La plupart d'entre nous hésiteraient à transporter sur eux quelques milliers d'euros en espèces, mais au moins nous savons comment éviter les risques. Êtes-vous aussi confiants en ligne ?

La banque en ligne peut être sûre, mais comme dans le monde réel, cela dépend de vous. Il faut faire très attention à ce que vous faites, ou vous allez et surtout savoir que l'on peut aussi rencontrer des personnages peu recommandables dans le cyberespace. Même sur votre propre PC.

Vous avez sans doute entendu parler de « l'hameçonnage » (de l'anglais « Phishing ») ou de l'espionnage de clavier, mais savez-vous comment éviter ces risques informatiques ? Savez-vous si vous êtes réellement connectés à votre banque, et non à un site factice, ou si votre connexion est sécurisée ?

Voici un bref aperçu des risques que vous courrez lorsque vous effectuez des opérations bancaires en ligne, et ainsi qu'une liste de choses à faire et à ne pas faire pour assurer votre sécurité.

Les risques

1. Mots de passe volés

La confiance exagérée dans les mots de passe utilisés pour protéger votre identité, vos comptes et vos actifs en ligne est un des principaux problèmes de la sécurité sur l'Internet. Imaginez que vous puissiez retirer de l'argent à un guichet automatique de banque juste en saisissant votre code PIN, sans avoir besoin de votre carte bancaire. Feriez-vous confiance à un tel système ? Cela signifie que si quelqu'un peut mettre la main sur votre code PIN, par exemple grâce à une webcam située au-dessus de la caisse d'un magasin, cette personne peut vider votre compte bancaire.

Vous savez que cela serait aberrant dans le monde physique. Malgré cela, vous êtes prêts à faire confiance à un mot de passe pour protéger votre compte bancaire en ligne ?

Le vol des mots de passe est le plus grand risque à éviter. Si quelqu'un vole votre identifiant et votre mot de passe, il peut usurper votre identité pour avoir accès à votre compte. La banque n'a aucun moyen de vous distinguer du malfaiteur si ce dernier dispose de votre identifiant et de votre code confidentiel. Il peut voler votre argent et peut-être usurper votre identité.

L'élément le plus important de votre sécurité lors de vos opérations de banque en ligne, c'est vous ! Vous devez prendre en charge votre propre sécurité en ligne en apprenant comment l'assurer.

2. L'hameçonnage (phishing)

L'hameçonnage est une escroquerie visant à voler votre identifiant et votre code confidentiel en ligne. Elle peut cibler votre compte bancaire, votre carte de crédit ou même votre employeur.

Le principe consiste à vous induire en erreur en vous envoyant un courrier électronique qui semble provenir de votre banque, votre courtier ou votre employeur, par exemple. Le courrier électronique ressemblera à un avertissement de sécurité vous prévenant qu'il y a un problème avec votre compte. Le courriel électronique se propose de vous aider, avec un message du genre : « Veuillez cliquer ici pour vérifier votre sécurité ».

Le problème, c'est que le lien dans le courrier électronique vous emmène sur un site factice contrôlé par des cybercriminels. L'apparence du site est trompeuse : on pense être en présence de son site bancaire habituel, et ceux qui ne sont pas avertis pourrait être tentés de saisir leur code bancaire ou d'autres informations personnelles.

3. Logiciels malveillants (malware/spyware)

Les logiciels d'espionnage ou malveillants sont des programmes que quelqu'un introduit sur votre ordinateur à votre insu pour vous porter préjudice. Ces logiciels sont souvent installés lorsque vous (ou vos enfants) rapatriez sur votre ordinateur un programme « gratuit », apparemment inoffensif, pris sur le Web. Il peut s'agir de musique, une vidéo drôle sur les chats qui nécessite un programme spécial pour le regarder, des jeux, un utilitaire d'édition de MP3... Vous voyez ce que je veux dire.

Ce logiciel installe sur votre ordinateur un programme malveillant. Deux exemples très dangereux de logiciels malveillants sont présentés ci-dessous : les logiciels d'espionnage de clavier et ceux permettant de modifier les adresses Internet pour rediriger votre connexion vers un site criminel.

4. Logiciel d'espionnage de clavier (keylogger)

Ce logiciel, aussi appelé programme d'enregistrement de frappes de clavier, est un logiciel malveillant qui enregistre ce que vous tapez sur votre clavier, l'objectif étant d'obtenir des informations permettant d'usurper votre identité, y compris vos identifiants et mots de passe bancaires, informations qui sont ensuite envoyées au pirate informatique. A la différence des logiciels malveillants qui vous envoient un flot incessant de messages publicitaires non sollicités, de sorte que vous savez que vous avez un réel problème, les logiciels d'espionnage de clavier travaillent dans l'ombre. Ils sont invisibles et vous ne saurez jamais que votre ordinateur est infecté.

5. Modification des adresses d'Internet

Pour les gens comme vous et moi, les adresses Internet, comme www.justaskgemalto.com par exemple, sont conviviales. Mais en dessous, il n'y a que des chiffres, par exemple 78.109.82.217. Le nom convivial s'appelle un nom de domaine (Domain Name), qui est enregistré sur un serveur de noms de domaine (DNS). Celui-ci est comparable aux Pages Blanches, c'est-à-dire un annuaire qui convertit le nom convivial en adresse IP.

Un attaquant peut empoisonner le cache d'un serveur DNS pour rediriger une connexion vers un serveur sous son contrôle (DNS cache poisoning). Pour cela il met un annuaire Internet factice sur votre PC. Vous tapez par exemple www.mybank.com, mais votre connexion est déroutée vers un site factice, contrôlé par des criminels, afin de vous soutirer vos mots de passe.

6. Espionnage WiFi et bornes WiFi

Réfléchissez à la question suivante : lorsque vous utilisez une borne WiFi publique, même payante, pourquoi voyez-vous toujours s'afficher un message vous prévenant que tout ce que vous faites sur ce réseau est visible pour les autres ? Eh bien, parce que c'est vrai.
Pour illustrer cette vérité, les organisateurs d'un grand colloque de pirates informatiques avaient dressé ce qu'ils appelaient le « Mur de la Honte ». Ce panneau affichait un flux incessant d'identifiants et de mots de passe recueillis pendant la manifestation, au fur et à mesure que les participants se servant du réseau WiFi public et gratuit les tapait sur leurs terminaux.

Existe-t-il des moyens d'utiliser un réseau WiFi public en toute sécurité ? Oui, il en existe, mais si vous n'êtes pas informaticien, nous vous recommandons d'éviter de vous connecter à votre banque ou à d'autres comptes confidentiels en passant par une borne WiFi.

7. L'espionnage WiFi de votre réseau à la maison ou au travail

La WiFi est un peu comme une radio. Qu'est-ce que vous diffusez ? Si vous n'êtes pas prudents, quelqu'un situé à proximité pourrait surveiller vos communications ou vos accès à votre réseau sans fil. Il peut par exemple attaquer vos PC et vous soutirer des mots de passe. Une défaillance de la sécurité d'un réseau sans fil a été à l'origine du plus grand vol d'identité jamais commis aux États-Unis.

8. Qui d'autre peut utiliser le PC à partir duquel vous effectuez vos opérations bancaires ?

Vous arrive-t-il d'effectuer vos opérations bancaires sur votre lieu de travail ? Si votre PC a mémorisé le mot de passe que vous utilisez pour les effectuer, toute personne ayant accès à cet ordinateur peut avoir accès à votre compte bancaire. Quelqu'un peut aussi avoir installé sur votre PC un programme d'enregistrement de frappes de clavier. Si vous effectuez vos opérations bancaires sur un PC auquel d'autres personnes ont accès, vous êtes en train de confier vos informations confidentielles à cet ordinateur et aux personnes qui l'utilisent.