Internet, bien qu’encore récent, est aujourd’hui universel et indispensable. Cependant, il représente également une source de dangers. Nous nous concentrerons ici sur l’aspect des sites web : comment ceux-ci pourraient nous nuire et comment se protéger de ces dangers potentiels.
Sommaire
Les risques avec les sites web non-sécurisés
- Vol de données personnelles
- Propagation de logiciels malveillants
- Phishing
- Défacement et attaques visibles
- Vol d’identité numérique
- Exploitation des cookies
Ici sont présents les possibles risques de site web non-sécurisés ; que ce soit des risque pour les créateurs du site ou ses client. Nous allons donc étudier chacun de ces cas et trouver un moyen pour contrer les possibles piratages.
Vol de données personnelles
Un site non sécurisé pourrait transmettre des informations non cryptées, ce qui permettrait aux attaquants d’intercepter les données comme des informations bancaires ou des identifiants sur un site sans protocole HTTPS, ces données pourraient être volées via des attaques de type « Man-in-the-Middle » (MITM).
Les attaques de type MITM comprennent deux étapes :
- Interception de la communication
- Observation ou manipulation des données
Nous pouvons nous protéger de ce type d’attaques avec ces quelques réflexes :
- Vérifier toujours que l’URL contient « https:// » et qu’un cadenas est affiché dans la barre d’adresse.
- Éviter les réseaux Wi-Fi publics non sécurisés
- Mettre à jour vos logiciels et appareils
- Être vigilant aux certificats non valides ou aux alertes de sécurité du navigateur
- Utiliser des outils de sécurité avancés comme un pare-feu, un antivirus et/ou des extensions de navigateur pour bloquer les sites malveillants.
Propagation de logiciels malveillants
Des sites non sécurisés peuvent être exploités pour diffuser des logiciels malveillants comme des « virus » ou des « chevaux de Troie ». Ces programmes infectent les ordinateurs des utilisateurs sans leur consentement.
Exemple : Faux sites de téléchargements de jeux ou de cracks :
Les utilisateurs cherchant à télécharger gratuitement des jeux payants ou des cracks pour contourner les protections anti-copie tombent souvent sur des sites non sécurisés où les fichiers proposés contiennent des malwares déguisés en applications.
Exemple précis : Le « trojan CryptBot »(=le cheval de Troie volant des informations) a été distribué via des faux sites de cracks. Ce malware vole les informations stockées dans les navigateurs, comme les identifiants et les cartes bancaires.
Comment éviter ces risques :
- Éviter de visiter des sites non sécurisés ou suspects (pas de HTTPS, alertes du navigateur).
- Télécharger toujours les logiciels depuis les sites officiels des éditeurs.
- Utiliser un antivirus contre les publicités malveillantes.
- Vérifier la réputation des sites grâce à des outils comme « VirusTotal » ou des listes noires en ligne.
Phishing
Le Phishing aussi appelé « Hameçonnage » en français sont des sites web non sécurisés qui peuvent être créés pour ressembler à des sites légitimes dans le but de tromper les utilisateurs et voler leurs informations personnelles.
Exemple précis : Entre 2013 et 2015 Un individu lituanien s’est fait passer pour un fournisseur asiatique légitime, « Quanta Computer », avec lequel Facebook et Google avaient des relations commerciales. Il a envoyé de fausses factures et des contrats falsifiés aux deux géants technologiques, qui ont donc effectués des paiements importants vers des comptes bancaires contrôlés par l’escroc (environ 100 millions de dollars).
Pour éviter les risques de Phishing :
- Vérifier l’expéditeur des e-mails (adresse suspecte comme « service-client@paypa1.com » : le « 1 » au lieu d’un « l » est souvent un indicateur de Phishing)
- Passer votre souris sur les liens avant de cliquer pour voir l’URL réelle avant de cliquer, il faut se méfier des URL raccourcies ou modifiées..
- Se méfier des messages urgents(comme la banque) ou trop beaux pour être vrais(« Vous avez gagné un Iphone ! »).
- Ne pas partager des informations personnelles sans vérification.
- Utiliser des mots de passe forts et uniques (Les mots de passe avec des fautes d’orthographes marchent encore mieux étant donné qu’une intelligence artificielle ne fera jamais de fautes d’orthographes).
- Installer un antivirus avec une protection « anti-phishing ».
- S’assurer que les sites web utilisent HTTPS.
Défacement et attaques visibles
Un site non sécurisé est vulnérable face à des attaques permettant aux pirates de modifier son contenu. Cela peut compromettre sa crédibilité ou même contenir des messages nuisibles pour les visiteurs.
Exemple précis : En 2011, le groupe « Anonymous » a attaqué « HBGary Federal », une société de sécurité informatique, après des propos de son PDG sur la divulgation de l’identité des membres d’Anonymous. Les pirates ont modifié le site web de l’entreprise, y affichant des messages moqueurs et ont publié des e-mails internes sensibles. Cette attaque a gravement nui à la réputation de HBGary.
Un article Le Monde sur ce piratage
Conseils pour se protéger le plus possible des défacement et/ou des attaques visibles :
- Utiliser HTTPS et des certificats SSL/TLS(=Secure Sockets Layer / Transport Layer Security : ce sont des protocoles de sécurités).
- Mettre à jour régulièrement les logiciels et les plugins.
- Installer un pare-feu d’application web.
- Limiter les droits d’accès et permissions.
- Surveiller l’intégrité des fichiers du site.
- Faire des sauvegardes régulières du site.
Vol d’identité numérique
Les informations récupérées sur un site non sécurisé (adresses e-mail, mots de passe, données personnelles) peuvent être utilisées pour voler l’identité d’un utilisateur. Les conséquences peuvent être l’accès à des comptes en ligne, des transactions financières non autorisées et/ou la création de faux profils pour nuire à la victime.
Exemple précis fictif : Un exemple bien connu de vol d’identité numérique subi par une personne est l’affaire de David Kirchhoff, un homme qui a découvert que son identité avait été volée pour ouvrir des comptes bancaires et prendre des crédits en son nom. Il a donc dû passer plusieurs mois à prouver qu’il n’était pas responsable de ces dettes et à réparer son dossier de crédit. David Kirchhoff a eu une expérience douloureuse de rétablissement de son identité après que ses informations aient été utilisées pour commettre des actes frauduleux, ce qui a affecté sa santé mentale et son bien-être financier.
Cet exemple montre que le vol d’identité numérique peut avoir des conséquences graves affectant leur situation financière, leur réputation et leur tranquillité d’esprit.
Réflexes à avoir pour éviter le plus possible les vols identités numériques :
- Utiliser des mots de passe forts et uniques.
- Activer l’authentification à deux facteurs.
- Surveiller vos comptes bancaires et de crédit.
- Éviter de partager des informations personnelles en ligne.
- Se méfier des tentatives de phishing.
- Installer des logiciels antivirus et utiliser un pare-feu.
- Faire attention aux Wi-Fi publics.
- Garder vos appareils et logiciels à jour.
Un site non sécurisé peut transmettre des cookies sans protection : en capturant un cookie de session, un pirate peut accéder à un compte utilisateur sans avoir besoin du mot de passe.
Exemple précis : Cambridge Analytica, une société de data mining, a exploité les cookies et les données personnelles de millions d’utilisateurs de Facebook sans leur consentement. En accédant aux informations des utilisateurs via une application tiers, les utilisateurs ont accepté de partager leurs données personnelles et celles de leurs amis, ce qui a permis à Cambridge Analytica de collecter des informations détaillées sur des millions d’individus. Ces informations ont été utilisées pour cibler des publicités politiques pendant la campagne présidentielle américaine de 2016.
Suite à cette exploitation de cookies, Facebook a fait face à des amendes, et l’incident a soulevé des préoccupations concernant la sécurité des données et la protection de la vie privée.
Se protéger des exploitations de cookies :
- Refuser les cookies non essentiels.
- Nettoyer les cookies stockés dans votre navigateur pour limiter le suivi de vos activités.
- Privilégier des navigateurs qui accordent plus d’importance à la confidentialité, comme Brave, Firefox (avec extensions de confidentialité), ou Tor.
- Utiliser des extensions comme Privacy Badger, uBlock Origin, ou Ghostery pour bloquer le suivi par les cookies.
- Activer le mode navigation privée pour ne pas enregistrer les cookies ou l’historique de navigation.
- Éviter d’utiliser des boutons de partage ou de connexion (comme « Se connecter avec Facebook »), qui utilisent souvent des cookies pour suivre vos activités.
- Etre attentif aux types de cookies utilisés par un site et leur(s) objectif(s) avant d’accepter.
- Se déconnecter des sites après utilisation pour éviter un suivi prolongé avec des cookies de session.
Étudiante en spécialité NSI en classe de 1ère, 2024 – 2025.
Arlecchino’s fan