voir un type d'attaque. Tu en as déjà entendu plein de fois parler, j'en suis quasiment sûre. On va juste remettre point par point ce que c'est cette attaque pour que tu puisses comprendre comment ça fonctionne et comment tu peux éventuellement l'éviter. Et puis, dans les prochains épisodes, on passera à d'autres types d'attaques. Comme ça, à la fin, tu auras une capsule assez complète de ce qui peut arriver à ton site en matière de piratage. Cette technique de piratage, elle est un peu différente des techniques de piratage habituelles parce qu'on ne s'attaque pas directement à ton site. Le but, c'est de récupérer les accès à ton site, voire ton site directement. Mais ce n'est pas de cette façon-là qu'on va procéder. On va procéder en passant par le propriétaire du site, à savoir toi. En gros, si on veut schématiser un petit peu tout ça, On reprend notre exemple de la maison. On sonne chez toi. Quelqu'un sonne chez toi et est habillé en technicien en disant qu'il doit vérifier ton compteur d'eau, ton compteur de gaz. Enfin bref, peu importe, qu'il doit vérifier quelque chose à l'intérieur de chez toi. Et toi, est-ce que tu le laisses entrer comme ça sans aucune vérification Normalement, non. Même s'il a les habits de la compagnie d'électricité ou de gaz que tu utilises. Tu vérifies quand même un minimum s'il a un badge, etc. Tu lui poses quand même deux, trois questions. Si tu as été prévenu, si tu n'as pas été prévenu. Tu ne te fies pas juste à son apparence. Eh bien, le principe de cette attaque-là qu'on appelle le phishing, c'est justement de se déguiser en quelqu'un qu'on n'est pas, de faire croire qu'on est quelqu'un qu'on n'est pas, pour pouvoir accéder à des informations. Les trois quarts du temps, le phishing, c'est par mail. Ça peut arriver aussi par téléphone. Ça commence à émerger un petit peu. Mais c'est surtout par mail qu'on connaît ces techniques de phishing, c'est-à-dire qu'on t'envoie un mail qui ressemble généralement à une administration. C'est le plus courant parce que l'administration, ça fait peur. Si tu reçois un mail des impôts, la première chose que tu vas faire, c'est dans ce mail, on va te dire rendez-vous sur votre compte impôts.gouv. La première chose que tu vas faire, c'est de cliquer sur les liens et d'aller sur ton espace impôts pour vérifier ce qui est dit. C'est justement sur ça que le pirate joue à ce moment-là, c'est de se dire... on va faire peur, on va agir dans l'urgence, on va montrer une certaine notion d'urgence, on va parler de quelque chose d'inquiétant, d'un problème, d'une somme d'argent, d'un document qui manque, etc. Dans le seul et unique but de rediriger vers une autre plateforme qui elle-même ressemblera à une plateforme connue. Si tu reçois un mail d'un pirate qui se fait passer pour les impôts, le site sur lequel il va te renvoyer va ressembler trait pour trait au site des impôts. Tu ne verras absolument aucune différence. Avec le site des impôts, la seule différence que tu pourras voir, ça va se trouver dans la barre de navigation. L'URL ne sera pas la même que celle des impôts. C'est la seule chose qui va différencier du site des impôts classique. Alors, je te prends l'exemple des impôts, mais ça arrive avec plein d'autres choses. Ça arrive avec les opérateurs téléphoniques, ça arrive avec l'EDF, ça arrive... On peut lister là tout un tas de choses. Ça peut même arriver avec la CPAM. CAF, les URSAF, ça m'est déjà arrivé de recevoir moi un mail de l'URSAF qui se faisait, passé pour l'URSAF, dans le mail, tout était bien, tout était correct, il y avait même mes informations, il y avait même certaines de mes informations, mon nom, mon prénom, mon adresse postale, et ce qui m'a alertée, c'est que en regardant bien, en penchant vraiment dans tout ça, il y a une seule petite chose qui m'a alertée, et tu verras qu'elle est complètement en... Au final, avec le recul, on se dit bah oui, forcément, ça paraissait logique C'est qu'on m'a contactée sur une adresse mail qui, en fait, n'est absolument pas l'adresse mail que j'ai renseignée. On m'a contactée sur une adresse mail perso, que j'utilise, certes, dans le cadre de certains échanges, mais alors des échanges plutôt pro-perso, mais jamais avec les administrations. Et on m'a contactée sur cette adresse mail-là. Tu vas te dire mais comment ils ont fait Ce n'est pas très compliqué, il suffit de recouper toutes les infos. Quand tu es une entreprise, toutes tes infos sont dispos sur les sites comme société.com. On peut retrouver très facilement. Après, il suffit de relier ça à ta base de données et voilà, le tour est joué. En regardant du coup un petit peu de plus près, j'ai regardé le lien, j'ai analysé le lien sans cliquer sur le bouton. Et là, du coup, on va directement passer à comment on peut se prémunir de tout ça parce que c'est directement lié. Donc, la solution la plus simple, c'est quand tu ouvres ton mail, déjà le mieux, c'est s'il est dans tes spams, méfie-toi déjà beaucoup. Mais en plus de ça, si en ouvrant ton mail, tu vois que ça ressemble très portrait, etc., pense déjà à vérifier si cette adresse mail-là avec laquelle... sur laquelle plutôt on t'envoie le mail, est connu des administrations ou en tout cas de la personne qui est censée t'envoyer ce mail, si déjà tu n'as pas donné cette adresse mail-là, autre point de vigilance. Ça peut arriver, on ne peut qu'un de te retrouver, mais ça reste quand même un point de vigilance. Le spam, ça fait beaucoup déjà. Troisième petit élément, on ne clique jamais, jamais, jamais, au grand jamais sur le lien. C'est-à-dire qu'on fait éventuellement un clic droit, on analyse le lien, on regarde un petit peu dans l'inspecteur de lien, mais... on ne clique pas sur le bouton ni sur le lien. C'est interdit. Légalement, ça ne l'est pas, mais moi, je te l'interdis. Ne le fais pas. Ici, ce qu'on va faire, c'est qu'on va analyser le lien. Et par exemple, dans mon cas, c'était l'URSSAF qui m'avait contactée. Eh bien, la chose à faire, ce n'était pas de cliquer sur le lien pour me rendre sur le fameux site sur lequel j'avais soi-disant un message hyper urgent et hyper important. C'est d'aller directement sur le site de l'URSSAF sans passer par le lien. ou en tout cas le site en question. Tu vas sur le site en question, tu regardes sur le site en question, tu cherches un petit peu partout. Si tu ne trouves rien, c'est que c'était un spam avec un phishing dedans. Ça arrive aussi très fréquemment avec les plateformes d'hébergement parce qu'on est obligé de mettre dans nos mentions légales qui est notre hébergeur. Et donc dans ces cas-là, pour les pirates, autant te dire que c'est une aubaine. Ils ont toutes les infos servies sur un plateau. Il suffit juste d'aller sur le site de l'hébergeur, de reprendre son logo, ses codes couleurs. Et puis on a... à peu près la panoplie complète pour pouvoir faire un beau mail de phishing pour pouvoir te pirater. La dernière tendance en ce moment, c'est de le faire avec des appels téléphoniques, de se faire passer pour ton conseiller bancaire, etc. Là, il y a un niveau au-dessus parce que les pirates arrivent à le faire avec les vrais numéros de téléphone. C'est-à-dire que quand tu vas regarder ton téléphone, ce qui va s'afficher, ça va être le numéro de ton agence bancaire, le numéro, enfin en tout cas le numéro de la personne de confiance avec laquelle tu as l'habitude de discuter. Et dans ces cas-là, c'est pareil, c'est très difficile à voir comme ça au premier coup d'œil, ou en tout cas, pour le coup, à entendre. La chose à faire, c'est dans ces cas-là, de donner aucune information personnelle. Ça, pour le coup, ça paraît logique, mais je pense que quand tu es pris dans le truc, quand tu es vraiment en appel avec la personne, tu n'as pas forcément le même réflexe et le même recul de te dire Oui, en fait, je ne vais pas donner mes infos au téléphone, ça paraît logique. Je pense que quand tu es dans le truc, il y a toujours ce petit instant de doute. Dans ces cas-là, sinon tu raccroches, tu rappelles l'agence bancaire ou alors tu te connectes par toi-même à ton espace en ligne, mais tu ne donnes aucune info. Si tu dois retenir quelque chose, c'est que le phishing, ça ne cible pas directement ton site ou ton adresse mail, ça te cible toi, ça cible l'humain qui est derrière en cherchant la faille chez l'humain. Il faut savoir qu'on dit souvent en développement que La plus grosse faille en matière de site Internet, c'est l'humain qui est derrière. Et c'est le cas pour absolument tous les sites. Ce n'est même pas une question de se dire parce que je ne suis pas une pro du site Internet ou parce que je n'y connais rien, machin. Non, non, c'est n'importe quel humain, moi y compris, n'importe quel développeur y compris, peut se faire avoir parce qu'on est tout simplement humain. C'est fini pour cet épisode. On se retrouve dès demain avec un nouvel épisode sur une nouvelle faille. En attendant, je te souhaite une très belle soirée. une très belle nuit et je te dis à demain

Description

Deuxième Happy Hour de cette capsule spéciale dédiée au piratage ! Aujourd’hui, on parle de phishing, cette méthode (très efficace) qui ne s’attaque pas à ton site… mais à toi.

Un épisode essentiel pour gagner en vigilance sans tomber dans la paranoïa 💡

________________________________________

Retrouve moi sur Instagram, pour encore + de tips :

https://www.instagram.com/whitestagweb/

Et sinon, tu peux aussi télécharger mon workbook GRATUIT des 8 étapes avant de créer ton site web :

https://landing.mailerlite.com/webforms/landing/r6y3g6

Ou encore, mon template de cahier des charges :

https://landing.mailerlite.com/webforms/landing/l0v3l5

On se retrouve dans 15 jours pour un nouvel épisode !

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
T'as déjà fait entrer quelqu'un chez toi sans savoir qui c'était Et bien pourtant, c'est une erreur très courante en ligne. Hello, moi c'est Émilie, développeuse web chez Waitstag, agence web. Après 5 années de e-commerce et 5 années dans le commerce, je suis devenue développeuse web avec pour mission de faciliter l'accès au web, tout en créant un outil puissant au service de ton business. Si tu cherches des conseils et des astuces sur mon thé web et l'entrepreneuriat, tu es au bon endroit. C'est pour l'épisode du jour, c'est parti Hello, on se retrouve pour le deuxième épisode de cette capsule spéciale piratage. Aujourd'hui, on va voir un type d'attaque. Tu en as déjà entendu plein de fois parler, j'en suis quasiment sûre. On va juste remettre point par point ce que c'est cette attaque pour que tu puisses comprendre comment ça fonctionne et comment tu peux éventuellement l'éviter. Et puis, dans les prochains épisodes, on passera à d'autres types d'attaques. Comme ça, à la fin, tu auras une capsule assez complète de ce qui peut arriver à ton site en matière de piratage. Cette technique de piratage, elle est un peu différente des techniques de piratage habituelles parce qu'on ne s'attaque pas directement à ton site. Le but, c'est de récupérer les accès à ton site, voire ton site directement. Mais ce n'est pas de cette façon-là qu'on va procéder. On va procéder en passant par le propriétaire du site, à savoir toi. En gros, si on veut schématiser un petit peu tout ça, On reprend notre exemple de la maison. On sonne chez toi. Quelqu'un sonne chez toi et est habillé en technicien en disant qu'il doit vérifier ton compteur d'eau, ton compteur de gaz. Enfin bref, peu importe, qu'il doit vérifier quelque chose à l'intérieur de chez toi. Et toi, est-ce que tu le laisses entrer comme ça sans aucune vérification Normalement, non. Même s'il a les habits de la compagnie d'électricité ou de gaz que tu utilises. Tu vérifies quand même un minimum s'il a un badge, etc. Tu lui poses quand même deux, trois questions. Si tu as été prévenu, si tu n'as pas été prévenu. Tu ne te fies pas juste à son apparence. Eh bien, le principe de cette attaque-là qu'on appelle le phishing, c'est justement de se déguiser en quelqu'un qu'on n'est pas, de faire croire qu'on est quelqu'un qu'on n'est pas, pour pouvoir accéder à des informations. Les trois quarts du temps, le phishing, c'est par mail. Ça peut arriver aussi par téléphone. Ça commence à émerger un petit peu. Mais c'est surtout par mail qu'on connaît ces techniques de phishing, c'est-à-dire qu'on t'envoie un mail qui ressemble généralement à une administration. C'est le plus courant parce que l'administration, ça fait peur. Si tu reçois un mail des impôts, la première chose que tu vas faire, c'est dans ce mail, on va te dire rendez-vous sur votre compte impôts.gouv. La première chose que tu vas faire, c'est de cliquer sur les liens et d'aller sur ton espace impôts pour vérifier ce qui est dit. C'est justement sur ça que le pirate joue à ce moment-là, c'est de se dire... on va faire peur, on va agir dans l'urgence, on va montrer une certaine notion d'urgence, on va parler de quelque chose d'inquiétant, d'un problème, d'une somme d'argent, d'un document qui manque, etc. Dans le seul et unique but de rediriger vers une autre plateforme qui elle-même ressemblera à une plateforme connue. Si tu reçois un mail d'un pirate qui se fait passer pour les impôts, le site sur lequel il va te renvoyer va ressembler trait pour trait au site des impôts. Tu ne verras absolument aucune différence. Avec le site des impôts, la seule différence que tu pourras voir, ça va se trouver dans la barre de navigation. L'URL ne sera pas la même que celle des impôts. C'est la seule chose qui va différencier du site des impôts classique. Alors, je te prends l'exemple des impôts, mais ça arrive avec plein d'autres choses. Ça arrive avec les opérateurs téléphoniques, ça arrive avec l'EDF, ça arrive... On peut lister là tout un tas de choses. Ça peut même arriver avec la CPAM. CAF, les URSAF, ça m'est déjà arrivé de recevoir moi un mail de l'URSAF qui se faisait, passé pour l'URSAF, dans le mail, tout était bien, tout était correct, il y avait même mes informations, il y avait même certaines de mes informations, mon nom, mon prénom, mon adresse postale, et ce qui m'a alertée, c'est que en regardant bien, en penchant vraiment dans tout ça, il y a une seule petite chose qui m'a alertée, et tu verras qu'elle est complètement en... Au final, avec le recul, on se dit bah oui, forcément, ça paraissait logique C'est qu'on m'a contactée sur une adresse mail qui, en fait, n'est absolument pas l'adresse mail que j'ai renseignée. On m'a contactée sur une adresse mail perso, que j'utilise, certes, dans le cadre de certains échanges, mais alors des échanges plutôt pro-perso, mais jamais avec les administrations. Et on m'a contactée sur cette adresse mail-là. Tu vas te dire mais comment ils ont fait Ce n'est pas très compliqué, il suffit de recouper toutes les infos. Quand tu es une entreprise, toutes tes infos sont dispos sur les sites comme société.com. On peut retrouver très facilement. Après, il suffit de relier ça à ta base de données et voilà, le tour est joué. En regardant du coup un petit peu de plus près, j'ai regardé le lien, j'ai analysé le lien sans cliquer sur le bouton. Et là, du coup, on va directement passer à comment on peut se prémunir de tout ça parce que c'est directement lié. Donc, la solution la plus simple, c'est quand tu ouvres ton mail, déjà le mieux, c'est s'il est dans tes spams, méfie-toi déjà beaucoup. Mais en plus de ça, si en ouvrant ton mail, tu vois que ça ressemble très portrait, etc., pense déjà à vérifier si cette adresse mail-là avec laquelle... sur laquelle plutôt on t'envoie le mail, est connu des administrations ou en tout cas de la personne qui est censée t'envoyer ce mail, si déjà tu n'as pas donné cette adresse mail-là, autre point de vigilance. Ça peut arriver, on ne peut qu'un de te retrouver, mais ça reste quand même un point de vigilance. Le spam, ça fait beaucoup déjà. Troisième petit élément, on ne clique jamais, jamais, jamais, au grand jamais sur le lien. C'est-à-dire qu'on fait éventuellement un clic droit, on analyse le lien, on regarde un petit peu dans l'inspecteur de lien, mais... on ne clique pas sur le bouton ni sur le lien. C'est interdit. Légalement, ça ne l'est pas, mais moi, je te l'interdis. Ne le fais pas. Ici, ce qu'on va faire, c'est qu'on va analyser le lien. Et par exemple, dans mon cas, c'était l'URSSAF qui m'avait contactée. Eh bien, la chose à faire, ce n'était pas de cliquer sur le lien pour me rendre sur le fameux site sur lequel j'avais soi-disant un message hyper urgent et hyper important. C'est d'aller directement sur le site de l'URSSAF sans passer par le lien. ou en tout cas le site en question. Tu vas sur le site en question, tu regardes sur le site en question, tu cherches un petit peu partout. Si tu ne trouves rien, c'est que c'était un spam avec un phishing dedans. Ça arrive aussi très fréquemment avec les plateformes d'hébergement parce qu'on est obligé de mettre dans nos mentions légales qui est notre hébergeur. Et donc dans ces cas-là, pour les pirates, autant te dire que c'est une aubaine. Ils ont toutes les infos servies sur un plateau. Il suffit juste d'aller sur le site de l'hébergeur, de reprendre son logo, ses codes couleurs. Et puis on a... à peu près la panoplie complète pour pouvoir faire un beau mail de phishing pour pouvoir te pirater. La dernière tendance en ce moment, c'est de le faire avec des appels téléphoniques, de se faire passer pour ton conseiller bancaire, etc. Là, il y a un niveau au-dessus parce que les pirates arrivent à le faire avec les vrais numéros de téléphone. C'est-à-dire que quand tu vas regarder ton téléphone, ce qui va s'afficher, ça va être le numéro de ton agence bancaire, le numéro, enfin en tout cas le numéro de la personne de confiance avec laquelle tu as l'habitude de discuter. Et dans ces cas-là, c'est pareil, c'est très difficile à voir comme ça au premier coup d'œil, ou en tout cas, pour le coup, à entendre. La chose à faire, c'est dans ces cas-là, de donner aucune information personnelle. Ça, pour le coup, ça paraît logique, mais je pense que quand tu es pris dans le truc, quand tu es vraiment en appel avec la personne, tu n'as pas forcément le même réflexe et le même recul de te dire Oui, en fait, je ne vais pas donner mes infos au téléphone, ça paraît logique. Je pense que quand tu es dans le truc, il y a toujours ce petit instant de doute. Dans ces cas-là, sinon tu raccroches, tu rappelles l'agence bancaire ou alors tu te connectes par toi-même à ton espace en ligne, mais tu ne donnes aucune info. Si tu dois retenir quelque chose, c'est que le phishing, ça ne cible pas directement ton site ou ton adresse mail, ça te cible toi, ça cible l'humain qui est derrière en cherchant la faille chez l'humain. Il faut savoir qu'on dit souvent en développement que La plus grosse faille en matière de site Internet, c'est l'humain qui est derrière. Et c'est le cas pour absolument tous les sites. Ce n'est même pas une question de se dire parce que je ne suis pas une pro du site Internet ou parce que je n'y connais rien, machin. Non, non, c'est n'importe quel humain, moi y compris, n'importe quel développeur y compris, peut se faire avoir parce qu'on est tout simplement humain. C'est fini pour cet épisode. On se retrouve dès demain avec un nouvel épisode sur une nouvelle faille. En attendant, je te souhaite une très belle soirée. une très belle nuit et je te dis à demain

Embed