Règles de prudence envers les messages

Attention : un message frauduleux peut tout à fait paraître provenir d'une personne que vous connaissez.
En cas de doute sur l'identité du correspondant, ne répondez pas au message et contactez la personne par un autre canal. De préférence de visu ou de vive voix.

Le contenu des messages

Ne soyez pas naïf, une offre trop alléchante cache toujours une arnaque.

Ne donnez pas suite aux "offres gratuites".

Les arnaques jouent souvent sur la peur ou l'urgence.
Exemples : souvent il est question "d'un de vos comptes qui va être désactivé si vous ne réagissez pas - en fournissant des codes d'accès ou un règlement bancaire". Ou bien un de vos contacts "se trouve en difficulté à l'étranger et vous demande de lui avancer de l'argent". Sur le web vous pouvez voir de faux messages d'alerte qui vous "avertissent que votre ordinateur est contaminé par un virus", et vous proposent un lien (vers un virus !) pour le nettoyer.

Les appels et messages téléphoniques

De manière générale ne répondez pas à des appels provenant de numéros cachés ou inconnus de vous. Laissez l'appelant déposer un message sur votre boîte vocale.
Ne rappelez pas un numéro que vous ne connaissez pas si vous n'êtes pas certain de sa provenance et de sa légitimité. Il peut s'agir d'une tentative d'arnaque ou plus simplement d'un numéro surtaxé.

Les arnaques les plus courantes font état "d'un colis en attente de livraison".

Liens et pièces jointes dans les messages écrits

Ne cliquez jamais sur un lien et n'ouvrez jamais une pièce jointe contenus dans un message (courrier électronique, message instantané, SMS, MMS...) à moins d'être absolument sûr de sa légitimité.

Avant de cliquer sur un lien, passer le curseur (la souris) dessus et regardez l'adresse qui s'affiche en bas à gauche. Plus de détails dans notre tutoriel pour se prémunir contre les spams (pourriels / courriers indésirables), notamment le § "Comment repérer un courriel d'arnaque ?".

Regardez où vous êtes sur le web

L'identité d'un site web c'est son nom de domaine. Par exemple : "liberetonordi.com" ou "impots.gouv.fr"

Lorsque vous consultez une page web, le navigateur affiche l'adresse (URL) de cette page dans la barre d'adresse. Par exemple : "http://blog.liberetonordi.com/post/securite". Pour vous aider à identifier le nom de domaine, le navigateur Firefox (voir le schéma de l'interface) affiche celui-ci en noir, tandis que le reste de l'URL est en gris.

Lorsque vous souhaitez aller visiter un site web dont vous connaissez déjà l'adresse (l'URL), il est inutile de passer par le moteur de recherche. Tapez plutôt l'URL dans la barre d'adresse et validez.
Si au lieu de cela vous tapez l'adresse dans le champ de recherche, rien ne garanti que le premier résultat de recherche que vous obtiendrez est bien le site que vous cherchiez. Ce peut être un site similaire. Vous risquez alors de vous tromper de site.

Certain sites malveillants imitent des sites légitimes pour vous piéger (technique d'hameçonnage, phishing). Ainsi comptes.mabanque.com (domaine : mabanque.com) est un site différent de comptes.mabanque.co (domaine : mabanque.co) et de mabanque.comptes.com (domaine : comptes.com).

Lorsque vous recherchez des sites au travers d'un moteur de recherche, regardez toujours le nom de domaine associé à chaque résultat avant de cliquer pour afficher la page trouvée. Celui-ci fait partie de l'URL, elle se trouve sous le paragraphe de description de chaque page trouvée. (Le moteur de recherche DuckDuckGo.com - que nous préconisons - affiche aussi l'icône du site devant l'URL, ainsi qu'une petite icône cochée à gauche du titre d'une page qui est enregistrée dans votre historique de navigation.)

La connexion est-elle sécurisée ?

Si vous accédez à un site sur lequel vous devez vous connecter (saisir un mot de passe) ou effectuer un paiement, il est important que la connexion avec ce site soit sécurisée.

Les sites dont l'URL commence par https:// ont une connexion sécurisée. Les connexions en http:// ne sont PAS sécurisées. En outre, dans Firefox un cadenas situé à gauche de l'URL indique l'état de sécurité de la connexion.

Protégez vos adresses de messagerie et vos contacts

Cela passe tout d'abord par l'utilisation d'un bon mot de passe pour vos comptes de messagerie, afin d'en éviter le piratage.

Ne publiez pas d'adresse de messagerie (e-mail ou chat) ou de numéro de téléphone sur un site web (blog, forum, etc.). À moins qu'ils ne soient protégés par un dispositif technique adéquat (ex : chiffrés avec javascript). Voir nos recommandations pour votre site web.

Lorsque vous vous inscrivez à un réseau social, n'acceptez pas de "rechercher vos amis sur le réseau" car cela revient en fait à transférer votre carnet d'adresse au fournisseur dudit réseau.

Ne poursuivez pas l'installation d'une application sur votre ordiphone si elle requiert l'accès à vos contacts alors que cela ne se justifie pas (refusez l'autorisation d'accès).

Nous vous recommandons d'utiliser plusieurs adresses de courriel - ou des alias - pour différents usages (communications personnelles, inscriptions à des listes de diffusion, inscription à des services web, etc.). Voir tutoriel.

Protégez votre intimité et celle des autres

Voir tutoriel spécifique concernant les risques et les bonnes pratiques en la matière.

Privilégiez les communications privées

Voir tutoriel spécifique pour choisir les modes de communication appropriés.

Paiement en ligne

N'utilisez jamais votre véritable numéro de carte bancaire sur l'Internet. Même si vous ne faites des achats que sur des sites légitimes et sécurisés, aucune sécurité n'est totalement efficace.
Souscrivez plutôt auprès de votre banque le service de "carte bleue virtuelle" (e-carte, e-CB). Ce service (facturé 10 à 15 €/an) permet de générer un numéro de carte unique à chaque transaction, avec une somme pré-définie.

Exception : l'opérateur de téléphonie mobile Free n'accepte pas les e-cartes (info : 2015 - à revérifier). Toutefois son système de paiement en ligne est sécurisé par l'envoi d'un code de validation par SMS.

Surveillez vos débits de carte bancaire - et virements - et contactez votre banque en cas de doute (celle-ci est tenu de vous rembourser en cas de paiement frauduleux).

N'installez que des applications libres

Les applications (logiciels) sont un vecteur d'entrée de programmes malveillants (virus, publicités, espionnage, jeu addictif avec options payantes, etc.).

Seules les applications libres sont fiables car leur code source étant public, elles peuvent être vérifiées. En général les applications libres sont distribuées gratuitement (elles sont financées par les dons et les services aux entreprises).

Des applications libres sont disponibles pour couvrir quasiment tous les besoins (voir notre sélection). Ce n'est que dans quelques rares cas que vous aurez besoin d'applications non libres : choisissez alors des applications commerciales reconnues.

Lire nos recommandations générales pour le choix d'une application ou d'un service Internet.

Méfiez-vous des applications gratuites lorsqu'elles ne sont pas libres. Il y a toujours une contre-partie cachée.

Comment savoir si une application est libre ou non ?

Attention : si les applications libres sont en général gratuites, par contre la plupart des applications gratuites ne sont pas libres.

Attention : certains logiciels ont des noms très proches, prenez garde à ne pas les confondre. Par exemple µBlock, uBlock et uBlock Origin sont tous différents. De même que PDFCreator et PDF Creator.

C'est la licence d'utilisation qui fait la différence. Il faut donc trouver cette information, soit sur le site officiel de l'application, soit sur sa page Wikipédia (dans la fiche signalétique), soit dans le magasin d'application où elle est proposée au téléchargement. Ou plus simplement passer par l'annuaire des logiciels libres framalibre.org où ne sont répertoriés QUE des logiciels libres. Pour les ordiphones Android® et compatibles, le magasin d'application alternatif libre F-Droid (site en anglais) n'offre QUE des applications libres, il doit être installé avant de pouvoir être utilisé (suivre notre tutoriel).

Les licences libres les plus courantes sont les licences GNU GPL (General Public Licence), LGPL et AGPL.
Les expressions suivantes signifient également que l'application est libre : open-source, free software (ambigu en anglais où free signifie à la fois libre et gratuit). Pour les œuvres : copyleft, licence GNU FDL, licence Creative Commons cc:by-sa, licence Art Libre.

Les expressions suivantes désignent des licences non libres : non-free, propriétaire (proprietary), privatrice, freeware (= gratuit non libre), shareware, droits réservés.

Très important : n'installez des applications (quelles soient libres ou non) que depuis leur site web officiel ou depuis un magasin d'application officiel (Logithèque de votre distribution de GNU/Linux, Google Play Store®, Windows Store®, Apple Store®) ou un magasin d'applications libre (F-Droid).

Comment trouver le site officiel d'une application ?

  • En passant par l'annuaire des logiciels libres framalibre.org : chaque logiciel a une fiche qui indique le site officiel.
  • En passant par sa page Wikipédia (le lien vers le site officiel est dans la fiche signalétique).
  • Si c'est une application disponible dans F-Droid, le lien vers son site ("Website") est dans sa fiche disponible depuis le site https://f-droid.org, ainsi que dans sa fiche accessible dans l'application F-Droid, § Liens > Site web.

Mesures techniques préventives

Installez un anti-virus résident (ex : Avira Antivir) et un pare-feu (ex : Comodo) sur chacune de vos machines.
Note : ceci est actuellement inutile pour les ordinateurs équipés du système d'exploitation libre GNU/Linux qui est très sécurisé de par sa conception. À l'inverse Windows® est très vulnérable. Mac OS X® est vulnérable.

Configurez correctement votre navigateur web (installez un bloqueur de publicités et de traceurs, bloquez les cookies tiers, protégez les mots de passe enregistrés, etc.). Voir tutoriel.

Faites des sauvegardes régulières de vos données. Voir tutoriel.

Protégez les données et les communications sensibles en les chiffrant. Voir tutoriel.

Utilisez de bons mots de passe pour protéger vos comptes et vos données. Voir tutoriel.

Utilisez éventuellement un câble antivol : fixé d'un coté au boîtier de l'ordinateur fixe ou portable et de l'autre à un élément fixe (mobilier), il rend plus difficile le vol de votre machine et empêche l'ouverture du boîtier de l'ordinateur fixe, permettant ainsi d'éviter l'accès au contenu des disques internes).

En savoir plus

Pour les petites et moyennes entreprises, l'ANSSI a publié un guide de préconisations. Résumé par NextInpact, avec lien vers le document officiel.
À notre avis il y manque deux points importants :

  • seuls les logiciels libres peuvent être fiables en matière de sécurité, pas seulement en ce qui concerne les gestionnaires de mots de passe ;
  • pour protéger vos secrets professionnels des concurrents américains il faut éviter d'utiliser des ordinateurs qui fonctionnent avec un système d'exploitation non libre et américain (Microsoft, l'éditeur de Windows® et Apple, l'éditeur de Mac OS X® ne se privent pas de collaborer avec les services d'espionnages États-uniens). Vous devriez donc vous équiper d'ordinateurs fonctionnant avec le système libre GNU/Linux.

mise à jour : 23 février 2020