Home » Ordinateur » Sécurité » Bonne frousse – Fausse facture

Bonne frousse – Fausse facture

Je regardais mes courriels tantôt, et pendant un instant j’ai eu une bonne frousse : un courriel semblant provenir d’Apple indiquant qu’on demandait confirmation d’un paiement pour un produit que j’avais « soi-disant acheté avec mon identifiant Apple » et s.v.p. connectez-vous ici pour confirmer. Je traduis librement l’info, car ça a été mon premier indice : c’était en anglais, et mes factures d’Apple (comme pour Netflix, ou mes autres achats en ligne via iTunes ou le App Store) sont toujours en français. Duh. Deuxième gaffe, j’ai vu que j’avais reçu ce courriel sur un compte qui N’EST PAS celui enregistré auprès d’Apple. Re-duh. Voici de quoi il a l’air :

Bonne frousse - Fausse facture

Ai-je besoin de vous dire que le petit bonhomme en haut est de moi ? Si c’était aussi simple…

Examinons ça sous le microscope pour voir.

Donc en partant, mauvais destinataire, et pas dans ma langue par-dessus le marché.

Fausse facture

L’adresse courriel à côté d’Apple, dans le haut, indique <apple@atlaslms.apple.com>. Ça non plus, ce n’est pas bon. On continue.

D’entrée de jeu, on est poli et on indique « Dear Customer, » sauf que les courriels en provenance d’Apple indiquent toujours mon identifiant, pas de « Dear Customer ».

Notez que dans la première ligne on a mis un espace après le $ 4,49, avant la parenthèse fermante. Apple est plus perfectionniste que moi, ils n’auraient pas mis un espace là. Parlant d’espace mal placé, ceux qui ont créé ce courriel de phishing en ont mis un autre entre « account » et le point final de la troisième ligne. Le lien hypertexte est mal tapé, il aurait dû comporter deux barres obliques (http://www.apple.com) et non une seule, en plus du « www » utilisé par Apple.

Ensuite, dans le bas :

Apple!,
iTunes

Point d’exclamation et virgule ? Mais c’est quoi ça ?

Pour faire bref, j’ai mis le courriel à la bonne place, aux poubelles. Après tout, j’ai activé ce qu’on appelle l’authentification à deux facteurs (une sorte de validation d’identité à deux étapes) pour mes achats chez Apple, il n’est pas suffisant de savoir mon nom de compte et mon mot de passe, il faut aussi autre chose que seul moi j’ai. Du coup, je me sens plutôt en sécurité pour faire un achat sur le site en question.

Tout ça pour dire qu’il faut toujours rester sur nos gardes, surtout si ça semble vraisemblable et que le look paraît être correct (par exemple, le petit fond gris et la police de caractères sont semblables—mais pas identiques !—à ce qu’Apple utilise, d’où ma réaction de frousse initiale). Je vous dirai que sur le coup, j’ai mal filé. Et dans ce mode de pensée, l’émotion peut facilement étouffer l’analyse froide et logique, même chez moi où ce mode de fonctionnement cérébral est assez solide. Du coup, les petits détails qui nous font voir qu’on n’a pas affaire avec une communication officielle peuvent nous échapper.

Pour ceux que ça intrigue, l’authentification à deux facteurs (en anglais Two-factor authenthication) fonctionne comme ceci : on a un compte utilisateur (généralement une adresse courriel) avec mot de passe, et bien sûr, il faut s’assurer que le mot de passe soit quelque chose de tordu et long. Ensuite le site va vous demander de fournir un numéro de téléphone capable de recevoir des messages texte pour permettre d’activer ce deuxième niveau de sécurité. Plusieurs sites proposent désormais d’utiliser cette méthode (voir ici pour une liste de sites qui supportent cette méthode). Du coup, quand vous voulez acheter quelque chose en ligne disons, sur le site d’Apple, il faut entrer dans notre compte comme d’habitude, faire notre shopping, et quand vient le temps de cliquer sur le panier d’achat et finaliser la transaction, le site vous envoie un texto avec un code. Vous tapez le code sur la page web d’achat et le site sait alors de façon quasi-certaine que c’est bel et bien vous qui venez de faire l’achat, vu que le bandit qui tenterait de faire une fausse transaction n’aurait pas votre téléphone. Je dis « quasi-certaine » pour le cas improbable où on vous aurait kidnappé et qu’on vous forcerait à faire la transaction sous la menace. C’est mon côté parano qui ressort. J’sais pas pourquoi, il est plus fort ces temps-ci.

Et vous, est-ce qu’on a déjà tenté de vous en passer une vite de cette manière ?

Pour être sûr de recevoir un article qui réponde à vos besoins, faites-moi part de vos questionnements via la page Contact pour que je puisse en traiter dans cette chronique. Ça vous a plu ? Passez le mot, par courriel ou via FaceBook. Mais surtout, s.v.p. prenez deux minutes pour vous abonner en bas à droite. Merci !

Laissez un commentaire ci-dessous

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.