Internet
Vie privée, Écologie et Sécurité

"Je sécurise mon utilisation d'Internet"

Repérer une adresse Internet (ou url) frauduleuse

Comment est faite une adresse Internet ?

Pour repérer une adresse frauduleuse, il faut d'abord comprendre comment est faite une adresse.

Prenons, pour exemple, la page d'accueil de l’espace particulier du site des impôts :

https://www.impots.gouv.fr/portail/particulier

Détaillons cette adresse :

http s://  www . impots . gouv.fr  /  portail  /  particulier

https:// Protocole de communication entre votre ordinateur et le serveur qui héberge le site que vous visitez. Le "s"signifiant que la communication est sécurisée (c'est-à-dire cryptée).
www.impots.gouv.fr gouv.fr est le domaine premier de niveau générique. Celui-ci est associé aux organismes gouvernementaux français (extension .fr pour France).
Autre exemple : asso.fr pour les sites associatifs.

impots est le domaine de deuxième niveau (le nom du site), le site des impôts.
Autres exemples de domaines gouvernementaux : ants.gouv.fr, demarches.interieur.gouv.fr, economie.gouv.fr.
portail/particulier Chemin sur le serveur vers la page particulier ( portail est le répertoire du serveur où se trouve la page particulier)

Remarques :

  • Ne jamais effectuer de paiement sur un site non sécurisé (http://) ni fournir d’informations privées (formulaire)! Toujours vérifier la présence du petit "s" de https:// (cliquer sur l'adresse Internet dans la barre d'adresse pour voir l'adresse complète) ou du cadenas devant l'adresse.
  • Les noms de domaines peuvent se terminer par de nombreuses d’extensions différentes : .com (commercial), .net ou par le pays .fr (pour la France), .ca (pour le canada).
  • Souvent une adresse Internet se termine par un "?" suivi d'un ensemble de paramètres. Par exemple :https://mon-site.fr ?ope=reg&nom=paul . Ce sont des informations transmises à la page du site visité et utiles à son au fonctionnement.

Exemples d’adresses Internet frauduleuses

  • https://www.impots.gouv.part.fr Le nom de domaine impots.gouv.fr a été coupé en deux pour insérer le mot "part" entre "gouv" et "fr" laissant croire qu'on accède à l'espace particulier du site des impôts. Ce n’est donc plus le même nom de domaine donc pas le même site ! De plus, gouv.fr est une entité non séparable.
    Les adresses www. part.impots.gouv.fr ou www.impots.gouv.fr/part pourraient être des adresses Internet valides des impôts car elles sont sur leur domaine impots.gouv.fr (respectivement un sous-domaine et un sous-répertoire).
  • http://factures.com/remboursement.impots.gouv.fr On retrouve bien impots.gouv.fr en un seul morceau mais pas comme nom de domaine car pas situé entre https:// et le 1er /. Dans ce cas le nom de domaine (nom du site) est factures.com et remboursement.impots.gouv.fr est suite de sous-répertoires de ce site. De plus, le site n'est pas sécurisé car commence par http:// et non https://. Il n'est pas pas digne de confiance.

En résumé, avant de remplir un formulaire ou effectuer un paiement, assurez-vous que le site est sécurisée ( devant l'adresse). De plus, regardez bien le début de l'adresse (ce qui est avant l'extension .fr, .com, .org, …). Voir les deux exemples ci-dessus de modifications frauduleuses d'adresses officielles.

Repérer un email frauduleux

Quand vous recevez un email, voici quelques points à vérifier pour éliminer la plupart des emails frauduleux :

  1. L’expéditeur : par exemple : Votre espace Client EDF < info.particuliers@edf.fr >

    Regardez à la fois le Nom (ou Titre) (ici Votre espace Client EDF et l’adresse mail (ici info.particuliers@edf.fr) . Les deux doivent être cohérents; toujours bien vérifier la partie de l'adresse mail après "@" : elle doit correspondre au nom du site de la société nommée. Dans l'exemple ci-dessus, edf.fr est bien l'adresse Internet du site d'EDF. À retenir : la partie avant "@" peut être info, contact, noreply, … selon l'objet du mail.
    (voir paragraphe Repérer une adresse Internet frauduleuse).
    Attention : Tout le monde peut créer une adresse email et mettre ce qu'il veut dans le Nom !

    Exemple d'email frauduleux : Direction Générale des Finances Publiques < remboursement@impots.fr >
    Le nom semble correct et met en confiance (pour rappel, l’expéditeur met le nom qu’il veut) mais impots.fr n’est pas le nom de domaine du ministère des finances (le bon est impots.gouv.fr).
  2. L’objet du mail : Méfiez-vous des objets trop vagues !
  3. Le contenu du mail : Redoublez de vigilance si cet email :
    • vous contacte pour un remboursement (impôts, sécurité sociale),
    • vous parle d’un gain d’argent,
    • vous signale un problème avec votre compte mail,
    • vous invite à donner mots de passe ou coordonnées bancaires,
    • est une demande d’aide qui vous étonne d’une personne que vous connaissez,
    • vous met dans un état d’urgence.

    Regardez :
    • la façon dont il est rédigé : fautes d’orthographe et de grammaire (les fraudeurs laissent souvent des fautes !…)
    • s’il est nominatif ou pas. Un site officiel mentionnera vos noms et prénoms.
    • S’il contient des liens, des images ou des boutons vous invitant à cliquer dessus (c'est le cas de la plupart des emails frauduleux), surtout ne cliquez pas. Par contre, en passant la souris dessus et en attendant quelques secondes, va s’afficher l’adresse Internet du site qui s’ouvrirait si vous cliquiez dessus. Examinez alors à quoi ressemble cette adresse. Voici un exemple d'email frauduleux soi-disant envoyé par La banque postale : l'email de l'expéditeur (visible en cliquant sur l'expéditeur) se termine par @nskb.eu alors qu'il devrait se terminer par @labanquepostale.fr. De même, l'adresse Internet qui s'affiche quand on passe la souris sur le bouton (sans cliquer dessus!) est http://r.xjdm.eu/… alors qu'elle devrait-être https://www.labanquepostale.fr/.... Enfin, cette adresse commence par http:// (donc non sécurisée) au lieu de https:// ce qui ne devrait pas être le cas pour une adresse de connection à un compte sécurisé.
      exemple-lien-frauduleux

Si vous recevez un email des impôts, de la caf, d’Amélie, de votre banque, de votre assureur,… allez plutôt directement sur leur site plutôt que de passer par le lien (texte ou bouton) proposé dans l'email. En cas de doute sur un email dont l’expéditeur vous est connu, contactez-le directement sans passer par "répondre à" pour ôter les doutes.

Mots de passe : Bien les choisir et les stocker en sécurité

Normalement, nous devrions avoir un mot de passe pour chaque compte et le changer tous les trois mois , ce qui, dans la pratique, est difficile sauf en utilisant un logiciel pour générer et stocker les mots de passe.

Actuellement, avec un logiciel de cassage de mot de passe, il faut moins de 10mn pour casser un mot de passe de 8 lettres provenant d'un dictionnaire ( mot de passe faible) et plus de 10 ans pour un mot de passe de plus de 10 caractères bien construit (mot de passe fort). Vous trouverez ici quelques conseils pour construire des mots de passe forts et comment les stocker.

Construire un mot de passe fort et simple à retenir

Comment construire un mot de passe fort

Ne pas utiliser :

  • des mots du dictionnaire,
  • des infos personnelles (nom, lieu, …),
  • des suites de chiffres faciles ‘1234’ ou des noms de marque ou des noms de personnes connues ...

Il doit contenir :

  • au moins 10 caractères,
  • des majuscules, des minuscules, des nombres,
  • des caractères spéciaux (si le site les accepte) !, # @ $ € ( ) ç { } % -

Exemples :

  • Laurent45 est un mauvais mot de passe
  • Go@25!(Hlm12D est un bon mot de passe

Astuces pour construire facilement un mot de passe mémorisable

  • Mémoriser une phrase et ne prendre que les premières lettres de chaque mot et commencer et/ou finir le tout par des lettres spéciales et des chiffres.
    Exemple : Et il voyagea dans les étoiles, parmi les grandes personnes —> Eivdleplgp&25#
  • Utiliser les sons que forment les syllabes afin de créer une phrase facile à retenir.
    Exemple : j’ai acheté le pain un euro à 10 heures —> ghtlep11€a10h
  • Utiliser un mot de passe “classique” facile à retenir et décaler chaque lettre d’une touche vers la droite et finir le tout pas des lettres spéciales et des chiffres.
    Exemple : Astuces —> Zdyivrd25#&
  • Utiliser le générateur de mot de passe de la CNIL.

Stocker ses mots de passe dans un logiciel spécialisé

Il existe différents logiciels (Dashlane, LastPass, 1Password, Keepass, ZenyWay, ...) permettant de générer, chiffrer et stocker vos mots de passe. Il suffit de retenir un seul mot de passe pour ouvrir le logiciel et avoir accès à tous vos mots de passe. Certains sont payants, d’autres gratuits. Certains stockent vos données en ligne sur leur serveur permettant la synchronisation sur tous vos appareils, d'autres les stockent sur votre disque dur, vous laissant l'entière possession de vos données.

La Commission Nationale de l'Informatique et des Libertés (CNIL) recommande le logiciel libre (open-source) KeePassXC dont la sécurité a été évaluée par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). Il utilise un format de base de données compatible avec un grand nombre de logiciels. Pour mettre le logiciel en français, rendez-vous ici et téléchargez le fichier correspondant au français avec la version voulue.

Un des avantages d'un logiciel libre, en plus de sa gratuité (don possible), est que son code-source peut être vérifié par toute personne compétente, ce qui est important quand il s'agit de sécurité (ce n'est pas une boite noire à laquelle on doit faire aveuglément confiance). En contre-partie de la gratuité, KeePassXC n'est pas le logiciel de sauvegarde de mots de passe le plus attrayant visuellement.