Par Sandro Lüthi, directeur de l’École de la pomme

Les technologies numériques nous facilitent le quotidien. Qu’il s’agisse de courriels, d’e-banking en ligne, d’achats en ligne ou de smartphones – bien des choses sont aujourd’hui plus rapides et plus faciles que par le passé. Cependant, là où il y a de la lumière, il y a nécessairement de l’ombre. Les cybercriminels profitent de la numérisation toujours plus répandue pour tromper leurs victimes et accéder à des informations confidentielles. Pour les personnes aveugles et malvoyantes, il est peut-être plus difficile encore que pour d’autres de détecter à temps les signes de mise en garde. Le présent article explique à quoi être attentif – et comment se protéger grâce à des moyens simples, sans connaissances spécifiques préalables.

La confiance, c‘est bien – le contrôle, c‘est mieux
Bien des cyberattaques commencent par un e-mail, au premier abord anodin, qui pourrait émaner de la banque, de la poste ou d’un shop en ligne. Il invite son destinataire à activer un lien, à confirmer la livraison d’un colis ou à saisir un mot de passe. Il s’agit de courriels à risque d’hameçonnage. Truqués, ils ont pour unique but d’accéder aux données de leur destinataire. Les escrocs tentent aussi leur chance par SMS, Whats­App ou codes QR falsifiés. Parfois, ils téléphonent – soi-disant de la part de la police ou du service de support informatique d’une grande entreprise telle que Microsoft ou Apple. L’objectif est toujours le même : instaurer confiance et faire ­pression – pour extorquer des données personnelles.
Qu’est-ce qui rend ces attaques si dangereuses ? Elles semblent souvent provenir de source sérieuse et parviennent à tromper notre attention. Notre cerveau travaille au quotidien en mode automatique : nous cliquons rapidement d’une tâche à une autre, ne lisons pas tout précisément – et nous voilà piratés. Aussi vaut-il la peine, devant un courriel ou autre message inattendu, de s’y arrêter un instant. Le langage utilisé est-il singulier ? L’adresse de l’expéditeur étrange ? Faut-il agir rapidement ? Voilà des signes de possible escroquerie.

La protection commence petit à petit
Une bonne nouvelle : pas besoin d’être un pro pour mieux se protéger. Appliquer quelques règles simples fait déjà une grande différence. Un principe fondamental consiste à utiliser des mots de passe sûrs. Bien des personnes utilisent des mots de passe faciles à deviner – ou alors elles attribuent le même mot de passe à plusieurs comptes. C’est risqué. Aujourd’hui, des solutions à la fois sûres et pratiques existent. Avec un appareil Apple, vous pouvez sauvegarder vos mots de passe dans un trousseau iCloud. Depuis peu, l’appli « Mots de passe », facile à utiliser, est disponible. Par le biais du navigateur Microsoft Edge, Windows dispose également d’un gestionnaire de mots de passe fiable. Les personnes qui utilisent un smartphone Android bénéficient du gestionnaire de mots de passe automatiquement intégré dans leur compte Google. Il sauvegarde de manière fiable les mots de passe et est généralement déjà activé dès la mise en service du compte. Il est également déjà intégré dans le navigateur Google Chrome – et reconnaît automatiquement les champs à compléter, propose des mots de passe sûrs et les sauvegardes en mode scripté dans votre compte Google. Outre les solutions ci-dessus, il existe également des gestionnaires de mots de passe indépendants du système d’exploitation, particulièrement pertinents en cas d’utilisation d’appareils provenant de plusieurs fabricants – comme un ordinateur sous Windows et un iPhone. Un exemple : Strongbox utilisé avec un appareil Apple combiné à KeePass conçu pour un ordinateur sous Windows. Ces programmes sont tout à fait compatibles. Ainsi, les mots de passe sont sauvegardés de manière fiable et disponibles sur tous les appareils utilisés. Plus besoin de se souvenir de chaque mot de passe – le gestionnaire de mots de passe s’en charge.
De plus, il est recommandé d’activer l’authentification à double facteur partout où cela est possible. Le mot de passe ne suffit alors plus pour démarrer la session – un code supplémentaire à usage unique est requis. Il est transmis via SMS, e-mail ou app. Même si tout cela semble plutôt compliqué, cette procédure constitue un gain considérable en termes de sécurité.
Quant au système d’exploitation et à tous les logiciels utilisés, ils devraient aussi être régulièrement mis à jour. En effet, les updates comblent souvent des lacunes de sécurité dont les cybercriminels sont friands. Important : toujours utiliser les mises à jour proposées par des canaux officiels – c’est-à-dire par les réglages système de son appareil ou par les App Stores, mais jamais via des liens reçus par e-mail.
Un autre indicateur de courriels à risque d’hameçonnage est l’adresse de l’expéditeur. Souvent, seul son nom est visible dans la messagerie ou lu par un lecteur d’écran, mais son adresse effective n’apparaît pas entièrement. Lorsqu’un courriel reçu vous paraît suspect, vérifiez bien l’adresse complète de son expéditeur.
Lors d’un paiement sur internet avec une carte de crédit, la prudence est aussi de mise. N’utilisez votre carte de crédit que sur des sites cryptés et sûrs – reconnaissables à la mention https:// dans la ligne d’adresse. Ne transférez jamais les données de votre carte par e-mail – des fournisseurs sérieux n’utilisent jamais cette voie pour vous la demander. Bien des banques proposent aujourd’hui des cartes de crédit virtuelles ou des codes à usage unique valables pour un seul achat, ce qui augmente encore la sécurité.
Vérifiez régulièrement les factures relatives à votre carte de crédit et signalez immédiatement tout mouvement qui vous paraît suspect. Bien des banques proposent des notifications push signalant chaque transaction – un contrôle supplémentaire.

Si un incident survient – que faire ?
Malgré la mise en œuvre de toutes les mesures de prudence requises, on peut tomber dans le piège. Il faut alors agir rapidement. En cas d’activation d’un lien frauduleux ou de divulgation d’un mot de passe, modifiez ce dernier sans tarder. Si vous avez dévoilé des données de votre carte de crédit, faites-la bloquer sans délai. Si cela concerne une organisation, il faudrait toujours en avertir le service informatique. S’il s’agit d’une personne, le Centre national pour la cybersécurité (NCSC) est l’instance à contacter. Il met à la disposition des particuliers des informations utiles. Pour savoir comment agir en cas de situation de crise, consultez le lien www.ncsc.admin.ch qui donne des informations en langage simple, faciles à comprendre, bien structurées et sans barrières.

Toujours vigilant sur le net
Tous les risques ne peuvent pas être décelés au premier coup d’œil. Aussi est-il judicieux de naviguer sur internet en restant raisonnablement sceptique. Ne cliquez pas sur tous les messages reçus sans réfléchir.
N’installez que des programmes de source sûre. N’activez pas de point d’accès Wi-Fi public lorsque vous effectuez des opérations délicates tel l’e-banking. Chaque fois que vous scannez un code QR, vérifiez où il aboutit avant de transmettre des informations personnelles. Il est recommandé d’utiliser le scanner de codes QR de votre propre système d’exploitation.
Une dernière astuce – la plus importante peut-être : ne vous laissez pas mettre sous pression. Les fournisseurs sérieux ne vous menacent jamais par e-mail, par WhatsApp, ni par SMS. En cas de doute, n’hésitez pas à faire une fois encore appel à des personnes de confiance. La sécurité dans l’espace numérique ne signifie pas qu’il faut avoir peur, mais qu’il convient d’agir sciemment, en connaissance de cause.

Voici quelques habitudes simples à prendre pour être toujours du bon côté en matière de sécurité :
– N’ouvrez aucune pièce jointe et n’activez aucun lien provenant d’une source inconnue.
– Utilisez un mot de passe sûr distinct pour chaque application.
– Activez si possible l’authentification à double facteur.
– Mettez toujours à jour vos appareils et vos applis.
– Vérifiez soigneusement les adresses e-mail et les codes QR avant de réagir.