Hameçonnage

L’hameçonnage est un type d’arnaque utilisé par les cybercriminels pour

duper les personnes en les incitant à fournir des informations personnelles
et financières ou à télécharger des logiciels malveillants. Ils trompent leurs
victimes en se faisant passer pour un établissement de confiance et en
envoyant des messages frauduleux conçus pour déclencher une action
immédiate. Si vous avez un compte email ou un smartphone, vous avez
probablement été la cible d’une tentative d’hameçonnage. Ne vous laissez
pas duper. Apprenez à reconnaître les signes révélateurs.

Techniques d’hameçonnage
Hameçonnage par courrier électronique
–
Un message électronique semblant provenir d’un établissement connu, tel qu’une
banque ou une entreprise technologique, est envoyé à des milliers d’internautes
choisis au hasard.

Dans ce message, la victime est exhortée à :

 Cliquer sur un lien, qui la redirige vers un site Web d’hameçonnage
frauduleux
 Ouvrir une pièce jointe, laquelle infecte son appareil avec un logiciel
malveillant

Un site Web d’hameçonnage est un site factice conçu pour ressembler au site Web
légitime d’une entreprise. Il est utilisé pour collecter des informations personnelles
et financières qui peuvent être utilisées pour commettre des usurpations d’identité
ou détourner des fonds.

Hameçonnage par SMS

–
Au lieu d’envoyer des messages électroniques, les cybercriminels envoient des
SMS frauduleux. Leur but est de tromper les victimes en les incitant à divulguer
des informations personnelles ou financières, ou des données de compte, ou à
installer des logiciels malveillants sur leurs appareils.
Le SMS peut :
 Contenir un lien ou un numéro de téléphone
 Affirmer que vous serez facturé chaque jour pour un service donné
 Affirmer qu’un compte de carte de crédit ou un compte en ligne a été bloqué

Cette technique d’hameçonnage est également appelée hameçonnage par texto.

Hameçonnage par téléphone

–
Les cybercriminels se présentent au téléphone sous une fausse identité dans le but
d’obtenir des informations personnelles ou financières, ou des données de compte.

Les arnaques courantes consistent à se faire passer au téléphone pour :

 Un technicien informatique qui vous avertit d’une infection par un virus
 Un agent du fisc affirmant qu’un paiement est en retard
 Un agent de voyage qui vous annonce que vous avez gagné un voyage

Certains fraudeurs vont jusqu’à utiliser des outils pour falsifier le numéro de
l’appelant affiché afin de donner l’apparence que l’appel provient d’une entreprise
réputée ou locale.

Cette technique d’hameçonnage est également appelée hameçonnage vocal.

Harponnage ciblé
–
Les cybercriminels ciblent des personnes ou des employés spécifiques dans une
entreprise (spear phishing en anglais). Ces tentatives d’hameçonnage sont des
stratagèmes sophistiqués, personnalisés et soigneusement préparés, et sont donc
extrêmement convaincantes et plus difficiles à détecter.

Elles font appel à des techniques consistant notamment à :

 Utiliser des informations sur les personnes ciblées afin de rédiger des
messages convaincants
 Utiliser des logiciels malveillants et d’autres techniques visant à
compromettre les comptes email
 Contrefaire (ou usurper) des adresses email dans le but de tromper le
destinataire
Dans une autre variante appelée « chasse à la baleine » (whaling en anglais), les
cybercriminels se font passer pour des cadres supérieurs en envoyant des messages
électroniques où ils trompent les employés en les incitant à transférer d’importantes
sommes d’argent vers un compte frauduleux.

Caractéristiques d’un message

d’hameçonnage
4 caractéristiques

Champ De
–
Assurez-vous de connaître l’expéditeur et qu’il s’agit d’une personne de confiance.

Compte tenu du risque de contrefaçon de l’adresse email, passez la souris sur le

nom de l’expéditeur pour faire apparaître l’adresse email complète et recherchez les
erreurs, comme par exemple, microsof.com au lieu de microsoft.com.

Champ Objet
–
La ligne d’objet est souvent rédigée de manière à communiquer un sentiment
d’urgence, de déclencher une action immédiate de votre part.

Pièce jointe
–
Le message peut contenir une pièce jointe qui peut être utilisée pour installer un
logiciel malveillant sur votre ordinateur.

Contenu du message
–
Fréquemment, les messages d’hameçonnage :
 utilisent des salutations génériques (p. ex. Cher client) au lieu de votre nom ;
 contiennent des fautes de grammaire et d’orthographe ;
 appellent à une action immédiate ;
 contiennent un hyperlien ou un bouton sur lequel on vous demande de
cliquer ;
 vous demandent de fournir des informations personnelles ou financières ;
vous demandent de mettre à jour vos données de compte ou votre mot de passe.

Signature de l’email
–
La signature sera souvent générique et ne fournit aucune information sur la façon
de contacter l’expéditeur.

Bonnes pratiques
1:

Soyez toujours sceptique à l’égard des messages textes ou électroniques qui vous

exhortent à agir ou à fournir des informations.

Vous pouvez vérifier l’authenticité d’une demande en contactant directement

l'entreprise à l’aide des coordonnées et du numéro de téléphone officiels.

2:

Pour éviter d’être dirigé vers un site Web frauduleux utilisé pour de

l’hameçonnage, ne cliquez jamais sur des liens ou des boutons dans un message

électronique suspect ou inattendu. Vous devez aussi signaler immédiatement tout

message suspect.

Il est toujours préférable d’accéder à un site au moyen des signets (ou favoris) que

vous avez créés précédemment ou en saisissant l’adresse du site Web dans votre

navigateur.

3:
Afin d’éviter les infections par des logiciels malveillants, n’ouvrez ou ne

téléchargez jamais une pièce jointe à un message provenant de sources inconnues

ou que vous n’attendiez pas.

Ne cliquez jamais sur des liens figurant dans des SMS inattendus ou suspects.

Signalez-les en suivant la politique de l’entreprise, comme vous signaleriez tout

autre message e-mail.

4:

Activez la fonction anti-hameçonnage de votre navigateur ou logiciel de sécurité.

Certains navigateurs Internet peuvent être personnalisés avec des barres d’outils

anti-hameçonnage. Ces barres d’outils effectuent des vérifications rapides des sites

que vous visitez et les comparent aux listes de sites Web d’hameçonnage connus.

5:

Si vous suspectez qu’un site Web n’est pas ce qu’il prétend être, quittez-le

immédiatement.

Ne suivez pas les instructions et ne fournissez aucune information personnelle ou

financière.

Les cybercriminels ont recours aux arnaques par hameçonnage pour obtenir des
informations personnelles ou financières ou pour infecter des appareils avec des
logiciels malveillants.
Ils commettent des attaques au moyen de messages et de sites Web frauduleux
créés de façon à donner l’apparence qu’ils proviennent d’une entreprise connue.
Méfiez-vous toujours des courriers électroniques, SMS et appels téléphoniques non
sollicités et inattendus.
Votre vigilance est votre première ligne de défense. Restez sur vos gardes !

LOGICIEL MALVEILLANT

Qu’est-ce qu’un logiciel malveillant ? L’expression « logiciel malveillant » (ou

malware) couvre un vaste éventail de programmes conçus pour infiltrer et
endommager les logiciels et réseaux que nous utilisons tous les jours. Les
logiciels malveillants peuvent détruire nos informations, encombrer nos
systèmes ou même les faire tomber en panne ! Les virus informatiques en
sont un exemple bien connu. Mais, les cybercriminels utilisent de plus en
plus les logiciels malveillants pour voler des informations et extorquer de
l’argent. Mais le pire est qu’ils sont conçus pour se propager avec peu ou
pas d’intervention de votre part. Il faut donc rester vigilant !

Définitions
Virus
–
Un programme qui s’attache à un document ou à un autre programme légitime. Le
programme a généralement la capacité de se reproduire à maintes reprises dans le
but d’infecter et de corrompre d’autres fichiers à l’insu d’un utilisateur.

Ver informatique
–
Un programme autoreproducteur qui utilise principalement les réseaux pour se
propager. Plutôt que d’infecter des fichiers, son but principal est d’utiliser les
ressources comme la mémoire d’un ordinateur et la bande passante du réseau.

Logiciel espion
–
Un programme malveillant installé dans un ordinateur, généralement à l’insu de
l’utilisateur. Une fois activé, ce programme rassemble et transmet de l’information
ou les activités de l’utilisateur comme ses mots de passe, numéros de carte de crédit
ou habitudes de navigation sur le Web, et ce, à l’insu de celui-ci.

Réseaux de zombies
–
Un ensemble d’ordinateurs compromis connectés de manière coordonnée à des fins
malveillantes. Les machines compromises sont souvent transformées en « robots »
dans le but d’envoyer des spams, de propager des logiciels malveillants ou de
lancer des cyberattaques.

Rançongiciel
–
Un type de logiciel malveillant qui utilise le chiffrement pour empêcher les
victimes d’utiliser leur ordinateur ou d’accéder à leurs fichiers jusqu’à ce qu’une
somme d’argent prédéterminée soit payée. On fait souvent référence à ce type de
logiciel malveillant sous le terme « cryptolocker ». Lorsque ce dernier a infecté
l’ordinateur, un message informe la victime que le montant doit être payé pour que
les fichiers soient déchiffrés ou encore, pour enlever la restriction d’utilisation de
l’ordinateur.

Bonnes pratiques
1:

Le logiciel antivirus et les autres mécanismes de protection installés sur votre

ordinateur ne doivent jamais être désactivés ou modifiés.

Prenez l’habitude d’analyser les pièces jointes à des courriers électroniques, les

fichiers que vous téléchargez de l’Internet, les clés USB, les cartes mémoire et

autres dispositifs de stockage portatifs avant de les utiliser.

2:

Ne vous fiez qu’aux sites légitimes pour les achats et téléchargements

d’applications.

N’ouvrez jamais un programme provenant d’une source inconnue ou douteuse, et

ne l’exécutez jamais.

3:

Soyez toujours prudent si vous recevez un courrier électronique suspect ou non

sollicité. Ne cliquez pas sur un lien ou un bouton contenu dans le message. Ne

téléchargez pas ou n’ouvrez pas les pièces jointes à des courriers électroniques.

Faites preuve de vigilance, même si le courrier électronique provient d’un collègue,

d’un ami ou d’un membre de votre famille.

4:

Évitez de naviguer sur des sites Web qui fournissent du matériel piraté.

Non seulement ces sites Web sont utilisés bien souvent pour distribuer des logiciels

malveillants, mais en téléchargeant des films, de la musique ou des logiciels

piratés, vous pourriez vous exposer, ainsi que notre entreprise, à des sanctions

légales.

5:
Lorsque vous naviguez sur Internet, prenez l’habitude de lire attentivement
le contenu d’une fenêtre contextuelle avant de choisir une option ou
d’accepter une offre.

6:
Contactez votre équipe de support informatique si vous croyez que votre ordinateur

pourrait avoir été infecté par un logiciel malveillant.

Voici des signes d’une telle situation : extrême lenteur de votre ordinateur, activité

excessive du disque dur, pannes informatiques fréquentes, fenêtres contextuelles

indésirables ou changement apporté à votre page d’accueil de navigation.

Resumé

Les cybercriminels distribuent souvent des logiciels malveillants en utilisant des

liens et des pièces jointes à des courriers électroniques ou en les cachant dans des
programmes disponibles gratuitement sur Internet.
Les conséquences d’une infection peuvent aller de l’apparition agaçante de fenêtres
contextuelles à la perte importante ou le vol d’informations.
En plus d’endommager votre ordinateur, les logiciels malveillants peuvent aussi
être propagés sur le réseau de notre entreprise, causant des dommages
considérables et une perte importante de productivité.
L’utilisation d’un logiciel antivirus mis à jour régulièrement associée à la vigilance
et à un comportement prudent s’avèrent nécessaires pour gérer ce type de menace.
Bring Your Own Device
Avez-vous déjà entendu l’expression « Bring Your Own Device » (BYOD) ou
« Prenez vos appareils personnels » (PAP) ? Elle fait référence aux
entreprises qui permettent à leur personnel d’utiliser leurs propres
ordinateurs portables et autres appareils à des fins professionnelles.
Toutefois, rien ne garantit qu’un appareil personnel est aussi sécurisé que
celui fourni par l’entreprise. L’utilisation de votre propre appareil au travail
pourrait accroître le risque de divulgation et de perte d’informations. C’est
pourquoi il est important que vous suiviez les règles que l’entreprise a
établies. Elles ont été développées pour protéger votre appareil et, en
retour, nos informations.

Réduire les risques

Politique BYOD
–
Une entreprise peut établir une politique BYOD décrivant les exigences de sécurité
générales concernant les appareils personnels, ainsi que les restrictions d’utilisation
et d’autres aspects, dans le but de limiter les risques liés à la sécurité de
l’information de l’entreprise.

Mesures de sécurité
–
Une entreprise peut établir des mesures de sécurité pour l’appareil personnel d’un
employé qu’il utilise pour accéder aux informations de l’entreprise, à l’instar des
mesures mises en place sur un appareil appartenant à l’entreprise.

Restriction d’utilisation
–
On peut interdire aux employés d’utiliser des applications hasardeuses sur leurs
appareils personnels lorsque les appareils sont connectés au réseau de l’entreprise.
Restriction d’application
–
Une entreprise peut interdire que des logiciels utilisant les licences d’entreprise
soient installés sur un appareil personnel ou peut interdire aux employés d’accéder
aux applications internes à partir de leur appareil personnel.

Suppression d’informations
–
Une entreprise peut mettre en place une fonctionnalité lui permettant de supprimer
à distance les fichiers liés à l’entreprise pour protéger la confidentialité des
informations de l’entreprise advenant la perte ou le vol d’un appareil personnel.

Bonnes pratiques
1:

Avant d’utiliser votre appareil personnel à des fins professionnelles, assurez-vous

d’être autorisé à le faire.

Renseignez-vous sur les politiques et consignes de notre entreprise concernant la

tendance BYOD.

2:

Configurez votre appareil pour qu’il se verrouille automatiquement après

une certaine période d’inactivité, ou conformément aux consignes et

pratiques de notre entreprise.

3:
Verrouillez, limitez ou désinstallez toute fonctionnalité ou application par défaut

sur votre appareil qui peut présenter un risque ou être vulnérable en soi.

Assurez-vous que toutes les applications téléchargées proviennent uniquement de

sources sécurisées et réputées.

4:

Assurez-vous de créer régulièrement des copies de sauvegarde des

données sur votre appareil personnel, et de conserver cette information

séparément de celle de notre entreprise.

5:

Suivez les politiques établies par notre entreprise sur l’utilisation des réseaux

sociaux et du Cloud.

Par exemple, ne téléchargez pas des données de notre entreprise vers un service de

stockage en ligne, à moins que l’utilisation de fournisseurs de stockage externe soit

une pratique approuvée.

Resumé :

L’utilisation d’appareils personnels pour exercer des activités professionnelles peut

compromettre la confidentialité et la disponibilité de nos informations, ainsi que
l’intégrité du réseau de notre entreprise.
Si vous voulez utiliser un smartphone personnel, une tablette ou un ordinateur
portable à des fins professionnelles, vous devez vous assurer d’avoir l’autorisation
de le faire.
Pour protéger les informations de notre entreprise, des mesures de sécurité
pourraient devoir être appliquées à vos appareils.

Avant d’utiliser un appareil personnel à des fins professionnelles,

renseignez-vous sur la politique de sécurité de notre entreprise et

sur les consignes liées à la tendance BYOD.

Le principe du « bureau propre » ne consiste pas à garder un bureau

ordonné et bien rangé ! Il consiste plutôt à ne laisser aucun document et

support de stockage visibles lorsque vous quittez les lieux à la fin de la

journée, à l’heure du repas ou même lorsque vous vous éloignez pour

quelques minutes. C’est une bonne habitude et l’un des moyens les plus

simples de s’assurer que les informations sensibles ne tombent pas entre les

mains de mauvaises personnes. Mais qui sont ces personnes ? Des visiteurs,

le personnel d’entretien, des livreurs ou vos propres collègues qui n’ont tout

simplement pas l’autorisation nécessaire pour voir certaines informations ou

y accéder.

Bonnes pratiques

1:

Traitez toute information confidentielle comme un objet de valeur.

2:

Verrouillez votre session de travail avant de quitter votre poste, même si

vous ne vous absentez que quelques instants.

3:

Ne laissez jamais des documents confidentiels sans surveillance sur votre bureau ou

dans le bac de sortie de l’imprimante.

Il est préférable d’imprimer les documents confidentiels en utilisant un code

d’utilisateur exigé pour que l’impression ait lieu.

4:

Sécurisez soigneusement les dossiers, les documents, les ordinateurs

portables et les autres appareils de stockage mobiles avant de quitter votre

lieu de travail.

5:

Déchiquetez ou déposez tout document confidentiel dans les bacs prévus à

cet effet.

6:

Si vous devez vous absenter de votre zone de travail, verrouillez les

classeurs et tout autre espace de rangement qui pourraient contenir des

informations confidentielles.

Resumé :

L’application du principe du « bureau propre » réduit grandement le risque de vol

ou de fuite d’informations confidentielles dans votre zone de travail.
En rangeant vos documents et supports de stockage mobiles dans un endroit sûr
dans nos installations, vous pouvez empêcher des personnes d’obtenir des
informations auxquelles elles n’auraient normalement pas accès.
Vous ne devez laisser aucune information sur votre bureau à la fin de votre journée
de travail, mais aussi lorsque vous quittez momentanément votre poste.
Si vous devez quitter votre bureau, rangez toujours les informations

sensibles en lieu sûr, comme vous le feriez pour votre portefeuille

ou smartphone. Ne les laissez jamais à la vue de tous !