Speaker #0T'as dĂ©jĂ fait entrer quelqu'un chez toi sans savoir qui c'Ă©tait Et bien pourtant, c'est une erreur trĂšs courante en ligne. Hello, moi c'est Ămilie, dĂ©veloppeuse web chez Waitstag, agence web. AprĂšs 5 annĂ©es de e-commerce et 5 annĂ©es dans le commerce, je suis devenue dĂ©veloppeuse web avec pour mission de faciliter l'accĂšs au web, tout en crĂ©ant un outil puissant au service de ton business. Si tu cherches des conseils et des astuces sur mon thĂ© web et l'entrepreneuriat, tu es au bon endroit. C'est pour l'Ă©pisode du jour, c'est parti Hello, on se retrouve pour le deuxiĂšme Ă©pisode de cette capsule spĂ©ciale piratage. Aujourd'hui, on va voir un type d'attaque. Tu en as dĂ©jĂ entendu plein de fois parler, j'en suis quasiment sĂ»re. On va juste remettre point par point ce que c'est cette attaque pour que tu puisses comprendre comment ça fonctionne et comment tu peux Ă©ventuellement l'Ă©viter. Et puis, dans les prochains Ă©pisodes, on passera Ă d'autres types d'attaques. Comme ça, Ă la fin, tu auras une capsule assez complĂšte de ce qui peut arriver Ă ton site en matiĂšre de piratage. Cette technique de piratage, elle est un peu diffĂ©rente des techniques de piratage habituelles parce qu'on ne s'attaque pas directement Ă ton site. Le but, c'est de rĂ©cupĂ©rer les accĂšs Ă ton site, voire ton site directement. Mais ce n'est pas de cette façon-lĂ qu'on va procĂ©der. On va procĂ©der en passant par le propriĂ©taire du site, Ă savoir toi. En gros, si on veut schĂ©matiser un petit peu tout ça, On reprend notre exemple de la maison. On sonne chez toi. Quelqu'un sonne chez toi et est habillĂ© en technicien en disant qu'il doit vĂ©rifier ton compteur d'eau, ton compteur de gaz. Enfin bref, peu importe, qu'il doit vĂ©rifier quelque chose Ă l'intĂ©rieur de chez toi. Et toi, est-ce que tu le laisses entrer comme ça sans aucune vĂ©rification Normalement, non. MĂȘme s'il a les habits de la compagnie d'Ă©lectricitĂ© ou de gaz que tu utilises. Tu vĂ©rifies quand mĂȘme un minimum s'il a un badge, etc. Tu lui poses quand mĂȘme deux, trois questions. Si tu as Ă©tĂ© prĂ©venu, si tu n'as pas Ă©tĂ© prĂ©venu. Tu ne te fies pas juste Ă son apparence. Eh bien, le principe de cette attaque-lĂ qu'on appelle le phishing, c'est justement de se dĂ©guiser en quelqu'un qu'on n'est pas, de faire croire qu'on est quelqu'un qu'on n'est pas, pour pouvoir accĂ©der Ă des informations. Les trois quarts du temps, le phishing, c'est par mail. Ăa peut arriver aussi par tĂ©lĂ©phone. Ăa commence Ă Ă©merger un petit peu. Mais c'est surtout par mail qu'on connaĂźt ces techniques de phishing, c'est-Ă -dire qu'on t'envoie un mail qui ressemble gĂ©nĂ©ralement Ă une administration. C'est le plus courant parce que l'administration, ça fait peur. Si tu reçois un mail des impĂŽts, la premiĂšre chose que tu vas faire, c'est dans ce mail, on va te dire rendez-vous sur votre compte impĂŽts.gouv. La premiĂšre chose que tu vas faire, c'est de cliquer sur les liens et d'aller sur ton espace impĂŽts pour vĂ©rifier ce qui est dit. C'est justement sur ça que le pirate joue Ă ce moment-lĂ , c'est de se dire... on va faire peur, on va agir dans l'urgence, on va montrer une certaine notion d'urgence, on va parler de quelque chose d'inquiĂ©tant, d'un problĂšme, d'une somme d'argent, d'un document qui manque, etc. Dans le seul et unique but de rediriger vers une autre plateforme qui elle-mĂȘme ressemblera Ă une plateforme connue. Si tu reçois un mail d'un pirate qui se fait passer pour les impĂŽts, le site sur lequel il va te renvoyer va ressembler trait pour trait au site des impĂŽts. Tu ne verras absolument aucune diffĂ©rence. Avec le site des impĂŽts, la seule diffĂ©rence que tu pourras voir, ça va se trouver dans la barre de navigation. L'URL ne sera pas la mĂȘme que celle des impĂŽts. C'est la seule chose qui va diffĂ©rencier du site des impĂŽts classique. Alors, je te prends l'exemple des impĂŽts, mais ça arrive avec plein d'autres choses. Ăa arrive avec les opĂ©rateurs tĂ©lĂ©phoniques, ça arrive avec l'EDF, ça arrive... On peut lister lĂ tout un tas de choses. Ăa peut mĂȘme arriver avec la CPAM. CAF, les URSAF, ça m'est dĂ©jĂ arrivĂ© de recevoir moi un mail de l'URSAF qui se faisait, passĂ© pour l'URSAF, dans le mail, tout Ă©tait bien, tout Ă©tait correct, il y avait mĂȘme mes informations, il y avait mĂȘme certaines de mes informations, mon nom, mon prĂ©nom, mon adresse postale, et ce qui m'a alertĂ©e, c'est que en regardant bien, en penchant vraiment dans tout ça, il y a une seule petite chose qui m'a alertĂ©e, et tu verras qu'elle est complĂštement en... Au final, avec le recul, on se dit bah oui, forcĂ©ment, ça paraissait logique C'est qu'on m'a contactĂ©e sur une adresse mail qui, en fait, n'est absolument pas l'adresse mail que j'ai renseignĂ©e. On m'a contactĂ©e sur une adresse mail perso, que j'utilise, certes, dans le cadre de certains Ă©changes, mais alors des Ă©changes plutĂŽt pro-perso, mais jamais avec les administrations. Et on m'a contactĂ©e sur cette adresse mail-lĂ . Tu vas te dire mais comment ils ont fait Ce n'est pas trĂšs compliquĂ©, il suffit de recouper toutes les infos. Quand tu es une entreprise, toutes tes infos sont dispos sur les sites comme sociĂ©tĂ©.com. On peut retrouver trĂšs facilement. AprĂšs, il suffit de relier ça Ă ta base de donnĂ©es et voilĂ , le tour est jouĂ©. En regardant du coup un petit peu de plus prĂšs, j'ai regardĂ© le lien, j'ai analysĂ© le lien sans cliquer sur le bouton. Et lĂ , du coup, on va directement passer Ă comment on peut se prĂ©munir de tout ça parce que c'est directement liĂ©. Donc, la solution la plus simple, c'est quand tu ouvres ton mail, dĂ©jĂ le mieux, c'est s'il est dans tes spams, mĂ©fie-toi dĂ©jĂ beaucoup. Mais en plus de ça, si en ouvrant ton mail, tu vois que ça ressemble trĂšs portrait, etc., pense dĂ©jĂ Ă vĂ©rifier si cette adresse mail-lĂ avec laquelle... sur laquelle plutĂŽt on t'envoie le mail, est connu des administrations ou en tout cas de la personne qui est censĂ©e t'envoyer ce mail, si dĂ©jĂ tu n'as pas donnĂ© cette adresse mail-lĂ , autre point de vigilance. Ăa peut arriver, on ne peut qu'un de te retrouver, mais ça reste quand mĂȘme un point de vigilance. Le spam, ça fait beaucoup dĂ©jĂ . TroisiĂšme petit Ă©lĂ©ment, on ne clique jamais, jamais, jamais, au grand jamais sur le lien. C'est-Ă -dire qu'on fait Ă©ventuellement un clic droit, on analyse le lien, on regarde un petit peu dans l'inspecteur de lien, mais... on ne clique pas sur le bouton ni sur le lien. C'est interdit. LĂ©galement, ça ne l'est pas, mais moi, je te l'interdis. Ne le fais pas. Ici, ce qu'on va faire, c'est qu'on va analyser le lien. Et par exemple, dans mon cas, c'Ă©tait l'URSSAF qui m'avait contactĂ©e. Eh bien, la chose Ă faire, ce n'Ă©tait pas de cliquer sur le lien pour me rendre sur le fameux site sur lequel j'avais soi-disant un message hyper urgent et hyper important. C'est d'aller directement sur le site de l'URSSAF sans passer par le lien. ou en tout cas le site en question. Tu vas sur le site en question, tu regardes sur le site en question, tu cherches un petit peu partout. Si tu ne trouves rien, c'est que c'Ă©tait un spam avec un phishing dedans. Ăa arrive aussi trĂšs frĂ©quemment avec les plateformes d'hĂ©bergement parce qu'on est obligĂ© de mettre dans nos mentions lĂ©gales qui est notre hĂ©bergeur. Et donc dans ces cas-lĂ , pour les pirates, autant te dire que c'est une aubaine. Ils ont toutes les infos servies sur un plateau. Il suffit juste d'aller sur le site de l'hĂ©bergeur, de reprendre son logo, ses codes couleurs. Et puis on a... Ă peu prĂšs la panoplie complĂšte pour pouvoir faire un beau mail de phishing pour pouvoir te pirater. La derniĂšre tendance en ce moment, c'est de le faire avec des appels tĂ©lĂ©phoniques, de se faire passer pour ton conseiller bancaire, etc. LĂ , il y a un niveau au-dessus parce que les pirates arrivent Ă le faire avec les vrais numĂ©ros de tĂ©lĂ©phone. C'est-Ă -dire que quand tu vas regarder ton tĂ©lĂ©phone, ce qui va s'afficher, ça va ĂȘtre le numĂ©ro de ton agence bancaire, le numĂ©ro, enfin en tout cas le numĂ©ro de la personne de confiance avec laquelle tu as l'habitude de discuter. Et dans ces cas-lĂ , c'est pareil, c'est trĂšs difficile Ă voir comme ça au premier coup d'Ćil, ou en tout cas, pour le coup, Ă entendre. La chose Ă faire, c'est dans ces cas-lĂ , de donner aucune information personnelle. Ăa, pour le coup, ça paraĂźt logique, mais je pense que quand tu es pris dans le truc, quand tu es vraiment en appel avec la personne, tu n'as pas forcĂ©ment le mĂȘme rĂ©flexe et le mĂȘme recul de te dire Oui, en fait, je ne vais pas donner mes infos au tĂ©lĂ©phone, ça paraĂźt logique. Je pense que quand tu es dans le truc, il y a toujours ce petit instant de doute. Dans ces cas-lĂ , sinon tu raccroches, tu rappelles l'agence bancaire ou alors tu te connectes par toi-mĂȘme Ă ton espace en ligne, mais tu ne donnes aucune info. Si tu dois retenir quelque chose, c'est que le phishing, ça ne cible pas directement ton site ou ton adresse mail, ça te cible toi, ça cible l'humain qui est derriĂšre en cherchant la faille chez l'humain. Il faut savoir qu'on dit souvent en dĂ©veloppement que La plus grosse faille en matiĂšre de site Internet, c'est l'humain qui est derriĂšre. Et c'est le cas pour absolument tous les sites. Ce n'est mĂȘme pas une question de se dire parce que je ne suis pas une pro du site Internet ou parce que je n'y connais rien, machin. Non, non, c'est n'importe quel humain, moi y compris, n'importe quel dĂ©veloppeur y compris, peut se faire avoir parce qu'on est tout simplement humain. C'est fini pour cet Ă©pisode. On se retrouve dĂšs demain avec un nouvel Ă©pisode sur une nouvelle faille. En attendant, je te souhaite une trĂšs belle soirĂ©e. une trĂšs belle nuit et je te dis Ă demain
