Données personnelles: se protéger

• Piratage informatique (hacking) : l'ensemble des activités visant à compromettre des appareils électroniques (ex. objets connectés) ou des réseaux informatiques. Les profils, les moyens employés et les motivations (argent, politique, humour, vengeance, etc.) sont vastes.

• Fuites de données (data breaches) : souvent produit à la suite d'un piratage informatique, les informations personnelles (identifiants et mots de passe, mais parfois adresse civile, date de naissance, coordonnées bancaires, numéro d'assurance sociale, etc.) de la banque de données d'une compagnie ou d'un organisme copiées par des cybercriminels et rendues disponibles à des personnes malveillantes.

Il en arrive régulièrement; pour jeter un oeil aux principales, voir cette visualisation de Information is Beautiful.

Le site haveibeenpwned (ou Firefox Monitor) permet de vérifier si votre adresse courriel est associée à une fuite de données connue.

• Vol d'identité (identity theft) : un type d'activité criminelle qui consiste, après s'être approprié des renseignements personnels, à usurper l’identité d’une ou plusieurs personnes pour de la fraude; par exemple, l'obtention d'une prestation (assurance chômage, PCU) ou d'une carte de crédit associée à une autre personne pour réaliser des achats.

Si vous pensez être victime d'un vol d'identitié ou de toutes autres types de fraude, consultez ce lien pour connaitre les conseils à suivre selon le Centre antifraude au Canada.

• Divulgation de données personnelles (doxing, doxxing) : "Les renseignements personnels sont habituellement recherchés en ligne ou sur les réseaux sociaux, souvent dans le but de nuire à une personne. L'auteur du délit peut vouloir, par exemple, se venger, punir ou dénoncer des gestes allégués de sa victime". (OQLF)

• Maliciels (malware) : logiciels malveillants conçus pour s'infiltrer dans vos appareils pour accéder au contenu, voire le contrôler. Il en existe de nombreux types, notamment :
  • Virus : maliciel qui infecte votre appareil en insérant son code dans un programme ou un fichier; il nécessite une interaction humaine pour se propager : un virus reste en sommeil jusqu'à ce que vous le déclenchiez en exécutant le fichier puis emprunte les ressources de votre système pour se copier et se propager
  • Ver : maliciel qui s'apparent au virus mais ayant la capacité de se propager de manière indépendante, c'est-à-dire sans être attaché à un fichier ou un programme hôte
  • Cheval de Troie : "programme malveillant qui prend l'apparence inoffensive d'un logiciel ou d'un fichier légitime. Il dissimule un parasite dont le rôle est de voler secrètement vos données et de nuire à votre système sous l'aspect du logiciel légitime qu’il simule" (Serene-Risc)
  • Logiciel espion (spyware, stalkerware) : type de maliciel qui a pour but d'espionner vos faits et gestes, vos déplacements et communications; voir ce billet de blogue de Malwarebytes
  • Rançongiciel (ransomware) : type de maliciel qui a pour but de prendre en otage les fichiers de votre appareil
  • Enregistreur de frappe (keylogger) : "logiciel malveillant qui enregistre chacune des touches utilisées sur le clavier d'un ordinateur" (OQLF); par exemple, les identifiants pour accéder à un compte bancaire

• Usurpation (spoofing) :
  • d'une adresse courriel ou d'un numéro de téléphone ;
    • Par exemple, l'adresse d'où origine ce courriel vous semble-t-elle légitime ?  (les lettres r et n donnent l'illusion de former la lettre m)
  • d'un point d'accès Wi-Fi (fake WiFi hotspot) ;
    • Méfiez-vous des accès gratuits à Internet (Wi-Fi publics, commerces, etc.) : à moins d'avoir une connection chiffrée (par exemple à l'aide d'un VPN fiable), on pourrait espionner toutes vos communications; il est préférable de ne jamais inscrire d'information sensibles à partir de ces réseaux.
  • d'un domaine (website spoofing ou pharming) ;
    • On cherche souvent à mimer un site connu tel celui d'une banque ou d'une compagnie. S'accompagne souvent d'une URL frauduleuse (adresse légèrement différente; p. ex. www.g00gle.ca) ou d'un code QR frauduleux pour vous y attirer.

• Piratage psychologique (social engineering) : ensemble de techniques criminelles d'usurpation d'identité dans le but :
  • soit de gagner votre confiance et d'obtenir des informations personnelles (date de naissance, mots de passe, numéro de carte de crédit, etc.) dans un but de fraude; par exemple, quelqu'un se faisant passer pour un employé du gouvernement et qui demande votre numéro d'assurance social. Morderez-vous ?
  • soit de vous faire installer un maliciel en cliquant sur un lien ou une pièce jointe.

Le piratage psychologique peut se faire par large diffusion (courriel ou message texte), ce que l'on appelle le hameçonnage (phishing), ou de manière ciblée et personnalisée (courriel, message texte ou sur les réseaux sociaux), le harponnage (spear phishing).

Seriez-vous porté à cliquer en recevant ceci par courriel ?

Une adresse courriel, une URL (adresse Web), une URL raccourcie ou un code QR (pour quick response, en français code-barres bidimensionnel) peuvent comporter des risques, notamment servir à du hameçonnage ou à l'installation d'un logiciel malveillant.

On clique ou pas ? On balaye ou pas ? La prudence est toujours de mise, il vaut donc mieux vérifier ce qui se cache derrière.

Pour vérifier une adresse courriel ou une URL :

• Le site ScamDoc offre une analyse résultant en un indice de confiance en pourcentage

Pour voir où mène une URL raccourcie :

• Dans tous les cas, on peut utiliser un vérificateur Web, tel que https://unshorten.it/
• Avec TinyUrl : il suffit d'ajouter "preview." devant l'url :

                    Ex. https://preview.tinyurl.com/4bbswd5f

• Pour bitly (et goo.gl) : ajouter un "+" à la fin de l'url :

                    Ex. https://bit.ly/3odWJze+