L’art du courriel 101: la cyberhygiène
Nous avons connu récemment des problèmes de virus qui ont nécessité des interventions lourdes et complexes de la part de notre service informatique. La problématique principale fut que certains postes de travail contaminés expédiaient des milliers de spam partout sur la planète, ce qui a provoqué la mise sur liste noire (blacklisté, en latin) du serveur inrs.ca. Ceci explique les courriels qui ne pouvaient plus être expédiés à nos partenaires, car leur sécurité nous bloquait.
Ces virus (cheval de Troie, vers, etc.) proviennent vraisemblablement d’un ou de quelques postes de travail qui ont été contaminés à l’intérieur du pare-feu.
Le pare-feu est ni plus ni moins qu’un condom virtuel qui nous protège des vilaines choses de la vie. Mais tout comme les condoms, il ne peut être 100% efficace sans être accompagné d’un comportement sécuritaire des usagers à l’intérieur du condom.
Ainsi, pour éviter de transformer à votre insu votre poste de travail en mitraillette à spam, quelques règles utiles de cyberhygiène :
- N’ouvrez jamais un fichier attaché douteux ou provenant de sources inattendus et/ou inconnus.
- Ne cliquez jamais sur un hyperlien douteux (du genre pour voir des photos de jeunes célibataires russes).
- Ne cliquez jamais sur les annonces pop-ups, même celle qui vous disent que votre poste est contaminé et qu’il faut vite installer un nouvel antivirus. Si vous avez le moindre doute, contactez plutôt le service informatique.
- Mettez à profit le fait que vous êtes francophones, ce que les spammeurs ignorent généralement. Desjardins ou le gouvernement du Canada ne vous écriront pas en anglais (à moins que vous n’en ayez fait le choix conscient). Si vous recevez un courriel en anglais d’une institution bancaire québécoise qui traite généralement avec vous en français, soyez suspicieux.
- Il existe plusieurs types de courriel d’hameçonnage (i.e. c’est vous le poisson qu’on veut pêcher…)
- Vous êtes finaliste ou gagnant d'un concours (auquel vous ne vous êtes jamais inscrit).
- Il y a eu une tentative d'intrusion dans votre ordinateur (ex. : une heure et une adresse IP fictives vous sont fournies).
- Vous devez mettre à jour vos renseignements personnels sans quoi votre compte sera gelé ou expirera
- Une fraude a été faite dans votre compte et, sans une validation de votre part, vous en serez tenu responsable.
- Vous devez vous inscrire à un service de sécurité en ligne.
- etc.
Ces courriels comportent un lien qui semble bel et bien authentique, menant vers un faux site ressemblant à s’y méprendre à celui de votre institution financière (genre AccèsD mais sur un serveur en Pologne). Si vous vous branchez à ce faux site, le pirate récupère vos informations personnelles et va, dans le vrai site, se servir à même votre compte avec les identifiants que vous lui aurez gentiment donnés.
Il est généralement possible de détecter la fausseté de ces liens. Pour se faire, placez votre curseur sur le lien (sans cliquer…!!); Outlook vous ouvrira une petite fenêtre qui vous indiquera le lien réel qui se cache en dessous (voir image). Le même lien réel se trouve également en bas de la fenêtre Outlook.
Les institutions sérieuses (financières, gouvernementales ou autres) ne communiquent jamais avec vous par courriel pour l'un ou l'autre des motifs indiqués ci-haut. Si vous recevez ce type de demande, ne répondez pas à ce courriel, ne cliquez pas sur les liens affichés et n'ouvrez pas les pièces jointes.
Également, par prudence, n'accédez pas au site de votre institution financière à partir d'un résultat de recherche (Google, etc.). Tapez toujours l'adresse directement dans la boîte de navigation en haut de l’écran. Cela vous évitera de tomber sur un faux site. De plus, assurez-vous que cette adresse sécurisée commence bien par https:// (le s signifiant ici sécurisé)
Sources principales :
