Lorsque vous vous connectez à un système, celui-ci vous demande un identifiant (en anglais login ou username) et un mot de passe (en anglais password) pour y accéder. Ce couple identifiant/mot de passe forme ainsi la clé permettant d'avoir accès au système.

Si l'identifiant est généralement automatiquement attribué par le système ou son administrateur, le choix du mot de passe est souvent laissé libre à l'utilisateur. Ainsi, la plupart des utilisateurs, estimant qu'ils n'ont rien de vraiment secret à protéger, se contentent d'utiliser un mot de passe facile à retenir (par exemple leur identifiant ou leur date de naissance).

Or, si les données sur le compte de l'utilisateur n'ont pas de caractères stratégiques, l'accès au compte de l'utilisateur peut constituer une porte ouverte vers le système tout entier pour tout pirate un tant soit peu expérimenté. En effet, dès lors qu'un pirate obtient un accès à un compte d'une machine, il lui est possible d'élargir son champ d'action en obtenant la liste des utilisateurs autorisés à se connecter à la machine. A l'aide d'outils de génération de mots de passe, le pirate peut essayer un grand nombre de mots de passe générés aléatoirement ou à l'aide d'un dictionnaire (éventuellement une combinaison des deux). S'il trouve par hasard le mot de passe de l'administrateur, il obtient alors toutes les permissions sur la machine ...

De plus, le pirate peut éventuellement obtenir un accès sur le réseau local de la machine, ce qui signifie qu'il peut dresser une cartographie des autres serveurs côtoyant celui sur lequel il a obtenu un accès.

Les mots de passe des utilisateurs représentent donc la première défense contre les attaques envers un système, c'est la raison pour laquelle tout utilisateur se doit de choisir un mot de passe suffisamment compliqué pour qu'il ne puisse pas être deviné.

Il est aisément compréhensible que plus un mot de passe est long, plus il est difficile à décrypter. D'autre part, un mot de passe avec uniquement des chiffres sera beaucoup plus simple à décrypter qu'un mot de passe contenant des lettres:

Prenons un mot de passe de 4 chiffres, il y a 10*10*10*10=10 000 possibilités, cela vous semble beaucoup? En fait un mot de passe de ce type se décrypte extrêmement rapidement.
On lui préfèrera un mot de passe de 4 lettres (26*26*26*26=456 976 possibilités).
On préfèrera encore plus un mot de passe mêlant chiffres et lettres, ou raffinement suprême: des chiffres, des lettres, des majuscules et des caractères spéciaux.

Mots de passe à éviter:

• votre login (identifiant)
• votre nom
• votre prénom ou celui d'un proche (conjoint, enfant, ...)
• un mot du dictionnaire
• un mot à l'envers (les pirates ne sont pas dupes)
• un mots suivi de l'année en cours ou d'une année de naissance (exemple: password1999)

Il n'est pas sain d'avoir un seul mot de passe, au même titre qu'il ne serait pas sain d'avoir comme code de carte bancaire le même code que pour son téléphone portable et que le digicode en bas de l'immeuble.

Il est donc conseiller de se créer plusieurs mots de passe par catégorie d'usage, en fonction de la confidentialité du secret qu'il protège. Le code de votre carte bancaire devra ainsi être utilisé uniquement pour cet usage. Par contre vous pouvez mettre comme code PIN de votre téléphone portable le même code que celui pour votre cadenas de valise.

De la même façon, lorsque vous vous inscrivez à un service en ligne demandant votre adresse électronique (par exemple la lettre d'information de SOCOTECH), il est fortement déconseillé de choisir comme mot de passe votre mot de passe pour accéder à votre messagerie car si vous tombez sur un webmaster peu scrupuleux, celui-ci pourra sans aucun problème avoir un oeil sur votre vie privée !

Le terme d'«ingénierie sociale» (en anglais «social engineering») désigne l'art de manipuler des personnes afin de contourner des dispositifs de sécurité. Il s'agit ainsi d'une technique consistant à obtenir des informations de la part des utilisateurs par téléphone, courrier électronique, courrier traditionnel ou contact direct.

L'ingénierie sociale est basée sur l'utilisation de la force de persuasion et l'exploitation de la naîveté des utilisateurs en se faisant passer pour une personne de la maison, un technicien, un administrateur, etc.

La meilleure façon de se protéger des techniques d'ingénierie sociale est d'utiliser son bon sens pour ne pas divulguer à n'importe qui des informations pouvant nuire à la sécurité de l'entreprise. Il est ainsi conseillé, quelque soit le type de renseignement demandé :

• de se renseigner sur l'identité de son interlocuteur en lui demandant des informations précises (nom et prénom, société, numéro de téléphone);
• de vérifier éventuellement les renseignements fournis ;
• de s'interroger sur la criticité des informations demandées.

Ainsi une formation et une sensibilisation des utilisateurs aux problèmes de sécurité peut s'avérer nécessaire.

Le «scam» («ruse» en anglais), est une pratique frauduleuse d'origine africaine, consistant à extorquer des fonds à des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un pourcentage. Cette arnaque est issue du Nigéria, ce qui lui vaut également l'appellation «419» en référence à l'article du code pénal nigérian réprimant ce type de pratique.

L'arnaque est classique : vous recevez un courrier électronique de la part du seul descendant d'un riche africain décédé il y a peu. Ce dernier a déposé plusieurs millions de dollars dans une compagnie de sécurité financière et votre interlocuteur a besoin d'un associé à l'étranger pour l'aider à transférer les fonds. Il est d'ailleurs prêt à vous reverser un pourcentage non négligeable si vous acceptez de lui fournir un compte pour faire transiter les fonds.

En répondant à ce type de message l'internaute s'enferme dans un cercle vicieux pouvant lui coûter de quelques centaines d'euro s'il mord à l'hameçon et même la vie dans certains cas.

En effet, deux cas de figures se présentent :

• Soit les échanges avec l'escroc se font virtuellement auquel cas celui-ci va envoyer quelques "documents officiels" pour rassurer sa victime et petit à petit lui demander d'avancer des frais pour des honoraires d'avocats, puis des frais de douanes, des frais de banque, etc.
• Soit la victime accepte, sous pression du cyberbandit, de se rendre dans le pays avec la somme en liquide auquel cas elle devra payer des frais pour pouvoir rester dans le pays, payer des frais de banque, soudoyer des hommes d'affaires, et ainsi de suite.
  Dans le meilleur des cas la victime rentre chez elle en avion délestée d'une somme d'argent non négligeable, dans le pire scénario plus personne ne la revoit jamais...

Objet: ASSISTANCE

GEORGES TRAORE
ABIDJAN,CÔTE D'IVOIRE.
AFRIQUE DE L'OUEST.

Bonjour,
Je vous prie de bien vouloir excuser cette intrusion qui peut paraître
 surprenante à première vue d'autant qu'il n'existe aucune relation entre nous.
Je voudrais avec votre accord vous présenter ma situation et vous
 proposer une affaire qui pourrait vous intéresser.

Je me nomme Georges TRAORE, j'ai 22 ans et le seul fils de mon Père
 Honorable RICHARD ANDERSON TRAORE qui était un homme très
riche, négociant de Café/Cacao basé à Abidjan la Capitale
Economique de la Côte d'Ivoire, empoisonné récemment par ses
associés.
Après la mort de ma mère le 21 Octobre 2000, mon père m'as pris
spécialement avec lui.
Le 24 Décembre 2003 est survenu le décès de mon père dans une
clinique privée (LAMADONE) à Abidjan.
Avant sa mort, secrêtement, il m'a dit qu'il a déposé une somme d'un
 montant de ($8,500,000) Huit Millions Cinq Cent Mille Dollars
Américains dans une valise dans une Compagnie de Sécurité
Financière en mon nom comme héritier.
En outre, il m'a dit que c'est par rapport à cette richesse qu'il a été
empoisonné par ses associés. Il me recommande aussi de chercher
un associé étranger qui pourrait honnêtement me faire bénéficier de
son assistance pour sauver ma vie et assurer mon existence.
- Changement de bénéficaire ;
- Servir de gardien ;
- Fournir un compte pour le transfert de fonds ;
- M'aider à le rejoindre dans son pays ;
- Investir dans un domaine profitable.
D'ailleurs, je vous donnerai 25 % et 5% serviront aux dépenses
éventuelles qui seront effectuées.
Je vous serai reconnaissante de pouvoir bénéficier de vos conseils
utiles .
NB : Je vous recommande de traiter cette affaire avec subtilités et
confidentialité vu la dégradation de la situation sociopolitique dans
laquelle nous vivons présentement.
Que Dieu vous bénisse !
GEORGES TRAORE.

Objet: NOTIFICATION D'APPROBATION


BUREAU DU DEPARTMENT INTERNATIONAL
DE TRANSFERT

A: M. H. HERMANN

RE:DEPARTEMENT D'OPÉRATION INTERNATIONALE

NOUS ACCUSONS RECEPTION DE VOTRE MESSAGE.

EFFECTIVEMENT, NOUS AVONS ETE INSTRUITS PAR LES ENFANTS KONE AFIN D'EFFECTUER
LE TRANSFERT DE LA SOMME DE $4 MILLIONS EN VOTRE FAVEUR.

NOUS VOUS REAFFIRMONS QUE CES FONDS ONT ETE DEPOSES A NOTRE BANQUE PAR MONSIEUR
KEVIN KONE QUI, AU MOMENT DU DEPOT, AVAIT MENTIONNE SA FILLE, ANGELA KONE COMME
L’AYANT DROIT.

A CET EFFET, LE CONSEIL D'ADMINISTRATION DU DÉPARTEMENT INTERNATIONAL DE
TRANSFERT DE LA COOPEC BANQUE PREND LA LIBERTÉ DE VOUS CONFIRMER LE PROCESSUS
D'APPROBATION DESDITS FONDS EN VOTRE FAVEUR. LA BANQUE DEMANDE LES DOCUMENTS
JURIDIQUES DE LA COUR DE JUSTICE ICI À ABIDJAN SIGNÉS PAR LE PRESIDENT DE LA
COUR JUSTICE POUR LÉGALISER LE PROCESSUS DE TRANSFERT; ET IL FAUT NOTER QUE
PUISQU'ELLE N’EST PAS LA SIGNATAIRE ORIGINALE DES FONDS DÉPOSÉS MAIS PLUTÔT SON
DÉFUNT PÈRE, LA BANQUE L’INVITE À FOURNIR LES DOCUMENTS JURIDIQUES CI-DESSOUS
ÉNUMÉRÉS PAR LA COUR DE JUSTICE POUR QUE NOUS PUISSIONS ADHÉRER À L'INSTRUCTION
AFIN DE FACILITER LE TRANSFERT DE CES FONDS DANS VOTRE COMPTE BANCAIRE.

CES DOCUMENTS SONT LES SUIVANTS:

1) UNE PROCURATION.
2) UN CERTIFICAT D'AUTORISATION DE LA COUR DE JUSTICE.
3) UNE ATTESTATION DE SOURCE DES FONDS

UNE FOIS QUE NOUS SERIONS EN POSSESSION DE CES DOCUMENTS LE TRANSFERT SERA
AUTOMATIQUE. SUR VOTRE RECONFIRMATION, NOUS VOUS METTRONS À JOUR DE LA LETTRE
D'AVIS DE TRANSFERT PAR L'INTERMÉDIAIRE DE NOTRE COMPTE AVEC NOTRE BANQUE
CORRESPONDANTE AFIN D'EFFECTUER LE TRANSFERT DANS VOTRE COMPTE.

SI VOUS EXIGEZ D'AUTRES CLARIFICATIONS, N'HESITEZ PAS A ME CONTACTER AU (225)
05 20 91 56 OU PAR MAIL. AIDEZ-NOUS À MIEUX VOUS SERVIR .

NOUS VOUS PRIONS DE CROIRE À L'ASSURANCE DE NOTRE CONSIDÉRATION DISTINGUÉE.

Lorsque l'on vous propose de gagner facilement de grosses sommes d'argent par Internet, il s'agit sans aucun doute d'une escroquerie. La meilleure solution est comme toujours de supprimer le message. Inutile de mener vous-même une bataille contre ces brigands, des services compétents de différents pays s'occupent déjà de ce genre d'affaires.

Le phishing (contraction des mots anglais «fishing», en français pêche, et «phreaking», désignant le piratage de lignes téléphoniques) est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes.

La technique du phishing est une technique d'«ingénierie sociale» c'est-à-dire consistant à exploiter non pas une faille informatique mais la «faille humaine» en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance.

Le mail envoyé par ces pirates usurpe l'identité d'une entreprise (banque, site de commerce électronique, etc.) et les invite à se connecter en ligne par le biais d'un lien et de metre à jour des informations les concernant dans un formulaire d'une page web factice aux couleurs du site original en prétextant par exemple une mise à jour du service, une intervention du support technique, etc.

Dans la mesure où les adresses électroniques sont collectées au hasard sur Internet, le message a généralement peu de sens puisque l'internaute n'est pas client de la banque de laquelle le courrier semble provenir. Mais sur la quantité des messages envoyés il arrive que le destinataire soit effectivement client de la banque.

Ainsi, par le biais du formulaire, les pirates réussissent à obtenir les identifiants et mots de passe des internautes ou bien des données personnelles ou bancaires (numéro de client, numéro de compte en banque, etc.).

Grâce à ces données les pirates sont capables de transférer directement l'argent sur un autre compte ou bien d'obtenir ultérieurement les données nécessaires en utilisant intelligemment les données personnelles ainsi collectées.

Lorsque vous recevez un message provenant a priori d'un établissement bancaire ou d'un site de commerce électronique il est nécessaire de vous poser les questions suivantes :

• Ai-je communiqué à cet établissement mon adresse de messagerie ?
• Le courrier reçu possède-t-il des éléments personnalisés permettant d'identifier sa véracité (numéro de client, nom de l'agence, etc.) ?

Par ailleurs il est conseillé de suivre les conseils suivants :

• Ne cliquez pas directement sur le lien contenu dans le mail, mais ouvrez votre navigateur et saisissez vous-même l'URL d'accès au service.
• Méfiez-vous des formulaires demandant des informations bancaires. Il est en effet rare (voire impossible) qu'une banque vous demande des renseignements aussi importants par un simple courrier électronique. Dans le doute contactez directement votre agence par téléphone !
• Assurez-vous, lorsque vous saisissez des informations sensibles, que le navigateur est en mode sécurisé, c'est-à-dire que l'adresse dans la barre du navigateur commence par https et qu'un petit cadenas est affichée dans la barre d'état au bas de votre navigateur, et que le domaine du site dans l'adresse correspond bien à celui annoncé (gare à l'orthographe du domaine) !

• Anti-Phishing Working Group

Vous recevez un courrier électronique indiquant que vous êtes l'heureux gagnant du premier prix d'une grande loterie d'une valeur de plusieurs (centaines de) milliers d'euro. Pour empocher le pactole il suffit de répondre à ce courrier.

Après une mise en confiance et quelques échanges de courriers, éventuellement avec des pièces jointes représentant des papiers attestant que vous êtes bien le vainqueur, votre interlocuteur vous expliquera que pour pouvoir toucher la dite somme, il faut s'affranchir de frais administratifs, puis viennent des frais de douane, des taxes diverses et variées, etc.

C'est de cette façon que ces cybertruands arrivent à extorquer des milliers d'euros à des internautes dupes de cette supercherie.

Toute loterie et tout jeu concours possède un règlement auquel on est en droit d'accéder. Qui plus est l'adresse électronique est généralement hébergée dans un service gratuit de messagerie. Enfin comment expliquer qu'il faille engager des frais pour toucher une somme si importante ?

Bref, le mieux est de glisser directement ce type de message à la corbeille !