Glossaire relatif à la confidentialité

Spoofing

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Qu’est-ce que le spoofing ?

Le spoofing, ou attaque par usurpation d’identité, est la falsification de données ou d’informations pour tromper ou induire en erreur ; souvent lors d’une cyberattaque. Un acteur malveillant falsifiera une communication (comme un SMS ou un e-mail) ou un site Web pour paraître légitime. L’intention est de tromper sa cible afin qu’elle fournisse des données ou de l’argent, qu’elle accède à un système, ou qu’elle installe un logiciel malveillant.

L’attaque par usurpation d’identité est souvent une partie intégrante de l’ingénierie sociale. Ici, la falsification est le mensonge initial qui attire quelqu’un. La falsification peut impliquer un e-mail, un texte, un numéro de l’appelant déguisé, ou même un faux site Web. Le but final est de tromper une personne pour qu’elle baisse sa garde et fasse quelque chose de dangereux (par exemple, divulguer des informations sensibles, installer un logiciel malveillant, ou similaire). Une falsification peut aussi être utilisée pour tromper les protocoles de sécurité d’une entreprise et accéder à des systèmes ou des données sensibles.

Bien qu’il existe de nombreux types d’attaques par usurpation d’identité, elles ont toutes un point commun : le succès de l’attaque repose à la fois sur la qualité de l’identité usurpée et sur la confiance ou l’inattention momentanée de la cible. Voyons quelques-uns des types les plus courants d’attaques par usurpation d’identité ciblant des individus.

Usurpation d’identité par e-mail

Un e-mail de spam où la fraude réside dans le « nom » de l’expéditeur. Souvent, le nom semblera légitime ou familier. De plus, l’e-mail lui-même contiendra d’autres éléments reconnaissables, comme un logo d’entreprise. L’attaquant peut même utiliser l’e-mail du destinataire comme expéditeur, par exemple, pour convaincre le destinataire que son e-mail ou son ordinateur a été « piraté ».

Le corps de l’e-mail tentera de persuader le destinataire d’effectuer une action, telle que répondre avec certaines informations ou documents. Il peut y avoir un lien vous dirigeant vers un site Web (faux) pour réclamer un prix ou se connecter à une version soigneusement contrefaite d’un site Web que vous utiliseriez normalement pour accéder à votre compte. Ni l’adresse e-mail ni le site Web ne sont réellement ce qu’ils prétendent être, et si vous suivez les instructions, vous fournirez au fraudeur des informations qu’il ne devrait pas avoir.

Comment se défendre contre l’usurpation d’identité par e-mail

  • Lorsque vous lisez l’e-mail, regardez l’adresse réelle d’où vient l’e-mail et non seulement le nom de l’expéditeur. Souvent, le nom semblera normal, mais l’adresse e-mail sera légèrement incorrecte.
  • Ne répondez pas à un e-mail douteux. Si vous souhaitez suivre ce qui semble être l’expéditeur, commencez un nouvel e-mail en utilisant une adresse e-mail stockée dans votre carnet d’adresses.
  • Soyez critique quant au contenu ; examinez de près les logos, la grammaire et l’orthographe.
  • Faites une recherche Internet sur un terme ou une phrase de l’e-mail. Il y a de fortes chances que quelqu’un ait déjà reçu cette fraude et publié un avertissement à ce sujet.
  • Pour éviter de recevoir ces e-mails, utilisez les filtres de spam intégrés dans votre outil de messagerie.
  • Pour réduire l’exposition de votre adresse e-mail, et donc l’opportunité pour les fraudeurs de la trouver et de l’utiliser, utilisez une adresse e-mail jetable pour les interactions Web sans importance. Gardez votre “vrai” e-mail uniquement pour les communications professionnelles et personnelles nécessaires.

Usurpation d’identité par site Web

Une arnaque de hameçonnage (phishing) qui crée un faux site Web (comme l’URL et le contenu) qui ressemble beaucoup à la réalité. Les objectifs d’un site Web contrefait sont de voler des informations de connexion ou de télécharger un logiciel malveillant sur votre ordinateur. Un site web usurpé est souvent lié dans un courriel usurpé.

Comment se défendre contre l’attaque par usurpation d’identité sur les sites web

  • Activez la fonctionnalité de « navigation sécurisée » (Safe Browsing) dans votre navigateur web. Tous les principaux navigateurs, comme Brave, prennent en charge cette fonctionnalité, qui peut vous avertir si vous êtes sur le point de visiter un site de hameçonnage connu.
  • Utilisez un gestionnaire de mots de passe. Un gestionnaire de mots de passe n’entrera pas les informations d’identification de connexion pour un site légitime dans une URL usurpée. La tentative de connexion échouera simplement et vous en serez informé.
  • Avant de cliquer sur un lien, vérifiez l’orthographe de l’URL. Par exemple, assurez-vous de cliquer sur example.com plutôt que sur exampel.com. Encore mieux, tapez l’URL directement dans le navigateur et ne cliquez pas sur les liens du tout.
  • Si vous cliquez sur un lien, vérifiez l’authenticité du site web. Les logos ou les couleurs semblent-ils incorrects ? La mise en page ou le choix de la police est-il excessivement simplifié ?
  • Vérifiez la barre d’adresse du navigateur pour « https:// » (et non « http:// »).

Attaque par usurpation d’identité de l’appelant

Aussi appelée « attaque par usurpation d’identité de voisinage », cette attaque manipule le système d’identification de l’appelant pour afficher un numéro de téléphone local ou le nom d’une entreprise ou d’une agence connue. Lorsqu’un destinataire répond, il peut entendre une personne en direct ou un message enregistré ; mais dans tous les cas, l’appel est conçu pour surprendre les gens et les amener à réagir rapidement avant de pouvoir évaluer l’authenticité. L’objectif final de l’attaque par usurpation d’identité de l’appelant est souvent de voler de l’argent ou des données personnelles.

Comment se défendre contre l’attaque par usurpation d’identité de l’appelant

  • Si vous ne reconnaissez pas le numéro sur votre identification de l’appelant, ne décrochez pas ; laissez l’appelant laisser un message.
  • Si vous décrochez et réalisez que c’est du spam, n’engagez pas de conversation avec la personne et ne pressez pas les touches de votre clavier. Raccrochez immédiatement.
  • Si l’appel prétend être d’une entreprise ou d’une agence mais que vous êtes suspicieux, ne donnez aucune information. Au lieu de cela, raccrochez et rappelez l’entreprise en utilisant un numéro provenant d’une source légitime, comme un site web officiel.
  • Vous pouvez bloquer certains de ces appels en utilisant les outils disponibles via votre service téléphonique. Certains prestataires de services bloquent automatiquement les appels automatisés, mais c’est une cible mouvante et les fournisseurs ne peuvent pas tout bloquer.

Attaque par usurpation d’identité par message texte

Fait partie d’une escroquerie par prétexting dans laquelle le nom de l’expéditeur du message texte est falsifié pour qu’il semble provenir d’une personne ou d’une entreprise familière. Comme pour d’autres attaques par usurpation d’identité, le but est d’amener un destinataire à lire un message et à fournir des données personnelles ou à cliquer sur un lien conduisant à un site web usurpé.

Comment se défendre contre l’attaque par usurpation d’identité par message texte

  • Ne répondez pas directement à un message texte suspect. Si le message texte semble provenir de quelqu’un que vous connaissez, écrivez-leur directement en utilisant les informations de contact enregistrées dans votre téléphone. Si le message texte semble provenir d’une entreprise, appelez directement l’entreprise et parlez à quelqu’un sur place.
  • Ne cliquez pas sur les liens fournis dans les messages texte, surtout ceux qui vous demandent de réinitialiser votre mot de passe. Si vous n’êtes pas sûr de la légitimité du message, visitez le site web en tapant l’URL correcte directement dans votre navigateur.

Attaque par usurpation d’identité des extensions de fichier

Les extensions de fichier usurpées semblent sûres; cependant, elles installent en réalité des logiciels malveillants. The file name may appear harmless, something like “funphoto.jpg” or similar. Cependant, il s’agit en fait d’une attaque par usurpation d’identité pour déguiser un fichier « .exe » malveillant, qui peut exécuter un fichier exécutable installant un logiciel malveillant.

Comment se défendre contre les attaques par usurpation d’identité d’extension de fichier

  • Soyez prudent avec les pièces jointes ou les liens vers des fichiers cloud, même ceux qui semblent sûrs. Si vous ne connaissez pas l’expéditeur, n’ouvrez aucune pièce jointe.
  • Assurez-vous que vous voyez le nom de fichier complet et non un nom tronqué basé sur les paramètres du logiciel.
  • Si l’expéditeur paraît familier mais que vous n’attendiez pas de fichier de sa part, contactez-le (en utilisant les informations de contact de votre carnet d’adresses) pour demander s’il a envoyé quelque chose.
  • Maintenez à jour le logiciel antivirus sur votre appareil pour vous protéger contre l’exécution de fichiers .exe (au cas où vous les auriez accidentellement téléchargés).

Attaques de l’homme du milieu

Une attaque par usurpation d’identité où une personne malveillante s’interpose entre deux personnes ou une personne et un site web. Le but est d’intercepter les informations partagées ou de manipuler les parties pour qu’elles divulguent des informations. Un exemple courant d’homme du milieu est de créer un faux réseau Wi-Fi public avec un nom similaire à un réseau de confiance (par exemple, «caffee-WiFi» au lieu de «cafe-WiFi»). En utilisant le Wi-Fi usurpé, la cible expose toute son activité internet à l’attaquant. L’attaquant peut simplement collecter les informations (comme un nom d’utilisateur et un mot de passe) et les utiliser pour accéder à un site web visé, ou même modifier les informations avant qu’elles ne soient envoyées.

Comment se défendre contre les attaques de l’homme du milieu

  • Assurez-vous de choisir le bon réseau Wi-Fi.
  • Si vous utilisez un Wi-Fi non protégé par mot de passe, utilisez une connexion VPN pour une sécurité supplémentaire.
  • Lorsque vous êtes sur un Wi-Fi public, ne partagez pas d’informations personnelles par email ou par texte. Assurez-vous que les sites web disposent d’un certificat (indiqué par une icône de cadenas dans l’URL ou la barre d’adresse) avant d’y saisir des informations personnelles.

Autres types d’attaques par usurpation d’identité

Voici quelques autres types d’attaques par usurpation d’identité qui sont soit moins courants, soit ciblent des entités plus grandes plutôt que des individus. Il s’agit notamment de :

  • Adresse IP : L’attaquant dissimule sa véritable localisation en utilisant une fausse adresse IP. Cela peut être fait pour donner l’impression qu’il est déjà sur le réseau cible. Cette fausse localisation n’est pas bloquée par la sécurité réseau, donc l’attaquant obtient l’accès au réseau.
  • Géo-localisation : Le pirate utilise un VPN pour prétendre qu’il se trouve ailleurs que sa véritable localisation. Cette attaque par usurpation d’identité est souvent utilisée pour contourner les limitations d’accès au contenu, comme le streaming de contenu accessible uniquement dans une certaine zone.
  • DNS : Le pirate modifie les données sur la table DNS qui achemine les requêtes Internet, redirigeant ainsi le trafic d’un site web légitime vers leur site web copie frauduleuse par attaque par usurpation d’identité. Cela peut également se produire localement ; un virus peut installer une fausse correspondance de nom de domaine sur le disque dur de votre ordinateur (dans le fichier «hosts»). Par défaut, toute correspondance d’adresse IP dans le fichier «hosts» est utilisée à la place des informations de la table DNS.
  • ARP (protocole de résolution d’adresse) : Similaire à une attaque DNS, mais le reroutage se produit au sein d’un réseau local.
  • GPS : Les signaux d’un système de navigation comme le GPS sont falsifiés pour faire croire à quelqu’un qu’il se trouve ailleurs ou qu’il a emprunté un autre itinéraire. Peut être utilisé pour la guerre, le vol de services (applications de transport et de livraison) ou même pour tricher lors de sports ou de jeux.

Prêt à braver le nouvel Internet avec Brave ?

Brave a été conçu par une équipe de pionniers du Web axés sur les performances et la confidentialité. Aidez-nous à rendre la navigation meilleure.