Les meilleures pratiques lors de l’utilisation de dispositifs de confiance (I)
Du 15 au 25 octobre 2019, s’est tenue la semaine de la cybersécurité au Luxembourg. À cette occasion, nous avons créé une série d’articles visant à promouvoir les meilleures pratiques en matière d’utilisation des services de confiance et des périphériques associés (token, carte à puce, clé de numérisation etc.).
Les deux premiers articles couvriront six comportements de base à adopter ou à chasser afin de mieux protéger votre identité numérique et de réduire les risques de (cyber)criminels s’appropriant vos données sensibles.
1. NE répondez PAS aux SMS, courriers électroniques ou appels téléphoniques suspects
Les cybercriminels deviennent de plus en plus retors pour trouver de nouveaux moyens de tromper les utilisateurs et accéder à leurs données électroniques. Le phishing (une cyber-méthode pour collecter des informations à caractère personnel à des fins personnelles par le biais de courriers électroniques et de sites Web) s’est étendu aux SMS, voire aux appels téléphoniques.
Les escroqueries sont devenues si sophistiquées que vous avez besoin d’un très bon sens du détail pour faire la différence entre ce qui est réel et légitime et ce qui relève de l’imposture et de l’illégalité.
Voici quelques signaux d’alerte à observer lors de la réception de courriers électroniques, de SMS ou d’appels :
- Le prestataire de services de confiance vous envoie un message « inattendu » vous priant d’exécuter une action qui vous semble très commune (mettre à jour vos données personnelles, vous connecter à votre compte, payer une facture, etc.).
- Cette action implique toujours l’insertion ou le partage de vos données à caractère personnel et identifiants (nom d’utilisateur et mot de passe) directement par courrier électronique ou sur une page Web.
Gardez à l’esprit que la confiance et la protection de la vie privée sont les valeurs fondamentales de tout prestataire de services de confiance. Par conséquent, il ne vous demandera jamais de divulguer votre mot de passe et votre nom d’utilisateur, pas même dans une situation qui semble vous être bénéfique. Votre mot de passe et votre nom d’utilisateur sont confidentiels et doivent le rester en toutes circonstances.
- Le message est générique ; il ne commence pas par votre nom. D’autres fois, le texte fait complètement défaut ; vous recevrez juste un lien contenant le nom de la société.
- L’aspect général du message ressemble à ce que vous avez l’habitude de recevoir. Ici les détails font la différence. Le message peut contenir des erreurs d’orthographe, des symboles étranges qui ne figureraient normalement pas dans une communication officielle (comme une marque mal orthographiée, une extension de courrier électronique étrange, des couleurs de marque légèrement différentes, etc.).
Les entreprises tiennent beaucoup à l’identité de leur marque, elles ne pourront donc jamais se permettre de faire une erreur dans le nom de leur marque ou de changer subitement leurs éléments visuels fondamentaux, y compris l’adresse du site Internet.
En outre, leur façon de communiquer avec les clients est assez prévisible. Les communications sont envoyées pendant les heures ouvrables à partir de la même adresse correspondant à leur nom de marque et sont très rarement non sollicitées.
Si vous identifiez l’un des signaux ci-dessus, ne répondez pas au message, ne cliquez sur aucun lien et n’ouvrez aucune pièce jointe. Contactez votre prestataire de services immédiatement ; il vous conseillera sur les prochaines étapes.
2. Utilisez que les canaux officiels pour contacter votre prestataire de services de confiance
Par utilisation, nous entendons accéder au site Internet uniquement en tapant lettre par lettre le nom directement dans le navigateur. Ceci est également valable pour l’envoi de courriers électroniques. Essayez d’éviter d’utiliser la fonction de saisie automatique dans la barre de recherche d’URL ou dans la section « À » d’un courrier électronique.
De cette manière, vous éviterez de saisir un site Internet très similaire, mais fictif ou de vous engager dans une correspondance avec un contact fictif. Si vous avez obtenu le service ou dispositif de confiance par l’intermédiaire de votre banque, appelez votre agent bancaire.
Si vous cliquez toujours sur le lien pour des raisons de temps et de commodité, vérifiez qu’il s’agit d’une connexion sécurisée avant de vous engager dans toute action. Pour cela, vérifiez la barre d’URL. Le lien de site Internet doit commencer par HTTPS (un protocole de sécurité utilisant le cryptage et l’authentification), et non par HTTP (un protocole non sécurisé).
Parfois, le navigateur peut vous avertir que la connexion n’est pas sécurisée, mais vous ne pouvez pas toujours vous y fier. Si le site Web est protégé et sécurisé, l’icône « cadenas » apparaît dans la barre d’URL. Il s’agit d’un petit repère visuel qui vous aide à déterminer si le site Internet est authentique et officiel. Le site Internet de LuxTrust et ses pages associées porteront toujours cette marque de sécurité.
Jeudi prochain, nous examinerons quatre autres pratiques qui garantiront la protection de votre identité électronique, limitant ainsi au maximum le risque que des personnes non autorisées accèdent à vos transactions ou actifs en ligne.