10 mythes de cybersécurité démentis par un expert
Le Journal de Montréal
Le 1er avril, on évite de mordre à l’hameçon. En cybersécurité, c’est un conseil valable à longueur d’année, pas juste durant le poisson d’avril.
J’ai consulté Alexis Dorais-Joncas, expert en cybersécurité chez Proofpoint, pour démystifier 10 mythes tenaces qu’il est temps d’enterrer.
MYTHE ! Presque tous les sites Web et applications utilisent maintenant des connexions chiffrées, ce qui garantit la sécurité de vos données, et ce, même sur un réseau Wi-Fi ouvert. Les cyberattaques de grande ampleur via les réseaux Wi-Fi publics sont aujourd’hui extrêmement rares : les principaux risques demeurent l’hameçonnage, le vol de mots de passe ou l’utilisation de logiciels obsolètes. Soyez donc prudent face aux pages de portail captif et évitez de fournir des informations que vous ne partageriez pas en temps normal.
Les services VPN personnels offrent peu d’avantages supplémentaires en matière de sécurité ou de confidentialité pour la plupart des utilisateurs et ne bloquent pas les attaques les plus courantes.
MYTHE ! Il en faut plus que l’enregistrement d’un simple « oui allô » pour déjouer les systèmes de reconnaissance vocale. Comme l’a si bien dit l’expert en prévention de la fraude Simon Marchand : « la préoccupation qu’on doit avoir quand on répond au téléphone, c’est qu’on peut être en train de parler à des fraudeurs. Une fois qu’ils réussissent à entrer en communication avec nous, ils vont essayer de nous manipuler, de nous stresser et de nous maintenir dans un état d’anxiété qui leur permet de plus facilement nous frauder ».
MYTHE ! Ce fut un excellent conseil à une certaine époque ou effectivement, un facteur distinctif des fraudes et arnaques était la piètre qualité du contenu écrit. Avec les outils que l’on connaît qui sont disponibles à tous et à toutes depuis quelques années, la qualité des messages malveillants est rendue excellente et surpasse même la qualité de certains contenus légitimes.
MYTHE ! Aucun, je répète AUCUN, cas avéré de « juice jacking » n’a été recensé en situation réelle. Les appareils modernes demandent une confirmation avant tout transfert de données, utilisent par défaut des modes de charge restreints et authentifient les accessoires connectés.
Mythe partiel. Scanner un code QR, c’est comme cliquer sur un lien. Un code QR ne peut pas installer de logiciel malveillant par lui-même. Le risque principal est de se faire piéger et de saisir ses informations sur un faux site web ou d’être incité à installer une application peu fiable. Dans certains cas ciblés, des pirates informatiques peuvent tenter d’amener les utilisateurs à accorder des autorisations ou à modifier des paramètres d’applications, mais il s’agit d’une forme d’ingénierie sociale, et non d’un risque propre aux codes QR. Ce qui est important, c’est de rester vigilant quant aux sites que vous consultez et aux actions que vous entreprenez après avoir scanné un code QR. Les codes QR permettent simplement d’ouvrir une adresse Web (URL) et ne présentent pas de danger intrinsèque.
MYTHE ! De plus en plus, les attaques incluent des éléments personnalisés à leur destinataire, laissant croire que l’attaquant avait l’intention de vous cibler personnellement. En réalité, l’écrasante majorité des attaques sont dites « opportunistes », c’est-à-dire que l’objectif est de réussir à arnaquer le plus grand nombre de cibles au total, peu importe qui.
