S3 Ep92 : Log4Shell4Ever, conseils de voyage et arnaque [Audio + Texte]

Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.

DOUG.  Escroqueries sur Facebook, Log4Shell pour toujours et conseils pour un été en toute sécurité.

Tout cela, et plus encore, sur le podcast Naked Security.

[MODÈME MUSICAL]

Bienvenue sur le podcast, tout le monde.

Je suis Doug Aamoth, et avec moi, comme toujours, Paul Ducklin.

Comment vas-tu Paul ?

---

CANARD.  Je suis super duper, Douglas.

Ça commence à se calmer un peu ici en Angleterre.

---

DOUG.  Oui.

---

CANARD.  Je pense que j'ai choisi le mauvais jour pour faire une belle balade à vélo dans la grande campagne.

C'était une si bonne idée quand j'ai commencé : "Je sais, je vais faire un bon long trajet, puis je prendrai le train pour rentrer chez moi, donc je suis à la maison à temps pour le podcast."

Et quand je suis arrivé, à cause de la chaleur extrême, les trains ne circulaient qu'une fois toutes les deux heures, et j'en avais raté un de peu.

J'ai donc dû faire tout le chemin du retour… et je l'ai fait juste à temps.

---

DOUG.  OK, voilà… vous et moi sommes en plein essor de l'été, et nous avons quelques conseils pour l'été à venir plus tard dans l'émission.

Mais d'abord, j'aimerais parler de Cette semaine dans l'histoire de la technologie.

Cette semaine, en 1968, Intel Corporation a été formée par Gordon Moore (il de la loi de Moore) et Robert Noyce.

Noyce est considéré comme le pionnier du circuit intégré, ou micropuce.

Le premier microprocesseur d'Intel serait le 4004, qui était utilisé pour les calculatrices.

Et, un Fait amusant, le nom Intel est un mashup d'INTegrated ELectronics.

Alors… cette entreprise s'est avérée plutôt bonne.

---

CANARD.  Oui!

Je suppose, pour être juste, peut-être diriez-vous, "Co-pionnier" ?

---

DOUG.  Oui. J'avais, "Un pionnier."

---

CANARD.  Jack Kilby, de Texas Instruments, je pense, a inventé le premier circuit intégré, mais il fallait encore que les pièces du circuit soient câblées ensemble.

Et Noyce a résolu le problème de comment les cuire tous dans du silicium.

J'ai en fait assisté à un discours de Jack Kilburn, alors que j'étais un informaticien fraîchement nommé.

Absolument fascinant – la recherche dans les années 1950 en Amérique !

Et bien sûr, Kilby a reçu un célèbre prix Nobel, je pense en l'an 2000.

Mais Robert Noyce, j'en suis sûr, aurait été co-lauréat, mais il était déjà mort à ce moment-là, et vous ne pouvez pas obtenir de prix Nobel à titre posthume.

Ainsi, Noyce n'a jamais obtenu de prix Nobel, contrairement à Jack St. Clair Kilby.

---

DOUG.  Bon, c'était il y a longtemps...

…et dans longtemps, on parlera peut-être encore de Log4Shell…

---

CANARD.  Oh, mon cher, oui.

---

DOUG.  Même s'il existe une solution, les États-Unis ont déclaré qu'il pourrait s'écouler des décennies avant que cette chose ne soit effectivement corrigé.

---

CANARD.  Soyons justes… ils ont dit : « Peut-être une décennie ou plus.

Il s'agit d'un corps appelé le Commission d'examen de la cybersécurité, le CSRB (qui fait partie du Department of Homeland Security), qui a été formé plus tôt cette année.

Je ne sais pas s'il a été formé spécifiquement à cause de Log4Shell, ou simplement parce que les problèmes de code source de la chaîne d'approvisionnement deviennent un gros problème.

Et près de huit mois après la création de Log4Shell, ils ont produit ce rapport de 42 pages… le résumé à lui seul compte près de 3 pages.

Et quand j'ai jeté un coup d'œil à cela pour la première fois, j'ai pensé: "Oh, nous y voilà."

Certains fonctionnaires se sont fait dire: « Allez, où est votre rapport? Vous êtes le comité de révision. Publier ou périr!"

En fait, bien que certaines parties soient en effet lourdes, je pense que vous devriez lire cela.

Ils ont expliqué comment, en tant que fournisseur de logiciels, en tant que créateur de logiciels, en tant qu'entreprise fournissant des solutions logicielles à d'autres personnes, il n'est en fait pas si difficile de se rendre facile à contacter, afin que les gens puissent vous faire savoir quand il y a quelque chose vous avez négligé.

Par exemple, "Il y a encore une version de Log4J dans votre code que vous n'avez pas remarquée avec la meilleure volonté du monde, et vous n'avez pas corrigé."

Pourquoi ne voudriez-vous pas que quelqu'un qui essaie de vous aider puisse vous trouver et vous contacter facilement ?

---

DOUG.  Et ils disent des choses comme… ce premier est une sorte d'enjeux de table, mais c'est bon pour tout le monde, en particulier les petites entreprises qui n'y ont pas pensé : développez un inventaire des actifs et des applications, afin que vous sachiez ce que vous avez en cours d'exécution où.

---

CANARD.  Ils ne menacent ni ne revendiquent expressément cela, parce que ce n'est pas à ces fonctionnaires de faire les lois (c'est à la législature)… mais je pense que ce qu'ils disent est : « Développez cette capacité, parce que si vous ne le faites pas , ou vous ne pouviez pas être dérangé, ou vous ne savez pas comment le faire, ou vous pensez que vos clients ne le remarqueront pas, vous pourriez éventuellement découvrir que vous n'avez pas ou peu de choix !

Surtout si vous voulez vendre des produits au gouvernement fédéral ! [RIRE]

---

DOUG.  Oui, et nous en avons déjà parlé… une autre chose à laquelle certaines entreprises n'ont peut-être pas encore pensé, mais qu'il est important d'avoir : un programme de réponse aux vulnérabilités.

Que se passe-t-il si vous avez une vulnérabilité ?

Quelles sont les démarches que vous effectuez ?

Quel est le plan de match que vous suivez pour y remédier ?

---

CANARD.  Oui, c'est ce à quoi je faisais allusion plus tôt.

La partie simple de cela est que vous avez juste besoin d'un moyen facile pour quelqu'un de savoir où il envoie des rapports dans votre organisation... et ensuite vous devez vous engager, en interne en tant qu'entreprise, à ce que lorsque vous recevez des rapports, vous agirez réellement sur eux.

Comme je l'ai dit, imaginez simplement que vous avez ce gros toolkit Java que vous vendez, une grosse application avec beaucoup de composants, et dans l'un des systèmes back-end, il y a ce gros truc Java.

Et là-dedans, imaginez qu'il y a toujours un Log4J vulnérable .JAR fichier que vous avez oublié.

Pourquoi ne voudriez-vous pas que la personne qui l'a découvert puisse vous le dire rapidement et facilement, même avec un simple e-mail ?

Le nombre de fois que vous allez sur Twitter et que vous voyez des chercheurs bien connus en cybersécurité dire : « Hé, est-ce que quelqu'un sait comment contacter XYZ Corp ?

N'avions-nous pas un cas sur le podcast d'un gars qui a fini par… Je pense qu'il est allé sur TikTok ou quelque chose comme ça [RIRE] parce qu'il n'a pas pu savoir comment contacter cette entreprise.

Et il a fait une vidéo disant : "Hé les gars, je sais que vous aimez vos vidéos sur les réseaux sociaux, j'essaie juste de vous parler de ce bug."

Et finalement ils l'ont remarqué.

Si seulement il avait pu se rendre dans votre entreprise DOT com SLASH security DOT txt, par exemple, et trouver une adresse e-mail !

« C'est là que nous préférerions que vous nous contactiez. Ou nous faisons des primes de bugs via ce programme… voici comment vous y inscrire. Si vous voulez être payé.

Ce n'est pas si dur!

Et cela signifie que quelqu'un qui veut vous informer que vous avez un bogue que vous pensiez peut-être avoir corrigé peut vous le dire.

---

DOUG.  J'adore le démontage dans cet article!

Vous écrivez et vous canalisez John F. Kennedy, en disant [KENNEDY VOICE] « Ne demandez pas ce que tout le monde peut faire pour vous, mais pensez à ce que vous pouvez faire pour vous-même, car toute amélioration que vous apporterez profitera presque certainement à tous les autres également. ”

D'accord, c'est sur le site si vous voulez en savoir plus… c'est une lecture obligatoire si vous êtes dans une situation où vous devez faire face à l'une de ces choses.

C'est une bonne lecture… lisez au moins le résumé de trois pages, sinon le rapport de 42 pages.

---

CANARD.  Oui, c'est long, mais je l'ai trouvé étonnamment réfléchi, et j'ai été très agréablement surpris.

Et je pensais que si les gens lisaient ceci, et que des gens au hasard en prenaient à cœur un dixième au hasard…

… nous devrions collectivement être dans un meilleur endroit.

---

DOUG.  Très bien, allons de l'avant.

C'est la saison des vacances d'été, et cela implique souvent d'emporter vos gadgets avec vous.

Nous avons des conseils pour profiter vos vacances d'été sans, euh, "ne pas en profiter".

---

CANARD.  "Combien de gadgets devrions-nous emporter ? [DRAMATIQUE] Emballez-les tous !"

Malheureusement, plus vous en prenez, plus votre risque est grand, en gros.

---

DOUG.  Votre premier conseil ici est que vous emballez tous vos gadgets… devriez-vous faire une sauvegarde avant de partir ?

Deviner la réponse est, "Oui!"

---

CANARD.  Je pense que c'est assez évident.

Tout le monde sait que vous devriez faire une sauvegarde, mais ils l'ont reportée.

J'ai donc pensé que c'était l'occasion de débiter notre petite maxime, ou truisme : "La seule sauvegarde que vous regretterez jamais est celle que vous n'avez pas faite."

Et l'autre chose à propos de s'assurer que vous avez sauvegardé un appareil - que ce soit dans un compte cloud dont vous vous déconnectez ensuite, ou que ce soit sur un lecteur amovible que vous cryptez et placez dans le placard quelque part - cela signifie que vous peut réduire votre empreinte numérique sur l'appareil.

Nous verrons pourquoi cela pourrait être une bonne idée… juste pour que vous n'ayez pas toute votre vie numérique et votre histoire avec vous.

Le fait est qu'en ayant une bonne sauvegarde, puis en réduisant ce que vous avez réellement sur le téléphone, il y a moins de risque de se tromper si vous le perdez ; s'il est confisqué ; si les agents d'immigration veulent y jeter un coup d'œil ; peu importe ce que c'est.

---

DOUG.  Et, quelque peu lié aux déplacements, vous risquez de perdre votre ordinateur portable et/ou votre téléphone portable… vous devez donc chiffrer ces appareils.

---

CANARD.  Oui.

Maintenant, la plupart des appareils sont cryptés par défaut ces jours-ci.

C'est certainement vrai pour Android ; c'est certainement vrai pour iOS ; Et je pense que lorsque vous obtenez des ordinateurs portables Windows ces jours-ci, BitLocker est là.

Je ne suis pas un utilisateur Windows, donc je ne suis pas sûr… mais certainement, même si vous avez Windows Home Edition (ce qui, ennuyeux, et j'espère que cela changera à l'avenir, ne vous permet pas d'utiliser BitLocker sur des lecteurs amovibles) … il vous permet d'utiliser BitLocker sur votre disque dur.

Pourquoi pas?

Parce que cela signifie que si vous le perdez, ou qu'il est confisqué, ou que votre ordinateur portable ou votre téléphone est volé, ce n'est pas seulement un cas où un escroc ouvre votre ordinateur portable, débranche le disque dur, le branche sur un autre ordinateur et lit tout ce qu'il contient , juste comme ça.

Pourquoi ne pas prendre la précaution ?

Et, bien sûr, sur un téléphone, généralement parce qu'il est pré-crypté, les clés de cryptage sont pré-générées et protégées par votre code de verrouillage.

Ne vous dites pas : « Eh bien, je serai sur la route, je serai peut-être sous pression, j'en aurai peut-être besoin rapidement… Je vais juste utiliser 1234 or 0000 pendant la durée des vacances.

Ne fais pas ça!

Le code de verrouillage de votre téléphone est ce qui gère les clés de chiffrement et de déchiffrement complets des données du téléphone.

Choisissez donc un code de verrouillage long… Je recommande dix chiffres ou plus.

Réglez-le et entraînez-vous à l'utiliser à la maison pendant quelques jours, pendant une semaine avant de partir, jusqu'à ce que ce soit une seconde nature.

Ne pars pas simplement, 1234 est assez bon, ou "Oh, j'aurai un long code de verrouillage... Je vais y aller 0000 0000, c'est *huit* caractères, personne n'y pensera jamais !"

---

DOUG.  OK, et celle-ci est vraiment intéressante : vous avez des conseils sur les personnes qui traversent les frontières nationales.

---

CANARD.  Oui, c'est devenu quelque chose d'un problème ces jours-ci.

Parce que de nombreux pays – je pense que les États-Unis et le Royaume-Uni parmi eux, mais ils ne sont en aucun cas les seuls – peuvent dire : « Écoutez, nous voulons jeter un œil à votre appareil. Pourriez-vous le déverrouiller, s'il vous plaît ? »

Et vous répondez : « Non, bien sûr que non ! C'est privé! Vous n'avez pas le droit de faire ça !

Eh bien, peut-être qu'ils le font, et peut-être qu'ils ne le font pas… vous n'êtes pas encore dans le pays.

C'est « Ma cuisine, Mes règles », alors ils pourraient dire : « D'accord, d'accord, *vous* avez parfaitement le droit de refuser… mais alors *nous allons* vous refuser l'admission. Attendez ici dans la salle des arrivées jusqu'à ce que nous puissions vous transférer à la salle des départs pour prendre le prochain vol de retour !"

Fondamentalement, ne *vous inquiétez* pas de ce qui va se passer, comme "Je pourrais être obligé de révéler des données à la frontière".

*Recherchez* quelles sont les conditions d'entrée… les règles de confidentialité et de surveillance dans le pays où vous vous rendez.

Et si vous ne les aimez vraiment pas, n'y allez pas ! Trouvez un autre endroit où aller.

Ou entrez simplement dans le pays, dites la vérité et réduisez votre empreinte numérique.

Comme nous le disions avec la sauvegarde… moins vous emportez d'éléments de « vie numérique » avec vous, moins il y a de risques de se tromper et moins il est probable que vous les perdiez.

Donc, "Soyez prêt" est ce que je dis.

---

DOUG.  OK, et celle-ci est bonne : Wi-Fi public, est-ce sûr ou non ?

Ça dépend, j'imagine ?

---

CANARD.  Oui.

Il y a beaucoup de gens qui disent : "Mon Dieu, si tu utilises le Wi-Fi public, tu es condamné !"

Bien sûr, nous utilisons tous le Wi-Fi public depuis des années, en fait.

Je ne connais personne qui ait arrêté de l'utiliser par peur d'être piraté, mais je sais que les gens disent : « Eh bien, je sais quels sont les risques. Ce routeur aurait pu appartenir à n'importe qui. Il pourrait y avoir des escrocs dessus; il pourrait avoir un exploitant de café sans scrupules ; ou il se peut que quelqu'un l'ait piraté alors qu'il était ici en vacances le mois dernier parce qu'il pensait que c'était terriblement drôle, et qu'il y a une fuite de données parce que "ha ha ha".

Mais si vous utilisez des applications dotées d'un cryptage de bout en bout et si vous utilisez des sites HTTPS de sorte qu'ils sont cryptés de bout en bout entre votre appareil et l'autre extrémité, il existe des limites considérables à ce que même un routeur complètement piraté peut révéler.

Parce que tout logiciel malveillant implanté par un visiteur précédent sera implanté sur le *routeur*, et non sur *votre appareil*.

---

DOUG.  OK, ensuite… ce que je considère comme la version informatique des toilettes publiques rarement nettoyées.

Dois-je utiliser des kiosques PC dans les aéroports ou les hôtels ?

Mis à part la cybersécurité… juste le nombre de personnes qui ont mis la main sur ce clavier et cette souris sales et sales !

---

CANARD.  Exactement.

Donc, c'est le revers de la médaille "Devrais-je utiliser le Wi-Fi public ?"

Dois-je utiliser un PC Kkiosk, par exemple, à l'hôtel ou dans un aéroport ?

La grande différence entre un routeur Wi-Fi qui a été piraté et un PC kiosque qui a été piraté est que si votre trafic est crypté via un routeur compromis, il y a une limite à ce qu'il peut vous espionner.

Mais si votre trafic provient d'un ordinateur de kiosque piraté ou compromis, alors fondamentalement, du point de vue de la cybersécurité, *c'est 100% Game Over*.

En d'autres termes, ce PC kiosque pourrait avoir un accès illimité à * toutes les données que vous envoyez et recevez sur Internet * avant qu'elles ne soient cryptées (et après que les éléments que vous récupérez soient décryptés).

Ainsi, le cryptage devient essentiellement hors de propos.

* Chaque frappe que vous tapez *… vous devez supposer qu'elle est suivie.

*Chaque fois que quelque chose s'affiche à l'écran*… vous devez supposer que quelqu'un peut prendre une capture d'écran.

*Tout ce que vous imprimez*… vous devez supposer qu'il y a une copie faite dans un fichier caché.

Donc, mon conseil est de traiter ces PC de kiosque comme un mal nécessaire et de ne les utiliser que si vous le devez vraiment.

---

DOUG.  Oui, j'étais dans un hôtel le week-end dernier qui avait un PC kiosque, et la curiosité a eu raison de moi.

Je suis arrivé… il fonctionnait sous Windows 10 et vous pouviez installer n'importe quoi dessus.

Il n'était pas verrouillé et celui qui l'avait utilisé auparavant ne s'était pas déconnecté de Facebook !

Et c'est un hôtel de chaîne qui aurait dû mieux le savoir… mais c'était juste un système largement ouvert dont personne ne s'était déconnecté ; un cloaque potentiel de cybercriminalité en attente de se produire.

---

CANARD.  Donc, vous pouvez simplement brancher une clé USB et ensuite « Installer le keylogger » ?

---

DOUG.  Oui!

---

CANARD.  "Installer le renifleur de réseau."

---

DOUG.  Euh hein !

---

CANARD.  "Installer le rootkit."

---

DOUG.  Oui!

---

CANARD.  "Mettez des crânes enflammés sur du papier peint."

---

DOUG.  Non, merci!

Cette prochaine question n'a pas de bonne réponse…

Qu'en est-il des caméras espions, des chambres d'hôtel et des Airbnb ?

Ceux-ci sont difficiles à trouver.

---

CANARD.  Oui, je l'ai mis parce que c'est une question qu'on nous pose régulièrement.

Nous avons écrit sur trois cas différents de caméras espions non déclarées. (C'est une sorte de tautologie, n'est-ce pas ?)

L'un était dans une auberge de travail agricole en Australie, où ce type invitait des personnes titulaires d'un visa de visiteur autorisées à faire des travaux agricoles, en disant "Je vais vous donner un endroit où rester".

Il s'est avéré qu'il était un Peeping Tom.

L'un était dans une maison Airbnb en Irlande.

C'était une famille qui avait fait tout le chemin depuis la Nouvelle-Zélande, donc ils ne pouvaient pas simplement monter dans la voiture et rentrer chez eux, abandonner !

Et l'autre était un vrai hôtel en Corée du Sud… celui-ci était vraiment flippant.

Je ne pense pas que ce soit la chaîne qui possédait l'hôtel, c'était des employés corrompus ou quelque chose comme ça.

Ils ont mis des caméras espions dans les chambres, et je ne plaisante pas, Doug… ils vendaient en fait, en gros, du pay-per-view.

Je veux dire, à quel point est-ce effrayant?

La bonne nouvelle, dans deux de ces cas, les auteurs ont en fait été arrêtés et inculpés, donc ça s'est mal terminé pour eux, ce qui est tout à fait vrai.

Le problème est que… si vous lisez l'histoire d'Airbnb (nous avons un lien sur Naked Security), le gars qui y séjournait avec sa famille était en fait un informaticien, un expert en cybersécurité.

Et il a remarqué que l'une des chambres (vous êtes censé déclarer s'il y a des caméras dans un Airbnb, apparemment) avait deux détecteurs de fumée.

Quand voyez-vous deux avertisseurs de fumée ? Vous n'en avez besoin que d'un.

Et alors il a commencé à regarder l'un d'eux, et cela ressemblait à un avertisseur de fumée.

L'autre, eh bien, le petit trou qui a la LED qui clignote ne clignotait pas.

Et quand il a jeté un coup d'œil, il a pensé: "Ça a l'air étrangement comme une lentille pour un appareil photo !

Et c'était, en fait, une caméra espion déguisée en détecteur de fumée.

Le propriétaire l'avait connecté au Wi-Fi régulier, il a donc pu le trouver en faisant une analyse du réseau… en utilisant un outil comme Nmap, ou quelque chose comme ça.

Il a trouvé cet appareil et lorsqu'il l'a envoyé, il était assez évident, d'après sa signature réseau, qu'il s'agissait en fait d'une webcam, bien qu'une webcam soit cachée dans un détecteur de fumée.

Il a donc eu de la chance.

Nous avons écrit un article sur ce qu'il a trouvé, en liant et en expliquant ce sur quoi il avait blogué à l'époque.

C'était en 2019, donc il y a trois ans, donc la technologie a probablement même évolué un peu plus depuis.

Quoi qu'il en soit, il est allé en ligne pour voir: "Quelle chance ai-je réellement de trouver des caméras dans les prochains endroits où je séjourne?"

Et il est tombé sur une caméra espion - j'imagine que la qualité de l'image serait assez terrible, mais c'est toujours une * caméra espion numérique fonctionnelle *…. pas sans fil, vous devez le câbler - intégré *dans une vis cruciforme*, Doug !

---

DOUG.  Incroyable.

---

CANARD.  Littéralement le type de vis que vous trouverez dans la plaque de recouvrement que vous obtenez sur un interrupteur d'éclairage, disons, cette taille de vis.

Ou la vis que vous obtenez sur une plaque de couverture de prise de courant… une vis à tête cruciforme de taille régulière et modeste.

---

DOUG.  Je les recherche sur Amazon en ce moment !

"Caméra à vis sténopé", pour 20 $.

---

CANARD.  S'il n'est pas connecté au même réseau, ou s'il est connecté à un appareil qui enregistre simplement sur une carte SD, il sera très difficile à trouver !

Donc, malheureusement, la réponse à cette question... la raison pour laquelle je n'ai pas écrit la question six comme suit : "Comment puis-je trouver des caméras espions dans les chambres dans lesquelles j'ai séjourné ?"

La réponse est que vous pouvez essayer, mais malheureusement, c'est tout ce truc « L'absence de preuve n'est pas une preuve d'absence ».

Malheureusement, nous n'avons pas de conseil disant : « Il y a un petit gadget que vous pouvez acheter qui a la taille d'un téléphone mobile. Vous appuyez sur un bouton et ça bipe s'il y a une caméra espion dans la pièce.

---

DOUG.  D'ACCORD. Notre dernier conseil pour ceux d'entre vous qui ne peuvent pas s'en empêcher : "Je pars en vacances, mais si je veux emporter mon ordinateur portable de travail ?"

---

CANARD.  Je ne peux pas répondre à ça.

Vous ne pouvez pas répondre à cela.

Ce n'est pas votre ordinateur portable, c'est l'ordinateur portable du travail.

Donc, la réponse simple est : "Demandez !"

Et s'ils disent : « Où vas-tu ? », et que tu donnes le nom du pays et qu'ils disent : « Non »…

…alors c'est ça, tu ne peux pas l'emporter.

Dites peut-être simplement : « Super, puis-je le laisser ici ? Pouvez-vous l'enfermer dans le placard informatique jusqu'à mon retour ? »

Si vous allez demander au service informatique : "Je vais dans le pays X. Si j'emmenais mon ordinateur portable professionnel, avez-vous des recommandations particulières ?"…

… écoutez-les !

Parce que si le travail pense qu'il y a des choses que vous devez savoir sur la confidentialité et la surveillance de l'endroit où vous allez, ces choses s'appliquent probablement à votre vie à la maison.

---

DOUG.  Très bien, c'est un excellent article… allez lire le reste.

---

CANARD.  Je suis tellement fier des deux jingles avec lesquels j'ai fini !

---

DOUG.  Oh oui!

Nous avons entendu, "En cas de doute, ne le donnez pas."

Mais c'est un nouveau que vous avez trouvé, que j'aime beaucoup….

---

CANARD.  « Si votre vie est sur votre téléphone/Pourquoi ne pas le laisser à la maison ? »

---

DOUG.  Oui, voilà!

D'accord, pour gagner du temps, nous avons un autre article sur le site que je vous prie de lire. Cela s'appelle : Facebook Les escrocs 2FA reviennent, cette fois en seulement 21 minutes.

C'est la même arnaque qui prenait 28 minutes, donc ils ont épargné sept minutes à cette arnaque.

Et nous avons une question de lecteur à propos de cet article.

Le lecteur Peter écrit, en partie : « Pensez-vous vraiment que ces choses sont une coïncidence ? J'ai récemment aidé mon beau-père à changer le contrat haut débit de British Telecom, et le jour où le changement a eu lieu, il a reçu un appel téléphonique d'hameçonnage de British Telecom. De toute évidence, cela aurait pu arriver n'importe quel jour, mais des choses comme ça vous font vous interroger sur le timing. Paul…"

---

CANARD.  Oui, nous avons toujours des gens qui disent : « Vous savez quoi ? J'ai eu une de ces arnaques..."

Qu'il s'agisse d'une page Facebook ou de droits d'auteur Instagram ou, comme le père de ce type, des télécommunications... « J'ai eu l'arnaque le matin même après avoir fait quelque chose qui était directement lié à l'arnaque. Ce n'est sûrement pas une coïncidence ?

Et je pense que pour la plupart des gens, parce qu'ils commentent Naked Security, ils se rendent compte que c'est une arnaque, alors ils disent : « Les escrocs savaient sûrement ?

En d'autres termes, il doit y avoir des informations privilégiées.

Le revers de la médaille, c'est que les gens qui * ne * réalisent pas que c'est une arnaque et ne commenteront pas Naked Security, ils disent: "Oh, eh bien, ça ne peut pas être une coïncidence, donc ça doit être authentique!"

Dans la plupart des cas, d'après mon expérience, c'est absolument une coïncidence, simplement sur la base du volume.

Donc, le fait est que dans la plupart des cas, je suis convaincu que ces escroqueries que vous obtenez, ce sont des coïncidences, et les escrocs comptent sur le fait qu'il est facile de "fabriquer" ces coïncidences quand vous pouvez envoyer autant d'e-mails à tant de les gens si facilement.

Et vous n'essayez pas de tromper *tout le monde*, vous essayez juste de tromper *quelqu'un*.

Et Doug, si je peux l'insérer à la fin : "Utilise un gestionnaire de mots de passe !"

Parce qu'alors vous ne pouvez pas mettre le bon mot de passe sur le mauvais site par erreur, et cela vous aide énormément avec ces escroqueries, qu'elles soient fortuites ou non.

---

DOUG.  Très bien, comme toujours !

Merci pour le commentaire, Pierre.

Si vous avez une histoire intéressante, un commentaire ou une question que vous aimeriez soumettre, nous serions ravis de le lire sur le podcast.

Vous pouvez envoyer un e-mail à tips@sophos.com, commenter n'importe lequel de nos articles ou nous contacter sur les réseaux sociaux : @nakedsecurity.

C'est notre émission d'aujourd'hui; merci beaucoup pour votre écoute.

Pour Paul Ducklin, je suis Doug Aamoth, vous rappelant, jusqu'à la prochaine fois, de…

---

TOUS LES DEUX.  Restez en sécurité!

[MODÈME MUSICAL]