« Phishing » : le moustique d’Internet

7 février 2019

Personne n’aime les moustiques. Ils nous empêchent de dormir, gâchent nos belles soirées d’été et nous collent tout un tas de boutons qui nous démangent pendant des jours. Prises électriques, bougies odorantes, huiles essentielles : on a beau tout essayer, on n’arrive jamais à s’en débarrasser définitivement.

Le « phishing », c’est exactement la même chose. Il n’a l’air de rien : minuscule, léger, inoffensif. Il peut nous causer quelques tracas, mais rien qui ne nous empêche de vivre. Mais en réalité, chaque jour, il suce les informations de milliers d’utilisateurs de services et d’applications en ligne. Et on ne parvient jamais à s’en débarrasser.

En bon français, « phishing » signifie « hameçonnage ». Cette technique, vieille comme Internet, vise à dérober nos accès à un compte (Amazon, Impôts) ou nos numéros de carte bancaire, pour in fine voler notre argent. Afin d’y parvenir, un pirate, tranquillement assis derrière son ordinateur, va tenter de nous fait mordre à son hameçon en nous faisant miroiter un bel appât, ou en nous stressant.

Tout part de notre boîte mail ✉️

On a tous déjà reçu cet e-mail « trop beau pour être vrai ». Ce message des Impôts qui nous annonce un remboursement surprise à quatre chiffres. Ou cet e-mail de notre opérateur téléphonique qui affirme qu’on vient de remporter le tout dernier iPhone. Certains de ces e-mails sentent l’arnaque à des kilomètres. D’autres sont très réalistes, et on pourrait tomber dans le panneau. Le point commun, c’est qu’à chaque fois, cet e-mail nous invite à faire une action rapidement : cliquer sur un lien, saisir nos identifiants de connexion ou notre numéro de carte bancaire.

Lydia n’échappe malheureusement pas aux moustiques. Certains pirates se font passer pour nous afin d’escroquer certains de nos utilisateurs. Voici à quoi ressemble un e-mail reçu par un de nos utilisateurs :

On vous annonce donc, par e-mail, que votre compte Lydia est bloqué. Pour le débloquer rapidement, on vous invite à cliquer sur un lien « Débloquez mon compte ». Vous pensez être en confiance avec cet e-mail ? Vous serez surpris de découvrir la suite.

Vous mordez à l’hameçon 🎣

Une fois que vous avez cliqué sur le lien, l’escroquerie continue : vous arrivez sur un site Internet qui ressemble comme deux gouttes d’eau à celui de Lydia. Sur ce site, on vous demande de saisir vos identifiants de connexion à votre compte Lydia (donc votre e-mail et votre mot de passe).

Voici une comparaison entre notre site Internet (à gauche) qui vous demande seulement votre numéro de téléphone pour vous inscrire à Lydia, et le site Internet d’un pirate (à droite) qui vous demande votre e-mail et votre mot de passe.

Lydia ne vous demandera jamais de saisir vos identifiants sur un site Internet ou en répondant à un e-mail. Vos identifiants de connexion sont strictement réservés à l’application mobile Lydia. Vous ne devez les utiliser nulle part ailleurs.

Ce qui se passe ensuite… 😯

Vous ne décelez pas la supercherie ? Alors vous entrez vos identifiants sur la page web du pirate. Vous cliquez sur « Connexion », et votre mot de passe lui est directement envoyé.

Heureusement, grâce aux mesures de sécurité supplémentaires (notamment d’authentification forte) que nous avons mises en place, vos identifiants ne suffisent pas à un pirate pour accéder à votre compte depuis un nouvel appareil.

En effet, lorsque vous vous connectez à votre compte Lydia, on vous envoie un code par SMS à saisir dans l’application Lydia uniquement. Ce mécanisme permet de nous assurer que c’est bien vous qui vous connectez à votre compte. Mais, via leur page web, les pirates vont vous demander de saisir ce code reçu par SMS*.

Munis de votre mot de passe et du code, ils accèdent à votre compte Lydia, transfèrent votre argent et courent le retirer au distributeur.

L’erreur est humaine 🤷

Les pirates jouent sur notre faiblesse numéro 1 : notre inattention. Les e-mails, on les lit rapidement, dans les transports, en marchant dans la rue, au feu rouge ou dans l’ascenseur. On ne fait jamais vraiment attention à leur contenu précis. Alors quand on nous demande de faire une action urgente pour débloquer notre compte, on le fait, sans réfléchir. Pourtant, la seule manière de s’assurer qu’on n’est pas victime d’une arnaque, c’est d’être vigilant :

  • Lorsque vous recevez un e-mail, vérifiez bien l’adresse de l’expéditeur. Si elle ne se termine pas par “@lydia-app.com”, cela veut dire que ce n’est pas Lydia qui vous écrit. Il s’agit d’une arnaque. Il arrive toutefois que des pirates parviennent à usurper nos adresses e-mail. Dans ce cas…
  • Lorsque vous pensez être sur le site Internet de Lydia, vérifiez bien l’adresse du site. Si elle ne commence pas par “https://lydia-app.com”, vous êtes pouvez être certain d’être sur un site pirate. N’entrez absolument aucune information sur ce site.

Ce qui se passe chez Lydia à chaque cas de « phishing » ⚔️

Chez Lydia, la sécurité de votre compte et de vos données est primordiale.C’est ce qui fait notre notoriété. C’est aussi ce qui fait que vous êtes chaque jour plus nombreux à nous faire confiance. Il arrive que certains de nos utilisateurs soient victimes de ce type d’arnaques. Dans ces cas, en moins de 48 heures :

  • Grâce à nos algorithmes basés sur l’intelligence artificielle, nous sommes immédiatement informés d’activités suspectes sur des comptes potentiellement victimes d’arnaques ;
  • Nous alertons les utilisateurs potentiellement concernés et nous prenons des mesures immédiates pour verrouiller leur compte ;
  • Nous analysons les e-mails et sites Internet frauduleux mis en cause ;
  • Nous dénonçons ces faux sites à Google. Une alerte apparaît alors à chaque fois qu’un internaute se connecte à ce site. En voici un exemple :
  • Nous aidons les autorités à réaliser des tests pour piéger les fraudeurs et découvrir leur identité ;
  • Nous prévenons plus largement nos utilisateurs des possibilités d’arnaques en cours.

Grâce à toutes les mesures que nous avons prises en termes de sécurité (authentification forte, mise en place d’une intelligence artificielle pour lutter contre la fraude et campagnes de pédagogie auprès de nos utilisateurs), ces cas restent isolés (quelques dizaines par an… sur deux millions d’utilisateurs !). Ils sont repérés et éradiqués très rapidement. Aussi parce que ces pirates opèrent via des sites Internet et des envois d’e-mails, alors que Lydia est avant tout une application mobile. Par conséquent, nous ne demandons des informations que via l’application et jamais sur un site Internet ou par e-mail.

Lors de vos échanges avec notre service client, il peut arriver que l’on vous demande votre numéro de téléphone, votre adresse e-mail, votre nom ou votre date de naissance afin de vérifier ou modifier certaines informations de votre compte. Toutefois, nous ne vous demanderons jamais d’informations secrètes comme un mot de passe.

*A la suite d’une campagne de phishing ayant eu lieu en janvier 2019, nous avons modifié le fonctionnement du second facteur d’authentification pour envoyer un lien cliquable au lieu d’un code à saisir. Ainsi, nos utilisateurs devraient être moins enclins à le saisir ailleurs que dans l’application.

Related Posts for WordPress Link

Related Posts for WordPress Link

Related Posts for WordPress Link