Gérer la sécurité de ses comptes bancaires, les mauvaises habitudes à perdre
Si les atteintes à la cybersécurité touchent principalement les entreprises, les individus eux-mêmes et leurs comptes ne sont pas à l'abri d'une attaque ciblée, qui vise la plupart du temps leurs actifs bancaires. Pour s'en prémunir et protéger votre argent, mieux vaut partir de ce que vous faites mal, pour découvrir ce que vous pourriez faire mieux.
Et comme on trouvait que cet article n’était pas encore assez anxiogène, on a rajouté quelques exemples des menaces les plus courantes qui planent sur vos actifs bancaires.
1. Ne jamais consulter son application bancaire
Vous disposez d’une application bancaire pour accéder à vos comptes, mais n’y prêtez pas vraiment attention ? Même si vous pensez être dans le rouge, et que vous avez peur de ce que vous allez voir, la première erreur est de ne jamais consulter l’état de ses finances, et surtout des dépenses que vous réalisez. Car si une erreur ou une malversation s’y glisse, comment ferez-vous pour réagir si vous n’avez pas l’information, tout simplement ?
Pour maîtriser son budget, suivre ses dépenses, et pour vérifier que vous comprenez bien toutes les lignes des opérations qui sont réalisées à partir de votre compte bancaire, il est donc important de consulter très régulièrement sa banque, ce qui est très facile à faire en ligne quand vous disposez d’une application ou d’un espace client dédié.
2. Ne jamais faire de mise à jour
Autour de nous se sont multipliés les appareils électroniques, intégrant des logiciels qui sont tous deux exposés à des failles de sécurité multiples. Pour s’en préserver, et éviter que des pirates informatiques n’exploitent ces failles, les fabricants et éditeurs de logiciels améliorent en permanence la sécurité de leurs systèmes. Votre seule mission, si vous l’acceptez : réaliser les mises à jour qu’ils mettent à votre disposition, pour profiter de la dernière version disponible et donc d’une sécurisation maximale.
Attention tout de même ici à vérifier que les mises à jour téléchargées ou exécutées proviennent bien des fabricants ou éditeurs, ou d’un tiers de confiance habilité par ces derniers.
[MENACE] Le skimming
Venu de l’anglais “skim” qui signifie "écrémer'', le skimming consiste à prendre le contrôle d’automates et autres terminaux de paiement (distributeurs de billets, terminaux de paiement de la restauration…). Par un équipement introduit dans ces automates ou placé à proximité, le but du skimming est de copier les données contenues sur la piste magnétique de la carte bancaire, et au passage d’en récupérer le code confidentiel, pour vider les comptes de la victime. Machinalement, vous regardez toujours derrière vous lorsque vous faites votre code ? Vous avez peut-être raison.
[MENACE] Les aspirateurs de données personnelles
Noms, dates de naissance, lieux de naissance ou lieux de travail, coordonnées (courriels, numéros de téléphone, adresses…) : des données qui sont aujourd’hui convoitées par des attaques massives visant les systèmes de sécurité de réseaux sociaux, de fournisseurs d’accès à internet, d’institutions publiques…. En 2018, ce sont près de 29 millions d’utilisateurs de Facebook qui se sont ainsi vus voler les données personnelles attachées à leurs comptes sociaux, en une seule attaque. Pour quoi faire, personne n’en sait rien. Mais on se doute tous que ce n’est pas juste pour l’amour du sport.
3. Ne pas prêter attention aux détails (orthographe, émetteur d'un message, identité d'un interlocuteur...)
Votre boîte mail s’internationalise ? De nouvelles (mais vagues) connaissances se manifestent et vous demandent de l’aide, de l’argent, ou des informations par voie de courriel ? Ils font pas mal de fautes d’orthographe, c’est vrai, mais après tout qui êtes-vous pour juger ?
Dans des environnements digitaux (client mail, réseaux sociaux, application...), on perd parfois une bonne vieille habitude : se méfier de tout ce qu’on ne connaît pas. Sans céder forcément à la paranoïa, on ne saurait trop vous conseiller de prêter attention aux signaux qui peuvent révéler la présence d’une tentative de piratage, pour voler vos données personnelles et bancaires, et in fine prendre la main sur vos comptes et voler votre argent :
● informations sur votre état civil (nom, prénoms, numéro de carte d'identité, passeport, sécurité sociale…) ou vos revenus
● demande d’informations complémentaires pour valider un paiement que vous croyez déjà avoir effectué
● demande de connexion à un espace client où vous allez devoir renseigner vous-mêmes des données soit-disants “manquantes”
● demande d’envoi de paiement sous forme d’argent liquide ou d’un mandat cash (plus grossière celle-là, on vous l’accorde).
Vérifiez bien chaque ligne, et notamment celles écrites en tout petit. Les cybercriminels sont fainéants comme tout le monde, et manquent parfois de persévérance. Ce sont dans les petits détails qui seront passés à la trappe que vous pourrez facilement les repérer.
En cas de doute, ne cliquez pas sur les liens contenus dans le mail qui vous semble suspect, même si le destinataire (par exemple votre banque) vous est connu, et ne téléchargez jamais les pièces jointes qu’ils contiennent.
[MENACE] Les rançongiciels
Les rançongiciels, ou “ransomware” en anglais, sont des logiciels malveillants qui vont en gros prendre en otage vos données personnelles, et pourquoi pas bancaires. Ils les cryptent, puis ensuite soutirent à la victime le paiement d’une rançon en échange de leur décryptage. Un autre mode opératoire, classé dans la catégorie des rançongiciels, est de bloquer l’accès de tout utilisateur à une machine jusqu’au paiement d’une somme d’argent, qui déclenche ensuite l’envoi à la victime d’une clé ou d’un outil de déblocage. Ces rançongiciels, très courants, sont capables de s’attaquer aux documents, aux images, aux disques durs, aux disques partagés sur des réseaux locaux, aux clés USB et même aux fichiers synchronisés dans un cloud. Depuis quelques années, les attaques par rançongiciel semblent davantage cibler les grandes entreprises ayant la capacité de payer des rançons très élevées. Cela dit, comme on n’arrête pas le progrès en termes de cyberattaque, mieux vaut se préparer à avoir des déclinaisons pour les individus également.
4. Ne pas s'alarmer (ni alerter les autres)
On vous a toujours dit de ne pas crier au loup ? Comme tous les principes généraux, celui-là doit également être précisé, notamment en matière de protection de vos comptes, et de sécurité de vos finances. On ne crie pas au loup, sauf quand on a de bonnes raisons de le faire. Et dans le cas de vos comptes bancaires, c'est-à-dire de votre argent, un simple doute justifie de donner l’alerte, ou a minima une demande d’information.
Vos dépenses augmentent étrangement ? Vous avez un doute sur une opération ou une ligne dans votre relevé de compte ? Parlez-en en priorité avec votre banque, qui doit logiquement tout mettre en œuvre pour clarifier les choses, vous rassurer et pousser plus loin l’investigation en cas de besoin. C’est en tout cas notre point de vue chez Oney.
[MENACE] Les malware bancaires
Une cyberattaque qui concerne directement les applications bancaires, comme son nom l’indique. Encore une fois, il s’agit d’un logiciel malveillant conçu pour attaquer les applications bancaires installées sur des ordinateurs, des tablettes, des smartphones… Et bien évidemment tenter de voler les données personnelles que votre banque utilise, voire encore mieux, directement piller l’argent qui se trouve sur le ou les comptes bancaires de la victime.
5. Ne pas sécuriser ses connexions
Avant d’accéder à l'application de votre banque ou à votre espace client, et d’ailleurs avant toute navigation sur le web, demandez-vous si la connexion que vous utilisez (là, tout de suite) ne pourrait pas être plus sécurisée.
Les grands principes d’une connexion sécurisée
Logiquement , si vous faites tout ça, ça devrait bien se passer :
● utiliser un navigateur web sécurisé, et mis à jour régulièrement (pensez à vérifier que vous utilisez bien la dernière version disponible)
● utiliser un moteur de recherche sécurisé, qui ne récolte pas de données sur ses utilisateurs, Qwant par exemple.
● penser à supprimer les cookies et l’historique de vos visites sur des sites internet
● Attentions aux fenêtres surgissantes qui s’ouvrent dans votre navigateur quand vous consultez un site
● utiliser un réseaux Wifi sécurisé, notamment par le choix d’un mot de passe complexe
● s’équiper éventuellement d’un Virtual private network (VPN), qui permet de crypter l’ensemble des informations transitant entre votre ordinateur et le Web
Méfiez vous des réseaux Wifi publics
Pratiques quand vous êtes à l’extérieur, l’utilisation de connexions Wifi publiques représente une sévère multiplication des risques, due aux nombreuses failles de sécurité dont ces réseaux peuvent être entachés : non-chiffrement du réseau, diffusion plus facile de malwares, existence de hotspot malveillants….
Quand vous le pouvez, privilégiez tout simplement une connexion 3G, 4G ou 5G, qui sera toujours mieux sécurisée, même si pas totalement infaillible non plus.
[MENACE] Le jackpotting
Une attaque logicielle originale et efficace, qui permet de “vider” littéralement le contenu d’un distributeur automatique de billets sans s’attaquer aux comptes personnels des clients de la banque eux-mêmes. L’introduction du logiciel dans le module informatique de l’automate se fait soit physiquement, par un câble introduit après avoir percé la façade du distributeur, soit à distance. On pourrait penser que c’est d’un autre temps, mais ces dernières années, les attaques par jackpotting ont en réalité considérablement augmenté et touche de nombreuses banques de par le monde.
6. Ne jamais changer de mot de passe
Comment savoir si mon mot de passe est valable ?
Votre mot de passe n’est pas valable s’il entre dans l’une de ces catégories :
● C’est le même partout, pour toutes vos applications et services pour lesquels vous avez besoin d’un mot de passe.
● Il est basé sur des informations basiques, facilement accessibles à un hacker débutant ou à un minitel trafiqué en calculateur de mot de passe (date de naissance, prénom de vos proches, numéro de sécurité sociale, code postal, suite numérique du style “1234”...)
● Votre conjoint le connaît, votre grand-mère le connaît, même votre coiffeur le connaît
● Il est écrit sur un post-it collé sur le clavier de votre ordinateur portable.
Vous vous sentez forcément concerné. Pas la peine de vous voiler la face. Un mot de passe doit être complexe, constitué de signes divers (chiffres + lettres + ponctuation) qui n’auront de sens que pour vous et qui ne seront donc connus ou accessibles que de vous.
Stockez-les sur des terminaux ou des logiciels sécurisés
Si vous avez peur d’avoir des trous de mémoire, sachez qu’il existe des logiciels spécialisés dans la gestion des mots de passe. Fonctionnant tous à partir d’un mot de passe maître (le seul que vous aurez donc à retenir), ils permettent de centraliser et même de mémoriser pour vous l’ensemble de vos mots de passe, en les associant aux applications utilisées. Certains fonctionnent en local, et d’autres sont intégrés sous la forme de plugins à votre navigateur Web :
● Dashlane
● RoboForm
● Keeper
● Sticky PAssword
● 1Password
● LastPass
● Kaspersky
● KeePass
Déchargez votre charge mentale sur ces logiciels qui sont là pour ça, et sont gérés par des professionnels de la sécurité des données.
Bien connu mais de plus en plus sophistiqué, le phishing (ou hameçonnage) est le fait d’endosser l’identité d’un tiers de confiance pour soutirer des informations personnelles à la victime. Le tiers de confiance est souvent une institution (Etat, banque, fournisseur d’accès à internet…) et les données personnelles visées sont de nature très variée : mots de passe bien sûr, mais aussi numéros de carte de crédit, numéros ou photocopies de carte nationale d’identité, dates de naissance…
Le phishing peut se faire par mail, par réseau social interposé, ou encore par SMS. Il s’agit en général d’une attaque massive, automatisée et visant plusieurs milliers de personnes. Quand l’attaque est plus ciblée, et porte sur un individu en particulier, on parle plutôt de “spear-phishing”. Si vous avez un doute sur un site, le service Phishing Initiative permet à tout internaute de lutter contre les attaques de phishing, en signalant des URL suspectes.