Sécuritéarticle-emails-bonnes-pratique-technique-du-chateau

PIRATAGE PAR EMAILS - LE SAVIEZ-VOUS ?

La plupart du temps, les personnes victimes d’arnaques, de piratage, via les emails, le sont… de leur faute !

En effet, il est tellement facile de communiquer avec des emails (courriels), que certains oublient d’observer quelques mesures élémentaires lors de la pratique d’envoi ou de réception d’emails.

Nous allons aborder ici, ce qui devrait toujours être respecté en matière de règles pour les emails sortants, ainsi que pour les emails entrants.

LE CARNET D’ADRESSES – ÉVENTUELLE PORTE DES ENFERS

Bizarre de commencer un tuto sur les emails, en parlant du carnet d’adresses… mais en vérité, une bonne partie des problèmes vient de ce dernier.

L’internaute lambda, se contente souvent d’une seule adresse mail, celle qui lui a été fournie par son FAI (Fournisseur d’Accès à Internet), tels : Orange, Free, SFR, etc. On verra d’ailleurs plus tard, que posséder une seule adresse courriel n’est pas une bonne pratique à tenir.

Cet internaute Lambda, afin de communiquer par mails, va souvent se « brancher » sur le portail internet mail de son FAI. On appelle ce portail un Webmail.
Il va rédiger des mails, en recevoir, etc.

Là où le bât blesse, c’est qu’à chaque fois que cet internaute voudra enregistrer un nouveau correspondant dans son carnet d’adresses, cela se fera sur le carnet OnLine (en ligne) du FAI, sur les serveurs de ce dernier, quelque part dans le vaste monde.

Ainsi, au fil du temps qui passe, son carnet d’adresses s’enrichira de nouveaux correspondants, pour lesquels, s’il souhaite leur envoyer un email, il n’aura que les premières lettres du nom à taper, afin que le nom complet apparaisse.

CETTE PRATIQUE EST DONC À BANNIR

 

Ces correspondants seront donc enregistrés sur un disque dur (serveur) chez le FAI.
Et si ce FAI se fait piller des comptes et/ou des carnets d’adresses, ces adresses seront à coup sûr utilisées par des pirates pour tenter moult escroqueries…

Ce qui fut par exemple le cas, en début 2014, avec 800000 comptes Orange dérobés…
Yahoo, Facebook, ont voulu se démarquer avec des chiffres ahurissants de comptes volés…

Ensuite, les pirates se revendant ces listes, n’ont plus qu’à pêcher à la recherche du bon poisson à escroquer…

 

RÉSUMÉ :
Un carnet d’adresses doit être tenu en local, sur l’appareil (ordinateur, tablette, smartphone, etc.).
Par exemple sur Mac (Apple), le logiciel justement nommé Carnet d’Adresses, remplira ce rôle.

Sur PC, des logiciels permettent aussi cela : Outlook, Thunderbird, etc.

Donc, lorsque vous rédigerez un mail (courriel en bon François), l’adresse proviendra de VOTRE appareil, et non d’un serveur…

Sinon, c’est le phishing assuré !

UTILISER UN LOGICIEL DE MAIL, PLUTÔT QU’UN WEBMAIL

Dans le chapitre précédent, nous avons appris ce qu’était un Webmail.
Nous avons vu l’importance de ne pas y inscrire nos correspondants, ainsi que sur les autres fournisseurs de mails, tels : Gmail, Yahoo, etc.

Eh bien, participant de la même logique, il est judicieux d’utiliser un logiciel logé SUR VOTRE ordinateur ou sur tout autre appareil à votre convenance, plutôt que d’utiliser le Webmail de votre FAI ou Fournisseur de Mail.

Sur Mac (Apple), on notera que Apple Mail qui est fourni d’office, travaille main dans la main avec le logiciel Carnet d’Adresses.

Sur PC : On retrouvera Outlook, auquel je préfère, et de loin, Thunderbird (de la fondation Mozilla).
Nb : Outlook étant truffé de portes dérobées (backdoor) susceptibles de créer problèmes. Microsoft est au courant, mais cela n’a pas l’air de les déranger plus que ça.

 

RÉSUMÉ
De plus, en utilisant un logiciel dédié aux emails, on pourra entrer autant de boites d’adresses mails que souhaité.

BREF, IL FAUT APPLIQUER LA TECHNIQUE DU CHÂTEAU

Au moyen-âge, si les châtelains engrangeaient leurs récoltes à l’extérieur du château, il y avait fort à parier, que lors d’une attaque, les réserves seraient facilement pillées.

Si on stocke ses réserves dans l’enceinte du chateau, on minimise ainsi le risque de pillage.

Alors je ne vous raconte pas les risques encourus avec des solutions hébergées aux USA par exemple.
Pour simple rappel : Les serveurs d’Orange se sont vus dérobés 800000 comptes début 2014.
Et chez Yahoo… des millions. Quant au logiciel Outlook, Microsoft sait très bien qu’il est bourré de backdoors, mais n’en a visiblement rien à foutre.
Faudra pas ensuite venir se plaindre des Spams et autres Phishing reçus…

Il en est donc ainsi pour les 2 logiciels que sont : Le logiciel de Carnet d’adresses, et le logiciel de gestion des emails.
Nb : Utiliser Apple Mail et Apple Carnet d’Adresses sur Mac, et Thunderbird sur PC.

 

RÉSUMÉ
Il faut laisser vos infos dans l’enceinte de VOTRE château, dans votre appareil (ordi, portable, tablettes, smartphone, etc.).

EMAILS SORTANTS – ENVOI DE COURRIELS

Maintenant que nous savons manier correctement les adresses de nos correspondants, voyons les bonnes pratiques à respecter lors de la rédaction d’emails.

 

Lorsque l’on écrit à un seul correspondant, là, c’est simple, il suffira d’entrer son adresse mail dans la zone « À ».

Mais lorsque l’on envoie un mail à plusieurs personnes, là, il faudra impérativement respecter ceci :
– Entrer sa propre adresse mail dans la zone « À » (ou laisser vide)
– Entrer les autres destinataires dans la zone « Cci »

Ainsi, les différents destinataires ne verront QUE leur adresse, et pas celles des autres destinataires.

 

Nb : Je fus moi-même destinataire d’un email commercial, avec 4900 autres adresses visibles entre elles. Argghhhhh


RÉSUMÉ
Envoyer un même courriel à plusieurs destinataires qui ne se connaissent pas, est totalement interdit en vertu de la loi du 6/01/1978 (Informatique et Liberté), et je dirais même que le RGPD vient appuyer l’obligation de cette prévention de la part des professionnels.

N’écrivez pas en majuscules, selon la Netiquette, cela signifierait que vous êtes en colère.

EMAILS ENTRANTS

Les bonnes pratiques en matière d’emails entrants, sont surtout des pratiques de sécurisation.
Savoir lire, déchiffrer, un mail d’un correspondant qui ne nous est pas familier… et encore que…

Quelques règles simples à observer :
1 – Vérifier l’adresse mail de l’expéditeur. Bien l’étudier, voir si elle ne comporte pas une forme d’écriture pouvant éveiller les soupçons.

2 – Ce n’est pas parce que le mail semble provenir d’une expéditeur ayant pignon sur rue, que ce mail est forcément OK Ainsi, une astuce permet de déceler une éventuelle entourloupe… Bien observer la véritable adresse (l’Url) qui se cache derriere un bouton, un lien, une invite quelconque.

Dans la vidéo ci-contre, il est expliqué comment repérer de faux liens, qui tentent de nous emmener vers d’autres liens que celui qui visiblement écrit.

RÉSUMÉ

Ne jamais cliquer sur des pièces jointes qui ne nous semblent pas « catholiques », et ce, surtout sur PC (tout particulièrement ciblé par les pirates).

UNE SEULE ADRESSE MAIL – UNE HÉRÉSIE ?

Pourquoi une seule adresse mail est une pratique dangereuse ?…

Lorsque vous passez contrat avec un FAI ou Fournisseur de Mails, une adresse mail et un mot de passe vous sont attribués d’office.

1 – Par exemple, si le FAI est Orange, ce couple identifiant/mot de passe servira si vous souhaitez construire plusieurs adresses mails, comme dans un foyer, une adresse pour la mère, une pour le père, une pour chaque enfant, etc.
Le mot de passe des ces différentes adresses sera le même, c’est à dire celui du compte fourni par le FAI. Question confidentialité, on fait mieux…

2 – Si vous achetez en ligne, si vous créez des comptes sur des plateformes d’achats, et/ou de paiement comme Paypal, il sera intéressant d’avoir plusieurs adresses mails.
Prenons le cas d’une transaction sur eBay (pas de pub) :
Si votre adresse de connexion eBay est la même que Paypal, vous ne verrez pas le danger arriver.
Par contre, si les deux adresses sont différentes, vous aurez éventuellement loisir de vous poser des questions : comment ce correspondant m’écrit pour Paypal avec mon adresse eBay ?

3 – Il est possible de créer des adresses mails complémentaires, en dehors de celles proposées par son FAI, par des Fournisseurs de Services Mails.
On citera (entre autres) : Gmail*, Laposte (bonne solution), etc.

On évitera par contre les adresses : Hotmail (Microsoft), Yahoo, Live. Nb : Adresses facilement piratables.

Rien ne vaudra par contre, une adresse mail fabriquée depuis un nom de domaine que vous achèterez par vous-même. Cette solution vous offrira toute latitude de contrôle, de surveillance, de sauvegarde, etc.

*Gmail : Attention, il faut régulièrement effacer les contenus, car au bout d’un an, Gmail (Google) considère que ceux-ci lui appartiennent.

 

RÉSUMÉ
Ainsi, si une adresse « tombe », si elle est menacée, et dans la mesure où elle est secondaire, il n’y aura pas de mal à la supprimer, et ainsi supprimer un éventuel problème.

2 commentaires

  1. Je sais que des tutos de conseils, de sécurité font moins de vues que des vidéos de Djul ou Aya Nakamura sur youtube, mais il ne faudra pas pleurer si vous vous faites arnaquer, sans avoir un minimum appris à vous servir des outils que vous manipulez.
    Faudrait-il faire passer un permis de conduite internet ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée Champs requis marqués avec *

Publier des commentaires

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.