Archives par mot-clé : email

Les utilisateurs encore trop laxiste avec leur informatique

Une nouvelle étude menée, portant sur 2000 adultes français, révèle que 3 utilisateurs sur 10 de smartphones ne repèrent pas un vrai d’un faux SMS !

37 % de Français, sur 2.000 interviewés dans l’étude OnePoll, indique avoir été trompés par un SMS, un email ou un message sur les réseaux sociaux qui leur laissait croire qu’il venait d’une personne ou d’une compagnie légale.

L’étude a aussi trouvé que 55 % des adultes ne savent pas trouver la différence entre une arnaque et une demande d‘information légitime, que ce soit via les réseaux sociaux ou par SMS. Les arnaques en ligne les plus communes sont des tickets gagnants aléatoires, des livraisons par La Poste et des liens suspicieux venant de nulle part. Des messages de compagnies d’énergie à propos de données expirées et des détails de connexion pour paiements en ligne ont aussi été reçus.

La confiance dans les réseaux sociaux a tellement diminué que seulement un adulte sur 20 se sent en sécurité – et 43 % pensent que chaque compte devrait être associé à un vrai nom et une véritable identité.

LES 10 ARNAQUES EN LIGNE LES PLUS SOUVENT RENCONTRÉES

1. Gagner un prix aléatoire
2. Livraisons de La Poste
3. Liens suspicieux
4. Autres types de livraisons, par exemple DHL, DPD, etc.
5. Messages de compagnies d’énergie
6. Utilisateurs et logins incorrects pour paiements, par exemple Paypal
7. Données bancaires expirées, par exemple Netflix ayant besoin des derniers numéros de compte à jour
8. Individus envoyant des messages à propos d’une relation
9. Notifications d’avoir gagné une enchère sur par exemple eBay
10. Des membres de familles que vous n’avez jamais rencontrés prenant contact avec vous.

Pour en savoir plus sur comment se protéger cybervictimes.net

Les e-mails contrefaits mis en péril : DMARC

Pour lutter contre les fraudes par les e-mails, des technologies d’authentification ont été mises en place. Dans cet article, nous parlerons de l’une des technologies d’authentification les plus utilisées : le DMARC.

Le DMARC : qu’est-ce que c’est ?

DMARC est l’acronyme anglais pour Domain Based Authentication, Reporting, and Conformance. C’est une technologie mise en place afin de lutter contre les fraudes par e-mail. Il s’agit entre autres des e-mails contrefaits, des spams, du phishing, etc.

Petit historique de DMARC : des débuts à nos jours

Sous l’égide de dmarc.org et dmarc.fr, plusieurs organisations se sont mises ensemble pour élaborer le DMARC. On les catégorise en deux groupes : les émetteurs et les destinataires.

Au niveau des émetteurs, nous avons : Facebook, PayPal, Twitter, LinkedIn, Fidelity Investments, American Greetings, Bank of America, JPMorganChase, etc. Quant aux destinataires, il s’agit de Google, Yahoo, Microsoft, Yandex, AOL, Mail.Ru, Netease, Comcast.

Dès son élaboration, le DMARC a mis du temps à décoller. Les grandes entreprises sont longtemps restées réticentes quant à son adoption. Il s’agit notamment de certaines entreprises du Fortune 500, de Chine et bien d’autres à travers le monde.

Cependant, force est de constater qu’on assiste depuis quelques temps à une certaine prise de conscience, certes lente, des entreprises. En effet, le taux d’adoption de DMARC au niveau des entreprises a connu un regain ces deux dernières années.

Le taux d’adoption, aujourd’hui, est nettement supérieur à celui des années antérieures.

DMARC : comment marche ce processus d’authentification ?

DMARC est une spécification qui complète SPF et DKIM. Ainsi, elle entre en œuvre en cas d’échec de ces deux protocoles et permet de déterminer la meilleure politique à appliquer. Il existe 3 politiques parmi lesquelles DMARC identifie les cas de non-correspondance des e-mails :

None/aucun : dans ce cas, aucune action spécifique n’est recommandée. La politique locale est donc appliquée. L’e-mail est reçu et traité comme il le serait s’il n’y avait pas DMARC ;

Quarantine/quarantaine : L’e-mail est reçu par le destinataire, mais n’est pas directement placé dans la boite de réception. Il est plutôt placé dans les spams ou courriers indésirables ;

Reject/rejet : l’e-mail est tout simplement rejeté ou détruit par le serveur destinataire.

Comment configurer DMARC ?

Pour pouvoir configurer les paramètres d’authentification DMARC de votre domaine, il vous faut vous assurer que SPF et DKIM sont bien implémentés. Après cela, vous devez accéder aux enregistrements DNS de votre compte d’hébergement.

À ce niveau, il vous faut ajouter ou modifier l’enregistrement DNS auprès de votre fournisseur. Cela se présente sous la forme d’une ligne de texte de format .TXT dans laquelle vous définissez laquelle des 3 politiques doit être appliquée.

DMARC : importance et avantages

Le DMARC est une spécification technique qui fait suite à DKIM et à SPF. En effet, mettre en place le DMARC offre de multiples avantages aussi bien pour les expéditeurs que les destinataires. Il existe plusieurs niveaux de configuration du DMARC, et chaque niveau a ses avantages.

Lorsque DMARC n’est pas configuré sur votre domaine, ce dernier est vulnérable aux attaques des pirates et autres individus malintentionnés. Ils pourront alors facilement s’introduire dans votre réseau pour effectuer leurs méfaits.

Ils pourront, par exemple, se faire passer pour vous ou l’un des membres de votre organisation auprès de vos employés, de vos clients, de vos fournisseurs, etc.

DMARC vous permet de limiter les risques d’hameçonnage, de spams et de faux positifs pour le destinataire. Pour cela, il indique au destinataire la bonne conduite de sécurité à tenir en cas de doute sur la fiabilité du message. De plus, DMARC est gratuit et facile à configurer.

En quoi DMARC permet-il de lutter contre les e-mails contrefaits et les fraudes ?

Contrairement à ses prédécesseurs (SPF et DKIM), DMARC prend en compte dans son processus des informations sur les domaines des destinataires. Cela lui permet d’être plus efficace et de renforcer la sécurité lors des échanges d’e-mails.

L’expéditeur met en place le DMARC tout en précisant au destinataire la réaction à avoir vis-à-vis de tout e-mail qui ne respecterait pas ses normes (l’expéditeur). Il peut s’agir de la destruction ou de la mise en quarantaine de l’e-mail en question.

Cette politique permet également aux destinataires d’envoyer un rapport au domaine de l’expéditeur pour spécifier que les e-mails passent ou non.

Chiffrer sa vie privée sur le web

DataSecurityBreach.fr vous le conseille très souvent : sur Internet, les informations que nous diffusons douvent être, un maximum, chiffrées, protégées, … des regards instigateurs. Les sources de fuites et de regards sont nombreux, très nombreux (Etats, entreprises, marketing, Google, …). Il est possible de se cacher. Non pas que nous soyons de dangereux terroristes à la solde d’un groupuscule venus de l’espace. Non, nous souhaitons juste avoir la possibilité de protéger ce qui nous appartient, notre vie privée.

Sur la toile, donc, difficile d’être « secret », mais les outils existent pour se protéger. Commençons par les envies de causer, en paix. De plus en plus de personnes exploitent le « tchat » de Facebook. Sauf que ce dernier, en plus de ne pas être parfaitement sécurisé, laisse de nombreuses traces dans les serveurs du géant américain. Un exemple que datasecuritybreach.fr vous propose d’effectuer. Vous avez un smartphone et un pc. Dans les deux cas, vous êtes connectés à Facebook. Votre smartphone a l’application Facebook activée, cela vous permet de recevoir, par exemple, des notifications de messages, de pokes, … Sur votre PC, vous causez, et causez encore ! Vous prenez soin, à chaque fin de « bla bla » d’effacer la conversation. Vous vérifiez, et effectivement, Facebook a détruit le contenu. Sauf que si vous vous rendez dans l’application de votre smartphone, miracle, les messages effacés ne le sont plus. Il vous faudra, donc, effacer de nouveau le contenu. Attention, n’utilisez pas l’application pour informer votre contact… au risque de revoir les messages réapparaitre dans le Facebook de votre ordinateur.

Bref, tchater, ok, mais tchater sécurisé, c’est mieux. Pour les utilisateurs de Firefox/Chrome, l’outil Crypto chat (Crypto Cat) est fait pour vous. L’addon s’installe dans votre navigateur. Il suffira, ensuite, de fournir un identifiant de connexion à vos interlocuteurs. Les conversations seront sécurisées par un chiffrement. Autres possibilités Threat Model ; intra messenger ou encore anonpaste.me. Il existe des possibilités de messagerie instantanée et visio-conférences avec Jitsi et Frama Soft.

 Après le tchat, vous allez avoir envie de communiquer fichiers, textes. Dans les possibilités ZeroBin, One Time Secret, Just Beam It, PrivNote. Pour finir, n’oubliez pas de chiffrer vos courriels. Pour les plus techniciens, le logiciel GPG est indispensable. Il réclame un peu de temps d’apprentissage et que vos correspondants utilisent aussi GPG (ou pgp). Mais son efficacité n’est plus à démontrer. Attention, des solutions gratuites comme PrivacyBox, ne sont plus exploitable pour des raisons internes aux créateurs. Pour le cas, de privacy box, une sombre affaire de possibilité d’espionnage.

A noter qu’il existe aussi des solutions de sécurisation des courriers et fichiers via l’autodestruction comme Privnote ; SebSauvage, One time secret ou encore Just bea mit ou encore AnonBox.tk. Pour le téléphone, zatazweb.tv, présente dans son émission du mois de mai une application qui permet de chiffrer les conversations téléphoniques.

Une sécurisation qui peut être accentuée en utilisant, par exemple, des clés USB chiffrées comme celle proposée par la société Integral (La crypto Dual – AES 256 bit) ou encore la clé USB biométrique de chez BEFS.  En vacances, en déplacement professionnel, ou tout simplement au bureau. Ce support de sauvegarde ne fonctionne qu’ave la présentation d’un doigt préenregistré.