Les erreurs humaines

Le pirate informatique qui n'y connaissait rien

Quand on pense "sécurité" en informatique, on a souvent tendance à voir le petit génie à lunette cloitré derrière son ordinateur, piratant les services de la NASA. C'est un gros cliché ? Oui, c'est vrai. N'empêche que le petit génie en question en connait un rayon en informatique !

Cependant, il existe des méthodes beaucoup plus "vicieuses" pour déjouer la sécurité de votre ordinateur. Je veux parler des méthodes "humaines". Et dans ce cas, le "pirate" n'a pas (forcément) besoin d'être un petit génie de l'informatique. Il lui suffit de connaître deux ou trois trucs sur le comportement humain. On appelle cela, en bon anglais, le social engineering (traduisez "ingénerie sociale", si vous voulez). Cela consiste à pousser une personne à divulguer des informations primordiales (en matière de sécurité)... Et cela de son plein gré !

Typiquement : votre mot de passe. Vous recevez un coup de téléphone d'une personne se présentant comme votre banquier. Celui-ci vous dit que pour sécuriser votre compte bancaire, il a besoin d'informations sur vous. Il se met alors à vous demander votre nom, votre prénom, votre adresse, votre âge, votre mot de passe Windows, votre fournisseur d'accès à Internet, votre... C'est déjà trop tard. L'usurpateur est en possession de votre mot de passe Windows, que vous avez donné avec toute la confiance du monde à un inconnu.

Eh oh tu nous prendrais pas un peu pour des abrutis ? Je donne pas mon mot de passe comme ça moi !

Évidemment, mon exemple est un peu gros et je ne pense pas qu'il attrape qui que ce soit. Mais croyez-moi, il existe des pièges tellement bien ficelés qu'il est très facile d'y tomber... Et cela, bien sûr, n'existe pas qu'en informatique. Cela dit, les moyens techniques qu'elle permet (apparemment l'informatique est une fille, c'est un nom féminin...) décuplent le nombre de pièges possibles !

Pour prendre un autre exemple que mon faux banquier au téléphone, imaginez-vous au travail, recevant un mail du service informatique. Ce mail a bien l'en-tête habituel avec le logo de votre société, la mise en forme classique, etc. Le responsable informatique vous y demande d'entrer vos identifiants de session Windows (typiquement votre nom d'utilisateur et votre mot de passe) afin de centraliser les informations concernant les employés. On se laisse plus facilement avoir que par téléphone... Surtout si on n'a pas l'habitude.

Les bonnes pratiques

Si vous ne deviez retenir qu'une seule règle concernant ce type d'attaques, je pense que ce serait la suivante :

Ne jamais donner à qui que ce soit son mot de passe.

Que ce soient les impôts, le service informatique, Jean-Pierre Foucault, Barack Obama ou Pikachu : il n'y a jamais de bonne raison de devoir donner son mot de passe. Le mot de passe sert à s'identifier (à l'ouverture de Windows, sur un site, etc.). C'est tout. Dans un autre contexte, il faut tout de suite flairer l'arnaque.

Bien sûr, cette règle s'applique à d'autres codes : compte bancaire, carte bleue... Mais ceux-là, je pense que vous savez déjà qu'ils ne doivent jamais être communiqués.