Tous acteurs
de la sécurité

Le phishing est une technique utilisée sur internet par les fraudeurs visant à voler des informations confidentielles (mot de passe, coordonnées bancaires, etc.) via des e-mails, des liens, des faux sites web et des pièces jointes abusant de la crédulité de l’internaute.
 

Comment ça fonctionne ?
 

L’internaute reçoit un e-mail reprenant la charte graphique d’une société ou d’une administration connue (établissements financiers, services publics, sites marchands, etc...).

L’objectif de l’e-mail est d’inciter l’internaute à cliquer sur le lien proposé pour accéder au site frauduleux et communiquer des informations confidentielles.

Le fraudeur trompe l’internaute avec des messages à caractère officiel et urgent pour l’inciter à réagir. Il s’agit souvent de fausses demandes de vérification, de problèmes de sécurité, de facturation, etc.

 

Les bons réflexes
 

Adopter les bons réflexes :

• NE COMMUNIQUER JAMAIS vos informations personnelles et confidentielles auprès d’un organisme financier ou organisme public par voie électronique (e-mail, SMS) ou par téléphone.

• Se méfier des messages comme : « Nous suspectons une transaction non autorisée sur votre compte ». Il s’agit très certainement d’une tentative de phishing basée sur la crainte et la peur.

• Se méfier des e-mails et des sites internet contenant des fautes de français.

• NE PAS CLIQUER avant d’avoir lu l’intégralité du message reçu, même si ce message vous semble émaner d’une source sûre et connue.

• NE JAMAIS TRANSMETTRE d’informations bancaires par courrier électronique.

• NE JAMAIS REPONDRE à un e-mail vous demandant des informations personnelles.

• VERFIER L’URL dans la barre d’adresse du navigateur. Il peut exister une légère faute de saisie dans l’adresse du site. Dans la majorité des navigateurs, UN CADENAS VERT précise l’existence d’une connexion sécurisée, ce qui est une indication supplémentaire de légitimité du site.

• Utiliser les fonctions anti-phishing des navigateurs et des anti-virus récents (Cf :Les bonnes pratiques d’utilisation de mon ordinateur).

 

Que faire si j’ai cliqué ?
 

Connectez-vous le plus rapidement possible sur votre compte et CHANGEZ votre mot de passe. Si vous avez communiqué vos informations de cartes bancaires (numéro de carte, date d’expiration, code à 3 chiffres, code PIN), faites opposition à votre carte bancaire le plus rapidement possible et appelez IMMEDIATEMENT l’établissement financier pour prévenir de la situation, même en cas de doute.

 

Le saviez-vous ?
 

En cas de doute sur un courrier électronique, vous pouvez transmettre des signalements de contenus ou de comportements illicites sur le portail officiel du ministère de l’Intérieur.

 

Le malware est un logiciel qui est installé à votre insu sur votre ordinateur.

 

Comment ça fonctionne ?
 

Le malware infecte un poste de travail le plus souvent par l’envoi d’un e-mail piégé. L’infection est dès lors susceptible de s’étendre au reste du système d’information (serveurs, ordinateurs, téléphonie, imprimante, etc.).

Les moyens d’infection sont nombreux :

• Connexion à internet avec un ordinateur ayant des failles de sécurité exploitables.

• Exécution d’un programme infecté.

• Ouverture d’une pièce jointe ou d’un document infecté.

• Navigation sur des sites douteux.

• Clic sur des bannières publicitaires infectées.

• Connexion de périphériques infectés.

 

Exemple de malware : « Le ransomware ou rançon logiciel ». Ce malware a pour but, d’obtenir de la victime le paiement d’une rançon. Pour y parvenir le ransomware va empêcher l’utilisateur d’accéder à ses données (vidéos, photos, etc.) en les chiffrant.  En contrepartie d’une rançon, la victime pourra à nouveau accéder à ses données.

Les objectifs des escrocs sont divers :

• Enregistrer votre navigation pour mieux cibler vos habitudes.

• Voler vos informations confidentielles pour les utiliser à leur profit (coordonnées bancaires, codes d’accès, etc.).

• Voler vos documents (photos, vidéos, etc.).

• Exercer un chantage en paralysant votre ordinateur en contrepartie d’une somme d’argent.

• Utiliser votre ordinateur pour déclencher des attaques par déni de service ou « DoS », les ordinateurs infectés sont appelés des « zombies ».

• Etc.

 

Les bons réflexes
 

• Installer et mettre à jour un anti-virus et/ou un anti-spyware.

• Effectuer un scan régulier de votre système au moins une fois par semaine.

• Mettre à jour votre système pour corriger les failles de sécurité. Pour vous aider à le maintenir à jour :

  • Microsoft : Mise à jour de sécurité

  • Apple : https://support.apple.com/fr-fr/HT201541

• Attention aux e-mails d’origine inconnue avec une pièce jointe ou un lien (Cf. Phishing).

• Attention aux sites douteux (Cf. Pharming).

• Ne pas connecter de périphériques (USB, HDD, etc.) d’origine inconnue.

• Télécharger vos logiciels uniquement depuis les sites des éditeurs.

 

Que faire si je suis infecté ?
 

Si un logiciel malveillant est détecté, faites-le éradiquer par votre anti-virus ou votre anti-spyware, puis seulement après, modifiez les codes d’accès et/ou mots de passe de tous les services internet protégés par ce type de contrôle d’accès.

 

 

Scam désigne une escroquerie ou une arnaque. On parle également de scam ou cyber-arnaques « Nigeria-419 » en référence à l’article n°419 du code pénal du Nigéria sanctionnant ce type de pratique. 

 

Comment ça fonctionne ?
 

Vous recevez un e-mail indésirable ou spam qui va chercher à abuser de votre crédulité ou de votre compassion pour vous soutirer de l’argent :

• Crédulité : un e-mail vous informe que vous avez gagné une somme importante à une loterie. Vous êtes invité à prendre contact avec un faux huissier ou avocat. Celui-ci vous informe que pour effectuer le transfert il y a des frais à régler (somme dérisoire au regard de la somme espérée) et vous demande de les régler en mandat ordinaire international (Western Union ou La Banque Postale par exemple). Vous ne recevrez jamais votre gain et serez même peut-être relancé pour d’autres « frais ».

• Compassion : un e-mail vous informe qu’une personne a besoin de votre aide. L’objectif est de vous inciter à transférer une somme d’argent à l’étranger.

• Gain ou cadeau : un e-mail vous informe, par exemple, que vous avez gagné un cadeau ou une somme d’argent. Vous êtes invité à communiquer votre numéro de carte bancaire pour payer des frais. L’objectif des fraudeurs est d’utiliser votre carte bancaire pour effectuer un paiement frauduleux. Vos coordonnées postales et adresse e-mail peuvent également être utilisées à mauvais escient.

 

Les bons réflexes
 

Attention aux gains trop faciles, ils cachent souvent une escroquerie. C’est le cas de beaucoup d’arnaques qui vous demandent de payer des frais à l’avance, de certains sondages qui vous offrent un cadeau en remerciement, ou de pages web qui vous proposent des produits à prix très attractifs.

• Méfiez-vous tout particulièrement des e-mails avec des numéros de téléphone étrangers.

• Si l’un de vos amis vous réclame de l’aide de toute urgence et vous demande une somme d’argent, contactez-le pour vérifier qu’il s’agit bien de lui.

• Ne donnez jamais vos références de cartes bancaires pour payer les frais de livraison d’un cadeau ou de produits à prix ‘cassés’, sans vous assurer de la notoriété du site web ou de la société à l’origine de l’offre.

 

Que faire si je suis escroqué ?
 

Déposez plainte contre l’auteur des faits ou contre X en expliquant que vous avez été victime d’une arnaque sur internet et que vous avez envoyé des fonds. Ce dépôt de plainte est possible même si l’auteur des faits se trouve à l’étranger.
Pour l’enregistrement de votre plainte, deux possibilités :

• Vous rendre dans un commissariat de police ou une brigade de gendarmerie

• Déclarer en ligne une pré-plainte : https://www.pre-plainte-en-ligne.gouv.fr/

 

 

Le pharming est une technique de fraude qui consiste à rediriger le trafic internet d’un site web vers un autre site factice lui ressemblant en tout point et à votre insu, c’est-à-dire sous couvert de l’adresse internet du site original.

 

Comment ça fonctionne ?
 

Lorsque vous tapez une adresse internet (URL) dans votre navigateur, cette adresse est traduite en une adresse technique (IP) à l’aide d’un annuaire mondial (DNS). Cependant, il est possible que cet annuaire soit corrompu momentanément. Dans ce cas, vous croyez avoir atteint le vrai site mais il n’en est rien.

Il existe deux méthodes de pharming :

• La première, rarement rencontrée, vise à s’attaquer aux annuaires des FAI (Fournisseurs d’Accès Internet) pour acheminer les internautes vers leur destination.

• La seconde consiste à installer sur les ordinateurs des internautes non protégés, un virus afin d’interagir avec leur navigateur (Google, Mozilla Firefox, Internet Explorer, etc...).

 

Les bons réflexes
 

• Optez pour un FAI connu possédant une forte notoriété. Leur niveau élevé de protection est votre meilleur rempart.

• Equipez votre ordinateur d’un anti-virus et d’un pare-feu.

• Ne cliquez jamais sur un lien fourni dans un e-mail expédié par un inconnu ou une entreprise que vous ne connaissez pas.

• Vérifiez la barre d’adresse du navigateur pour vous assurer que l’orthographe est correcte. Par exemple, lorsque vous saisissez  https://www.sofinco.fr/ , l’adresse d’un site de pharming pourrait être : https://www.nssofinco.fr/

• Vérifiez que l’adresse du site débute par http. Si vous vous connectez sur une page où vous devez saisir des informations personnelles, le http doit se transformer en https, le « s » signifiant sécurisé.

• Vérifiez la présence du cadenas vert :

• Vérifiez le certificat en double cliquant sur le cadenas vert et vérifier qu’il soit bien délivré à l’adresse du site :

Le spam est un e-mail non sollicité (voire indésirable), envoyé à de nombreux destinataires.

 

Comment ça fonctionne ?
 

Le spam est émis depuis des réseaux d’ordinateurs infectés (Cf. Malware). Cette technique permet de ne pas pouvoir remonter facilement à la source de la malveillance.

Le spam est un e-mail support :

• Le plus souvent d’une publicité.

• D’un canular : fausses informations dont les finalités sont diverses.

• D’une escroquerie (Cf. Scams).

• D’un logiciel malveillant qui va être installé sur votre ordinateur, par exemple lorsque vous souhaitez visualiser les images contenues dans l’e-mail (Cf.Malware).

• D’un hameçonnage (Cf. Phishing).

 

Les bons réflexes
 

• Si vous utilisez des logiciels de messagerie sur votre ordinateur tel que Outlook, équipez-vous d’un logiciel anti-spam très souvent inclus dans les logiciels anti-virus.

• Si vous utilisez le site de courrier de votre opérateur internet, assurez-vous que l’option anti-spam est activée. 

• Si possible, désactivez l’affichage systématique des images contenues dans les courriers électroniques.

• Si vous recevez un e-mail vous informant d’une nouvelle révoltante ou catastrophique, vérifiez avant tout qu’il ne s’agit pas d’un canular sur les sites spécialisés comme www.hoaxbuster.com.

 

 

Le mot de passe : les bonnes pratiques
 

• Il doit comporter au moins 12 caractères et 4 types différents (minuscules, majuscules, chiffres et caractères spéciaux).

• Un compte égal un mot de passe. Il n’est pas recommandé d’utiliser le même mot de passe entre votre messagerie personnelle et professionnelle par exemple.

• Il ne doit rien dire sur vous. Ne pas utiliser : une date de naissance, le prénom de vos enfants, le nom de votre chien ou un mot du dictionnaire.

• Il est recommandé de ne pas demander à un tiers de générer pour vous un mot de passe.

• Remplacez automatiquement et au plus vite un mot de passe provisoire.

• Pensez à renouveler régulièrement vos mots de passe.

• Ne conservez pas vos mots de passe sur un support informatique et encore moins sur un papier.

• Ne vous envoyez pas vos mots de passe sur votre messagerie.

• Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis.

 

Les bonnes pratiques lorsque j’effectue un paiement en ligne
 

• Vérifiez que la connexion du site sur lequel vous vous trouvez est sécurisée. Cela se traduit par une adresse URL qui débute par « https:// » et par la présence d’un cadenas verrouillé de couleur verte. 

• Assurez-vous du caractère sérieux du site marchand en vérifiant qu’il offre toutes les garanties de sécurité lorsque vous allez payer (chiffrement, possibilité de rétractation…).

• Vérifiez, une fois le paiement en ligne effectué, qu’aucune de vos coordonnées bancaires n’est conservée sur le site. Si c’est le cas, il est préférable de les supprimer.

• Soyez prudent sur la nature des données bancaires demandées lors d’un paiement en ligne.  Un site ne doit JAMAIS VOUS DEMANDER de saisir votre code confidentiel associé à votre carte bancaire. Le site doit en revanche vous demander le cryptogramme visuel (code à 3 chiffres) qui figure au dos de votre carte bancaire.

 

Les bonnes pratiques d’utilisation des réseaux sociaux
 

Toutes les informations que vous mettez à disposition sur les réseaux sociaux (Facebook, Twitter…) peuvent être vues et donc récupérées par des personnes malveillantes.

• Veillez à bien configurer les paramètres de confidentialité de vos réseaux sociaux car les paramètres par défaut favorisent la plus large ouverture.

• Résistez à la tentation de cliquer sur des liens douteux.

• Attention aux invitations non sollicitées provenant de spameurs. En répondant à un spameur, vous lui confirmez que votre adresse électronique est active, et par conséquent qu’elle peut être vendue à des cybercriminels.

Il en va donc de VOTRE responsabilité d’utiliser les médias sociaux de manière sécurisée.

 

Les bonnes pratiques d’utilisation de mon ordinateur
 

• Installez un anti-virus et/ou un anti-spyware.

• Evitez de vous connecter à des réseaux Wi-Fi publics. Privilégiez les réseaux Wi-Fi connus.

• Protégez l’accès de votre ordinateur en mettant un mot de passe qui respecte les grands principes : minimum 12 caractères, 1 majuscule, 1 minuscule, 1 caractère spécial, 1 chiffre.

• Effectuez les mises à jours de tous vos logiciels.

• Ne téléchargez pas de logiciels sur des sites non officiels.

• Utilisez un filtre de confidentialité

• Ne stockez pas de données confidentielles comme vos mots de passe sauf si vous utilisez un coffre-fort de mot de passe du type KeePass.

• Vérifiez les demandes d’autorisation lors de l’installation d’un logiciel.

• Ne connectez aucun périphérique (USB, disque dur externe...) d’origine inconnue.

• Verrouillez automatiquement votre ordinateur après quelques minutes d’inactivité.
   

Configurez votre navigateur pour naviguer en toute sécurité :

• Faites les mises à jour.
• Activez les filtres anti-phishing et anti-malware.
• Videz le cache chaque fois que vous avez navigué avec un poste qui ne vous appartient pas.

 

Les bonnes pratiques d’utilisation de mon smartphone / tablette
 

• Evitez de vous connecter à des réseaux Wi-Fi publics. Privilégiez les réseaux Wi-Fi connus. 

• Protégez l’accès en mettant un mot de passe ou selon le modèle de votre smartphone privilégiez l’utilisation d’authentifiants biométriques (reconnaissance faciale, scanner d’iris ou lecteur d’empreintes digitales).Si possible, privilégiez une double authentification biométrique et un mot de passe.

• Ne téléchargez pas d’applications qui ne sont pas proposées dans le store de votre smartphone.

• Vérifiez les demandes d’autorisation lors de l’installation d’une application ou d’un logiciel : par exemple, une application pour réseaux sociaux peut vous demander d’accéder à votre carnet d’adresse pour le publier sur internet.

• Verrouillez automatiquement votre smartphone ou tablette après quelques minutes d’inactivité.
   

Configurez votre navigateur pour naviguer en toute sécurité :

• Utilisez une version récente de votre navigateur.
• Faites les mises à jour.
• Activez les filtres anti-phishing et anti-malware.
• Videz régulièrement le cache chaque fois que vous avez navigué avec un appareil qui ne vous appartient pas.

 

Les bonnes pratiques lorsque je reçois un appel téléphonique
 

• Ne communiquez JAMAIS vos coordonnées bancaires par téléphone. AUCUN établissement financier ne vous le demandera, même en cas de simple vérification. 

• Si vous avez reçu un appel d’un numéro inconnu qui vous semble douteux, ne rappelez surtout pas même si la numérotation vous paraît habituelle. Un interlocuteur qui cherche vraiment à vous joindre vous rappellera ou laissera un message sur votre messagerie.

 

 

 

Grâce à la Banque de France et à la Fédération Bancaire Française, Sofinco met à votre disposition une documentation complète sur les questions liées à la sécurité de vos identifiants.

Ces mini-guides au format PDF sont téléchargeables :

Identifiants bancaires : être vigilant, c'est important.

 

 

Les clés de la banque

Pour accéder à votre espace client sur sofinco.fr, vous avez besoin de :

• Votre identifiant :
  • Numéro de contrat/dossier à 9 ou 11 chiffres.
  • Numéro de client à 11 chiffres.
  • Numéro de carte à 16 chiffres (hors Mastercard et Visa).
     

• Votre code d’accès à 6 chiffres.

Nous garantissons la confidentialité et la sécurité de vos données personnelles et de vos données de connexion à votre espace client.
Nous ne vous demanderons jamais votre code d’accès ni par e-mail, ni par téléphone.
Nous mettons à votre disposition une charte de données personnelles et sécurité où nous vous informons, en toute transparence, des engagements et des mesures prises pour veiller au respect de vos données personnelles.

Toujours mieux protéger vos données personnelles : nous avons tout à y gagner !