Points d’accès, outils et prévention
L’usurpation d’identité existe depuis aussi longtemps que l’identité. Longtemps avant l’ère numérique, il y a eu des personnes spécialisées dans l’art de la contrefaçon et l’art de se faire passer pour d’autres et d’utiliser leurs biens à leur avantage.
L’usurpation d’identité : Moyens
Avant l’apparition des ordinateurs et avant ce qui est devenu la connectivité omniprésente de la vie moderne, il y avait beaucoup moins d’informations. Les escrocs devaient travailler beaucoup plus pour découvrir les détails de leur victime ; toutefois, une fois qu’ils avaient trouvé ce qu’ils voulaient, c’était souvent beaucoup plus facile qu’aujourd’hui de ne pas être puni pour le crime.
L’apparition de bureaux de crédit de grande échelle dans les années 70 a marqué une nouvelle ère dans l’usurpation d’identité. Ces bureaux se sont spécialisés dans la collection d’informations financières des individus, et ils sont vite devenus les cibles d’escrocs malveillants qui cherchent une proie facile. L’usurpation d’identité primitive était d’appeler ces bureaux et de mener les personnes travaillant dans le service-clientèle à donner des informations essentielles tels que la date de naissance ou le numéro d’identification fiscale d’une personne. Les usurpateurs d’identité pouvaient donc se servir de ces informations pour se connecter sur les bases de données gouvernementales et accéder à des rapports sur les activités financières.
Avant qu’Internet ne soit devenu ce qu’il est de nos jours, ces rapports étaient le seul moyen avec lequel les usurpateurs pouvaient travailler. Ces rapports n’étaient bien souvent rien d’autre qu’une liste des comptes financiers détenus par une personne. Les usurpateurs devaient se servir de ces rapports comme piste et puis de contacter les établissements directement par téléphone où la victime gérait ses affaires bancaires. Ils devaient donc duper un autre représentant du service clientèle, et espérer obtenir un numéro de compte.
Aujourd’hui, tout cela a changé. Les personnes capables de duper de manière charmante les employés du service-clientèle ont été remplacées par les pirates de nos jours qui manipulent plutôt les données chiffrées binaires.
L’usurpation d’identité : Aujourd’hui
Aujourd’hui, tout – de votre compte à cette fête où vous êtes allé vendredi dernier, se trouve quelque part sur Internet. Ce n’est plus une base de données contrôlée par le gouvernement et seulement accessible à ceux qui connaissent votre numéro d’identification fiscale. Si vous passez suffisamment de temps en ligne, à peu près tout le monde qui sait utiliser Google peut probablement découvrir où vous vivez et ce que vous faites de votre vie en quelques minutes. Et pour un pirate informatique motivé, c’est plus que suffisant.
L’usurpation d’identité de nos jours se base sur la présupposition que tout ce que l’on a l’intention de voler se trouve sur le PC personnel de la victime. La proie, c’est d’habitude une collection de mots de passe et de rapports qui permettent d’avoir accès aux comptes financiers de cette personne.
Les détails techniques à part, ce que l’usurpation d’identité de nos jours est à la base, c’est un programme malveillant sur l’ordinateur de la victime qui permet au pirate informatique de faire de ces fichiers ce qui lui plaît. Même pour les pirates informatiques peu doués, il est assez simple de se procurer un tel logiciel.
L’usurpation d’identité : Outils
Il y a un bon nombre de programmes dont un pirate informatique peut se servir pour obtenir ce qu’il veut de votre ordinateur, et comme la protection contre l’usurpation d’identité ne requiert pas de connaissances techniques de ces outils, il peut être utile de s’y accommoder.
Enregistrement des frappes claviers
Un programme destiné à enregistrer les frappes clavier est exactement ce qu’il semble être, un programme qui enregistre ce que vous tapez et le montre au pirate informatique. Les programmes destinés à l’enregistrement de frappes sont d’habitude utilisés pour découvrir des mots de passe donnant accès aux comptes financiers, mais ils peuvent également être utilisés pour contrôler les communications sur Internet de la victime.
Hacking de mots de passe par la force brute
De nombreux pirates informatiques connaissent à la perfection la formulation de mots de passe et arrivent à simplement deviner votre mot de passe en se basant sur une série de présomptions bien faites ou en se servant d’un algorithme. La malheureuse réalité de la sécurité des mots de passe : ils ne sont d’habitude pas vraiment sûrs. La plupart des personnes réutilisent leurs mots de passe, et la plupart de ces mots de passe sont relativement facile à deviner.
Supposons, par exemple, que vous êtes né en 1960 et vous avez un chien nommé Sarge, de sorte que vous vous décidez à faire votre mot de passe « Sarge1960″. Supposons également que vous avez un compte sur Facebook dans lequel on voit votre date de naissance ainsi que quelques photos de vous et Sarge. Tout pirate muni d’un peu d’intuition et d’intelligence réussira à résoudre la devinette sans aucun problème.
Accès par porte dérobée
Si un pirate souhaite pénétrer votre ordinateur pour s’emparer de vos mots de passe ou fichiers ou pour surveiller vos activités de loin, il peut installer un passage par « porte dérobée ». Les programmes par porte dérobée exploitent des faiblesses dans la sécurité de votre réseau et permettent au pirate informatique de venir et aller comme il veut, sans que vous ne vous en rendiez compte ou l’ayez autorisé.
De nombreux passages par porte dérobée s’ouvrent lorsque des utilisateurs d’ordinateurs ne se doutant de rien téléchargent des « chevaux de Troie », qui sont des logiciels destinés à avoir l’air d’un logiciel utile, mais, cependant, ouvre des portes dérobées derrière les coulisses. Les troyens ne sont qu’un moyen parmi beaucoup d’autres dont un pirate peut se servir pour entrer dans votre système. Comme vous verrez, il y a en fait de nombreuses routes d’accès, parmi celles-ci, un grand nombre sont très facile à surveiller, et qui toutes rendraient les escrocs d’hier fiers.
L’usurpation d’identité : Infiltration
Les usurpateurs d’identité de nos jours sont pourvus de nombreuses formes de logiciels et d’outils informatiques, mais ces outils sont absolument inutiles s’ils ne sont pas installés sur votre ordinateur. En conséquence, on sait que les pirates informatiques déterminés vont loin pour acheminer leurs malwares vers les ordinateurs de leurs victimes.
Implantation en personne
Il est vrai que ce n’est pas la méthode la plus créative, mais les pirates y ont quand même recours, et elle s’est avérée être hautement efficace. Si un pirate informatique tient vraiment à ouvrir une porte dérobée ou à installer un logiciel destiné à l’enregistrement de frappes clavier sur votre ordinateur, il pourrait bien sûr forcer l’entrée de votre maison et installer le fichier durant votre absence.
Attaque sur réseau sans fil
Les pirates peuvent camper hors de votre maison et essayer d’identifier votre réseau sans fil. Si vous utilisez WPS (Wireless Protected Setup, configuration de réseau de fil protégée), il est incroyablement facile d’y pénétrer. Une fois entré dans votre réseau, les pirates peuvent faire à peu près tout ce qu’ils désirent. Ceci comprend : voler vos informations sensibles sur place, ouvrir un passage par porte dérobée ou simplement installer toute sorte de virus qu’ils veulent.
Vous duper à vous connecter sur leurs réseaux
Les pirates trompent souvent leurs victimes en les menant à se connecter sur des réseaux sans fil dans des endroits publics. Par exemple, un pirate pourrait attendre sa victime dans un bar, configurer un réseau nommé « Wi-Fi gratuit Bar » et puis mener la victime à s’y connecter. Une fois établi la connexion, le pirate pourra surveiller ce que vous faites sur Internet, afficher les fichiers se trouvant sur votre ordinateur ou installer un virus.
E-mails malveillants
Dans I challenged hackers to investigate me and what they found out is chilling, le journaliste dingue Adam Penenberg défie 3 pirates informatiques de s’emparer de sa vie numérique. Les pirates informatiques ont fini par réussir, et ils y sont arrivés grâce à des e-mails malveillants.
En ce moment, même les utilisateurs d’ordinateurs les moins expérimentés savent parfaitement bien qu’il vaut mieux ne pas ouvrir un e-mail puant le hameçonnage d’un étranger mystérieux contenant une offre qui semble trop bonne pour être vraie – mais les pirates sont également au courant et ont leurs moyens créatifs de vous tromper.
Dans le cas de Penenberg, les pirates ont bénéficié du fait que l’épouse du journaliste gère son propre studio de Pilâtes. Ils se sont donc « déguisés » en jeune femme posant sa candidature pour un poste d’instructrice. Ils sont même allés si loin de trouver une vraie femme en ligne et de se servir de son profil sur les médias sociaux pour perfectionner leur ruse. L’e-mail de candidature comprenait un « CV vidéo » en pièce jointe. L’épouse de Penenberg a fini par ouvrir cette pièce jointe sur son portable, ce qui a ouvert les portes grandes-ouvertes aux pirates.
Sites web malveillants
Les pirates peuvent également s’emparer de ce qu’ils désirent en créant des sites web malveillants. Les liens à de tels sites Web peuvent être fournis à leurs victimes à travers de nombreux moyens. Par exemple, un pirate pourrait prétendre être une personne dont les intérêts sont similaires aux vôtres et poster une invitation amicale à visiter son blog sur votre profile dans les médias sociaux. Le blog serait en vérité un site destiné au hameçonnage ou vous menant à télécharger des malwares.
Un site web malveillant pourrait également employer des techniques de troyens et prétendre être un site web proposant des gratuiciels. La publicité pour ces logiciels pourrait les vendre en n’importe quoi d’utile, tel qu’un logiciel améliorant la performance de votre PC ou voire un logiciel anti-virus. Pendant que vous l’utilisez, ce logiciel pourraient pour de vrai sembler être ce que dit la pub, mais en réalité, derrière ce masque, une sorte de virus pourrait se cacher, tel qu’un enregistreur de frappes clavier ou une porte dérobée.
Matériel malveillant
Si vous le croyez ou pas, la méthode la plus créative et apparemment la moins nocive pour vous infiltrer et vous priver de votre identité marche à travers le matériel malveillant, tel qu’un lecteur flash infecté. Cette méthode s’emploie très souvent lorsque les usurpateurs d’identité poursuivent un but spécifique. Si un pirate a fait des recherches exhaustives et découvert où vous habitez ou travaillez, ils peuvent simplement mettre leurs malwares sur une clé USB et la laisser dans un lieu par lequel vous passerez et le trouverez très probablement, en espérant que c’est la curiosité qui tuera le chat et que vous insérerez la clé dans votre ordinateur. Si cela ne marche pas, ils pourraient simplement aller à votre lieu de travail et attendre la bonne occasion pour prétendre « emprunter votre imprimante » afin d’imprimer un CV pour un entretien d’embauche.
Ceci dépend du type de votre travail, mais cela pourrait marcher, vu que les moyens d’un usurpateur d’identité bien déterminé ne sont limités que par l’infamie de son imagination.
L’usurpation d’identité : Prévention
Alors que les moyens d’usurpation d’identité ont certainement changé, l’essence d’approche est fondamentalement la même et le sera probablement pour toujours. Les escrocs éloquents et pirates informatiques sans scrupules se fient tous à créer un prétexte et mener ses victimes à leur donner leurs informations personnelles.
En réalité, si un pirate a vraiment l’intention d’entrer dans votre vie, il trouvera sûrement un chemin. Les pirates sont très intelligents et parfois même un peu toqués. Heureusement, la plupart des individus ne sont pas des ennemis de cette nature. Plus souvent, les pirates visent plutôt des entreprises que des particuliers, étant donné que la pure taille donne plus de points d’entrée et davantage d’anonymat.
Personne n’est quand même complètement immunisé contre l’usurpation d’identité, et en plus de logiciels Anti Virus bien conçus, il y a de nombreuses mesures de bon sens que tous les utilisateurs d’ordinateur d’un niveau de base devrait être à même de mettre en place.
La connaissance des outils et des moyens dont les usurpateurs d’identité de nos jours se servent mentionnés avant est un bon début, mais même ceux qui ne savent rien sur le monde du hacking peuvent se protéger eux-mêmes contre l’usurpation d’identité avec une bonne dose de scepticisme. Si vous en avez vus assez, vous serez très probablement capable d’identifier un escroc ou une fraude en le voyant, et dans le monde des ordinateurs, les signaux d’alarme ainsi que les actes commis sous prétexte sont très souvent pareils.
Comme dans la vie de tous les jours, tout ce qui ne vous est pas familier devrait être bien analysé avant de l’ouvrir sur votre ordinateur. Il vaut mieux ignorer les extensions de fichier inconnus et les e-mails de hameçonnage provenant de personnes inconnues. N’oubliez pas qu’un réseau sans fil public est public. Et peu importe ce que vous faites, ne créez jamais une feuille Excel contenant tous vos mots de passe. Cela correspond à une invitation à l’usurpation d’identité, car pratiquement tout le monde peut ouvrir et lire ce fichier.