Depuis le mois de novembre, il y a une nouvelle recrudescence du phishing au nom du SPF Finances, selon un avertissement de Safeonweb, une plateforme fédérale chargée d’informer les citoyens belges au sujet des plus récentes et importantes menaces numériques. Et il semblerait bien que cette vague ne soit pas encore terminée, d’après le témoignage d’un lecteur (Frédéric).
Celui-ci a reçu un e-mail aux couleurs de MyMinfin (la plateforme du SPF Finances qui vous permet de consulter vos données fiscales et patrimoniales) au sujet de sa déclaration d’impôt. Frédéric s’est tout de suite rendu compte de la supercherie en inspectant l’adresse de l’expéditeur: «assistance@pphinsider.com». Or, les adresses officielles du SPF Finances se terminent toujours par @minfin.fed.be ou @mailing.minfin.fed.be.
L’histoire aurait pu s’arrêter dans la corbeille de la boîte de réception de Frédéric, sauf qu’il a été interpellé par un détail troublant. L’e-mail indiquait qu’il avait droit à un remboursement de 1.561 euros, soit à peu près la somme que son comptable lui avait dit qu’il retoucherait cette année de la part des contributions. Coïncidence?
Fuite de données
Nous avons soumis ce cas au commissaire Olivier Bogaert de la Computer Crime Unit (CCU) de la Police fédérale. Bien que le hasard ne puisse pas être totalement exclu, il a recommandé à Frédéric et à son comptable de vérifier si leur adresse électronique n’avait pas été piratée. Si tel est le cas, cela expliquerait comment des escrocs sont parvenus à prendre connaissance des e-mails échangés entre ces deux personnes.
Firefox Monitor permet de vérifier d'où provient la fuite de vos données.
Suite à un contrôle depuis l’outil gratuit Firefox Monitor (monitor.firefox.com), il est apparu que l’adresse électronique du comptable apparaissait effectivement dans une fuite de données connue et que les données qui avaient été compromises étaient les mots de passe et les adresses électroniques.
Par conséquent, si ce comptable utilise régulièrement le même mot de passe sur différentes plateformes, il n’est pas étonnant qu’un pirate ait pu accéder à sa boîte de réception afin de prendre connaissance en toute discrétion des échanges qu’il a eus avec ses clients (dont Frédéric).
Pour éviter de tels problèmes à l’avenir, Olivier Bogaert a recommandé au comptable de changer instantanément son mot de passe, mais aussi d’ajouter des mesures de sécurité supplémentaires pour l’accès à son adresse e-mail (à savoir un compte Gmail dans ce cas précis).
Lire aussi | Un appel non sollicité? Ne discutez pas, raccrochez!
Validation en deux étapes
C’est ce qu’il s’est empressé de faire en activant la validation en deux étapes en se rendant dans le volet Sécurité de son compte Google. Le processus est plus ou moins similaire ailleurs. Par exemple, si vous utilisez une adresse Hotmail ou Outlook, connectez-vous à votre compte Microsoft et sélectionnez là aussi le volet Sécurité, puis sélectionnez Options de sécurité avancées.
Dans un cas comme dans l’autre, vous remarquerez qu’il existe différentes méthodes de validation en deux étapes, comme l’envoi d’un code de validation sur une autre adresse e-mail ou via un SMS. Si c'est l'option choisie, il vous suffira de saisir à l’écran ce code à six chiffres pour confirmer qu’il s’agit bien de vous.
Cependant, «bien que toutes les formes de validation en deux étapes renforcent la sécurité de votre compte, les codes de validation envoyés par SMS ou par téléphone peuvent être piratés», prévient Google.
Microsoft Authenticator peut, par exemple, vous fournir des codes pour votre compte Gmail ou votre compte Facebook.
Autre solution: utiliser Google Authenticator (Android, iOS), Microsoft Authenticator ou toute autre application de code de validation. À la manière d’une clé de sécurité physique, ces apps créent des codes de validation uniques (et cela même si vous n’avez pas accès à internet, ni au réseau mobile sur votre smartphone).
Vous pouvez même les utiliser pour différents comptes (et pas juste pour votre adresse e-mail). Microsoft Authenticator peut vous fournir des codes pour votre compte Gmail ou votre compte Facebook par exemple.
Comment procéder? Prenons le cas de Facebook. Allez dans le volet Sécurité et connexion, puis optez pour Authentification à deux facteurs. Facebook vous proposera alors différentes méthodes dont Application d’Authentification. Cliquez sur Gérer puis sur Ajouter une application. Facebook va alors générer un code QR qui doit être scanné depuis l’app d’authentification de votre choix (en optant au préalable pour la fonction Ajouter un compte).
Dernier conseil: vous pouvez vous passer de la validation à deux étapes chaque fois que vous vous connectez sur votre ordinateur ou votre téléphone. Mais faites-le à condition que vous soyez bien l’unique utilisateur de l’appareil en question.
