En tant que programmeur chez Basta communication, je reçois souvent des questions sur la fiabilité des services sur le Web : « Est-ce que tel site est fiable ? », « Est-ce que je peux ouvrir ce courriel ? », « Est-ce que je dois faire cette mise à jour recommandée ? ». La sécurité informatique commence tout doucement à rentrer dans les mœurs de tout un chacun, ce qui est une bonne chose en soi, mais il y a encore beaucoup de travail à faire ! Les fraudeurs ont recours à de plus en plus de techniques pour y parvenir. Récemment, un client nous a rapporté un magnifique exemple de ce que l’on appelle dans le jargon, le « Social Hacking » ou en bon français « l’ingénierie sociale ».
Kossé ça l’ingénierie sociale ?
L’ingénierie sociale, c’est l’art d’exploiter la faiblesse des êtres humains. Les systèmes de sécurités automatisés sont de plus en plus performants. Les fraudeurs doivent mettre de plus en plus de temps pour les analyser et arriver à les contourner. Ils se retournent donc vers les failles les plus simples à exploiter : le facteur humain. En fait, il est beaucoup plus simple de copier une page de connexion (par exemple, Facebook) et de l’envoyer à sa victime pour récupérer son identifiant et son mot de passe, plutôt que de tenter de rentrer directement dans les serveurs de Facebook pour « voler » le compte de cette même victime.
Un exemple concret de fraude
Poursuivons avec l’exemple de notre client. Celui-ci utilise nos services de nom de domaine depuis quelque temps. Malgré tout, il a reçu ce magnifique chef d’œuvre de « Social Hacking » de la part de iDNS Canada. IDNS Canada est une compagnie bien connue des webmestres et autres développeurs Web. Son modèle d’affaires est bien simple : elle envoie, par la poste, une lettre ayant l’apparence d’une facture officielle de votre hébergeur ou registraire de nom de domaine, pour le renouvellement de votre nom de domaine. iDNS espère ainsi récupérer le nom de domaine de la victime, tout en lui faisant payer le double du prix pour son nom de domaine et en récupérant son numéro de carte de crédit, par la même occasion. En donnant vos informations à iDNS, vous croyez renouveler votre abonnement de nom de domaine, mais elle obtient en fait votre numéro de carte de crédit. Le résultat : vous vous retrouvez à payer deux abonnements de nom de domaine : un chez votre réel hébergeur (ou registraire) et un deuxième chez iDNS !
Son modèle d’affaires est bien simple : elle envoie, par la poste, une lettre ayant l’apparence d’une facture officielle de votre hébergeur ou registraire de nom de domaine, pour le renouvellement de votre nom de domaine. iDNS espère ainsi récupérer le nom de domaine de la victime, tout en lui faisant payer le double du prix pour son nom de domaine et en récupérant son numéro de carte de crédit, par la même occasion. |
Généralement, la lettre est en anglais uniquement (attention aux non-anglophones!) et elle utilise des termes pour mettre de l’avant une situation d’urgence. Tout le contenu de cette lettre est réfléchi, pour bien prendre au piège les propriétaires de nom de domaine qui ne sont pas familiers avec le Web et ses subtilités. Ils arrivent tout de même à contourner la loi, car ils inscrivent, sur cette lettre, que ce n’est pas une « facture ». Mais, bonne nouvelle! Suite à un nombre élevé de plaintes, iDNS Canada (et toutes ses filiales nord-américaines) est suivie de près par les autorités. Par contre, à ce jour, lorsqu’un criminel du net est arrêté, dix peuvent facilement et rapidement prendre leur place !

Comment se protéger ?
En ce qui concerne votre nom de domaine, c’est très simple : vous ne pouvez pas faire affaire avec plus d’un registraire par nom de domaine. De plus, les registraires de nom de domaine contactent pratiquement toujours leurs clients par courriel. Si vous ne connaissez pas votre registraire ou si vous avez oublié de qui il s’agit, vous pouvez utiliser l’outil WHOIS pour savoir qui s’occupe de l’enregistrement de votre nom de domaine. Si vous faites affaire avec une agence, n’hésitez pas à lui poser la question.
Cependant, la meilleure protection qui demeure contre le « Social Hacking », c’est de s’informer et de prendre le temps de bien lire toute la documentation fournie avec l’outil informatique que vous souhaitez utiliser. Posez-vous également les questions suivantes :
« Est-ce que ce site est fiable ? », « Est-ce que cette application semble exempte de virus ? », « Est-ce que cette facture est bien réelle ? ». En cas de moindre doute, demandez à un expert de vous éclairer et ne prenez pas de risque.
Ce billet ne couvre, bien sûr, qu’un seul aspect de la sécurité sur le Web, alors n’hésitez pas à aller chercher plus d’information pour savoir comment vous protéger sur internet. Et rappelez-vous que la sécurité commence toujours par la prevention.