Les cybercriminels utilisent la plupart du temps des tactiques non pas techniques, mais bien humaines afin d’atteindre leurs objectifs et d’obtenir des informations confidentielles. Par exemple, un fraudeur se fera passer pour un technicien en soutien informatique qui a besoin d’installer un correctif sur l’ordinateur de sa victime, à laquelle il demande son mot de passe. Les meilleurs conseils: redoubler de prudence et s’accorder le temps nécessaire pour s’exercer à reconnaître ces tactiques lorsqu’elles se présentent.
Octobre étant le mois de la sensibilisation à la cybersécurité, les Services informatiques offrent une nouvelle série de microformations sur le sujet. Celles-ci abordent l’hameçonnage sous toutes ses formes, les virus et rançongiciels ainsi que le télétravail et les appareils mobiles.
Ces formations apprennent à éviter les pièges des cybercriminels et à reconnaître rapidement et facilement les menaces informatiques. Elles sont conçues de façon à maximiser son temps – il est possible de toutes les suivre en une heure – et elles procurent un aperçu des bonnes pratiques en matière de sécurité informatique.
Les tentatives d’hameçonnage s’effectuent par courriel, par message texte ou par téléphone, rappelle-t-on dans le premier module de formation. Chaque fois, l’objectif des fraudeurs est d’amener la victime à révéler des renseignements personnels, financiers ou des informations de comptes, ou d’installer des logiciels malveillants sur son appareil dans le but de commettre un vol d’identité ou de détourner des fonds.
Une fois les modules informatifs bien intégrés, on peut tester nos réflexes de cybersécurité avec quatre exemples de courriels, en indiquant pour chacun s’il s’agit d’un courriel légitime ou d’une tentative d’hameçonnage. Un test permet ensuite de récapituler les apprentissages, et ce, pour tous les modules.
On aborde également le piratage psychologique, où un fraudeur se fait passer pour une personne qu’il n’est pas.
Un bon truc pour vérifier si l’URL des liens est frauduleux: il suffit de passer la souris dessus et de lire l’adresse qui apparaît dans le bandeau de navigation, mais il ne faut surtout pas cliquer! La meilleure façon d’éviter les sites frauduleux est de ne pas cliquer sur les liens et les boutons contenus dans les courriels et les messages textes, insiste-t-on durant toute la formation.
Le module sur les différents types de logiciels malveillants ainsi que la manière dont les attaques par rançongiciels sont lancées rappelle l’importance de ne jamais payer de rançon, de ne jamais contacter les fraudeurs et de signaler toute anomalie, bogue ou message suspect au soutien technique de son organisation le plus tôt possible.
Le dernier module sur le télétravail et les appareils mobiles rappelle que la liberté de travailler de la maison, dans des lieux publics et même en déplacement n’est pas sans risque et que l’on doit adopter les bons comportements en matière de cybersécurité. On y aborde le cas spécifique des téléphones intelligents, devenus de véritables mini ordinateurs contenant plusieurs informations personnelles mais aussi professionnelles qui peuvent intéresser des personnes malveillantes. S’assurer d’avoir un NIP pour déverrouiller son appareil, programmer celui-ci pour qu’il se verrouille après quelques minutes s’il n’est pas utilisé et ne pas le laisser traîner à la vue dans un lieu public font partie des bonnes pratiques.
Ces microformations s’adressent davantage aux cadres et aux employées et employés de soutien de l’UQAM qu’aux étudiantes et étudiants. Ces derniers peuvent consulter le site Pensez cybersécurité, mieux adapté à leur réalité.
Webinaire «Détecter les pièges de l’hameçonnage»
Les Services informatiques offraient à l’ensemble de la communauté universitaire un webinaire ludique sous forme de jeu-questionnaire, le 25 octobre dernier, sur la plateforme Teams, afin de mieux connaître et détecter les pièges de l’hameçonnage. On a pu y apprendre à déjouer les meilleures tactiques des cybercriminels.