Glossaire cybersécurité et arnaques en ligne

Logiciel publicitaire qui affiche des publicites non sollicitees sur votre appareil, souvent installe a votre insu. Les adwares peuvent ralentir votre ordinateur, collecter vos donnees de navigation et vous rediriger vers des sites malveillants. Ils sont frequemment integres dans des logiciels gratuits telecharges depuis des sources non fiables.

L'Agence Nationale de la Securite des Systemes d'Information est l'autorite nationale en matiere de cybersecurite en France. Elle a pour mission de prevenir, detecter et reagir aux cyberattaques, et publie regulierement des recommandations de securite pour les entreprises et les particuliers.

Escroquerie en ligne ou des victimes sont recrutees pour effectuer des micro-taches (liker des videos, noter des produits) en echange d'une remuneration. Apres quelques paiements reels destines a instaurer la confiance, les escrocs demandent un investissement initial pour debloquer des missions mieux payees, puis disparaissent avec l'argent.

Technique d'escroquerie ciblant les entreprises, ou le fraudeur se fait passer pour le dirigeant (PDG, directeur financier) afin d'ordonner un virement bancaire urgent et confidentiel. Cette arnaque repose sur l'autorite hierarchique et l'urgence pour contourner les procedures de verification habituelles.

Escroquerie dans laquelle un fraudeur cree une fausse identite sur un site de rencontre ou un reseau social pour etablir une relation amoureuse avec sa victime. Une fois la confiance installee, l'escroc invente des pretextes (urgence medicale, frais de voyage) pour soutirer de l'argent.

Technologie de registre distribue qui enregistre les transactions de maniere transparente et infalsifiable. Si la blockchain elle-meme est securisee, elle est souvent exploitee par les escrocs pour creer des cryptomonnaies frauduleuses ou des arnaques a l'investissement qui promettent des rendements irrealistes.

Reseau de milliers d'ordinateurs infectes par un malware et controles a distance par un pirate informatique, sans que leurs proprietaires le sachent. Les botnets sont utilises pour lancer des attaques DDoS, envoyer du spam en masse, miner des cryptomonnaies ou voler des donnees personnelles.

Methode d'attaque informatique consistant a tester systematiquement toutes les combinaisons possibles de mots de passe jusqu'a trouver le bon. Les attaques par force brute sont particulierement efficaces contre les mots de passe courts ou simples. L'utilisation d'un mot de passe long et complexe est la meilleure protection.

Pratique consistant a creer une fausse identite en ligne, generalement en utilisant des photos volees, pour tromper d'autres personnes dans un contexte romantique ou amical. Le catfishing est souvent la premiere etape d'une arnaque sentimentale visant a soutirer de l'argent a la victime.

Certificat numerique qui authentifie l'identite d'un site web et permet une connexion chiffree (HTTPS). Attention : la presence d'un cadenas dans la barre d'adresse ne garantit pas que le site est legitime. Les escrocs utilisent aussi des certificats SSL gratuits pour leurs sites de phishing.

Logiciel malveillant deguise en programme legitime qui, une fois installe, permet a un pirate d'acceder a votre ordinateur a distance. Contrairement aux virus, le cheval de Troie ne se reproduit pas mais ouvre une porte derobee pour voler des donnees, installer d'autres malwares ou espionner vos activites.

La Commission Nationale de l'Informatique et des Libertes est l'autorite francaise chargee de veiller a la protection des donnees personnelles. Elle peut etre saisie en cas de fuite de donnees, de demarchage abusif ou de non-respect du RGPD par une entreprise.

Technique d'attaque automatisee qui utilise des identifiants (email et mot de passe) voles lors de fuites de donnees pour tenter de se connecter a d'autres services en ligne. Cette attaque exploite le fait que de nombreux utilisateurs reutilisent les memes mots de passe sur plusieurs sites.

Utilisation non autorisee de votre ordinateur ou smartphone pour miner des cryptomonnaies au profit d'un pirate informatique. Le cryptojacking peut se faire via un malware installe sur votre appareil ou via un script malveillant sur un site web, provoquant un ralentissement notable et une surconsommation d'energie.

Plateforme gouvernementale francaise (cybermalveillance.gouv.fr) qui aide les victimes de cybermalveillance a diagnostiquer leur probleme et a trouver une assistance. Elle propose egalement des contenus de sensibilisation et des outils de prevention contre les menaces numeriques.

L'attaque par Deni de Service Distribue (Distributed Denial of Service) consiste a submerger un serveur de requetes simultanees provenant de milliers de machines, rendant le service inaccessible. Les attaques DDoS sont parfois utilisees comme moyen de chantage ou comme diversion pendant une autre attaque.

Contenu multimedia (video, audio, image) genere ou modifie par intelligence artificielle pour imiter de maniere realiste l'apparence ou la voix d'une personne. Les deepfakes sont de plus en plus utilises dans les arnaques au president, l'usurpation d'identite et les campagnes de desinformation.

Methode de securite qui exige deux formes d'identification pour acceder a un compte : votre mot de passe plus un code temporaire envoye par SMS, email ou genere par une application. La 2FA reduit considerablement le risque de piratage meme si votre mot de passe est compromis.

Arnaque ou des escrocs se font passer pour le support technique de Microsoft, Apple ou votre fournisseur d'acces internet pour prendre le controle de votre ordinateur a distance. Ils pretendent detecter un virus ou un probleme et vous font payer pour une fausse reparation, tout en installant des malwares.

Technique d'arnaque consistant a detourner un virement bancaire en se faisant passer pour un fournisseur, un bailleur ou un proche. L'escroc intercepte ou falsifie un RIB dans un echange d'emails pour rediriger le paiement vers son propre compte bancaire.

Traduction francaise officielle de 'phishing'. Technique frauduleuse visant a leurrer une victime pour lui soutirer des informations personnelles (identifiants, coordonnees bancaires) en se faisant passer pour un organisme de confiance via un email, un SMS ou un site web contrefait.

Protocole de communication securise (HyperText Transfer Protocol Secure) qui chiffre les echanges entre votre navigateur et un site web. La presence de HTTPS (cadenas dans la barre d'adresse) indique que la connexion est chiffree, mais ne garantit pas que le site est fiable ou legitime.

Ensemble de techniques de manipulation psychologique utilisees pour tromper les individus et les amener a divulguer des informations confidentielles ou a effectuer des actions prejudiciables. L'ingenierie sociale exploite la confiance, l'urgence, la peur ou la curiosite plutot que des failles techniques.

Logiciel espion ou dispositif materiel qui enregistre toutes les frappes effectuees sur un clavier a l'insu de l'utilisateur. Les keyloggers permettent aux pirates de capturer vos mots de passe, numeros de carte bancaire et messages prives. Ils peuvent etre installes via un email piege ou un acces physique a l'ordinateur.

Terme generique designant tout logiciel malveillant concu pour endommager, perturber ou s'infiltrer dans un systeme informatique sans le consentement de l'utilisateur. Les malwares incluent les virus, chevaux de Troie, ransomwares, spywares et adwares.

Attaque informatique ou un pirate s'intercale secretement entre deux parties qui communiquent (par exemple entre vous et votre banque en ligne) pour intercepter ou modifier les echanges. Cette attaque est courante sur les reseaux Wi-Fi publics non securises.

Chaine de caracteres secrete servant a authentifier l'identite d'un utilisateur. Un mot de passe robuste doit comporter au moins 12 caracteres melangeant majuscules, minuscules, chiffres et caracteres speciaux. L'utilisation d'un gestionnaire de mots de passe est recommandee pour generer et stocker des mots de passe uniques pour chaque service.

Les arnaques aux NFT (Non-Fungible Tokens) exploitent la speculation autour des jetons non fongibles pour escroquer les acheteurs. Les techniques incluent les faux projets NFT qui disparaissent apres la vente (rug pull), les NFT contrefaits copiant des oeuvres existantes, et les fausses places de marche NFT.

Dispositif de securite (logiciel ou materiel) qui filtre le trafic reseau entrant et sortant selon des regles predefinies. Le pare-feu constitue la premiere ligne de defense contre les intrusions en bloquant les connexions non autorisees a votre ordinateur ou reseau.

Technique de piratage qui redirige le trafic d'un site web legitime vers un site frauduleux, meme si l'utilisateur a saisi la bonne adresse. Contrairement au phishing qui necessite un clic, le pharming modifie les parametres DNS de votre ordinateur ou du serveur pour vous tromper automatiquement.

Technique d'escroquerie en ligne consistant a envoyer des messages (emails, SMS) imitant des organismes de confiance (banques, administrations, entreprises) pour inciter les victimes a communiquer leurs donnees personnelles ou bancaires. Le phishing represente la menace numero un sur internet en France.

Depuis 2024, il est possible de porter plainte en ligne via le service THESEE (Traitement Harmonise des Enquetes et Signalements pour les E-escroqueries) sur service-public.fr pour les arnaques sur internet. Cette procedure simplifie les demarches pour les victimes d'escroqueries numeriques.

Variante du phishing utilisant des QR codes frauduleux pour rediriger les victimes vers des sites malveillants. Les QR codes pieges sont places sur de faux avis de contravention, des bornes de recharge, des publicites ou envoyes par email. Le quishing contourne les filtres anti-spam qui ne peuvent pas analyser le contenu des QR codes.

Traduction francaise officielle de 'ransomware'. Logiciel malveillant qui chiffre les fichiers d'un ordinateur ou d'un reseau et exige une rancon (generalement en cryptomonnaie) en echange de la cle de dechiffrement. Les autorites deconseillent formellement de payer la rancon car rien ne garantit la recuperation des fichiers.

Logiciel malveillant qui chiffre les donnees d'un systeme informatique et exige le paiement d'une rancon pour les restaurer. Les ransomwares se propagent principalement via des pieces jointes d'emails piratees, des liens malveillants ou des failles de securite non corrigees.

Le Reglement General sur la Protection des Donnees est le texte de reference europeen en matiere de protection des donnees personnelles. Il donne aux citoyens le droit de savoir quelles donnees sont collectees, de demander leur suppression, et impose aux entreprises de signaler les fuites de donnees sous 72 heures.

Ensemble de logiciels malveillants concu pour obtenir un acces administrateur ('root') a un systeme informatique tout en dissimulant sa presence. Les rootkits sont particulierement dangereux car ils sont tres difficiles a detecter par les antivirus classiques et permettent un controle total de la machine infectee.

Technique de fraude consistant a convaincre un operateur telephonique de transferer votre numero de telephone sur une nouvelle carte SIM controlee par l'escroc. Une fois le numero detourne, le pirate peut recevoir vos SMS de verification (2FA), acceder a vos comptes bancaires et reseaux sociaux.

Association francaise partenaire de la CNIL qui permet aux internautes de signaler les spams recus dans leur messagerie. Les signalements effectues sur signal-spam.fr sont transmis aux autorites competentes et aux operateurs pour identifier et sanctionner les emetteurs de spams.

Contraction de 'SMS' et 'phishing', le smishing designe les tentatives d'hameconnage par SMS. Les messages frauduleux imitent des organismes officiels (Ameli, impots, La Poste) et contiennent un lien vers un site contrefait destine a voler vos informations personnelles ou bancaires.

Voir 'Ingenierie sociale'. Terme anglais designant les techniques de manipulation psychologique visant a exploiter la confiance humaine pour obtenir des informations confidentielles ou un acces non autorise a des systemes. Le social engineering est a la base de la plupart des arnaques en ligne.

Forme ciblee et sophistiquee de phishing ou l'attaquant personnalise son message en utilisant des informations specifiques sur sa victime (nom, poste, collegues, projets en cours). Contrairement au phishing de masse, le spear phishing vise une personne ou une organisation precise, le rendant beaucoup plus difficile a detecter.

Technique de falsification d'identite numerique consistant a usurper une adresse email, un numero de telephone ou une adresse IP pour se faire passer pour un expediteur de confiance. Le spoofing telephonique permet par exemple d'afficher le vrai numero de votre banque sur votre telephone lors d'un appel frauduleux.

Logiciel espion installe sur un appareil a l'insu de son proprietaire pour collecter et transmettre des informations personnelles : historique de navigation, frappes clavier, captures d'ecran, localisation. Les spywares sont souvent distribues via des applications gratuites ou des pieces jointes malveillantes.

En securite informatique, un token (jeton) est un element d'authentification temporaire utilise pour verifier l'identite d'un utilisateur sans transmettre son mot de passe. Les tokens de session, les jetons JWT et les codes OTP sont des exemples courants. Dans le contexte des cryptomonnaies, un token est un actif numerique cree sur une blockchain existante.

Voir 'Cheval de Troie'. Terme anglais designant un logiciel malveillant qui se fait passer pour un programme inoffensif pour infecter votre ordinateur. Les trojans bancaires sont specialement concus pour voler les identifiants de connexion a votre banque en ligne.

Technique de cybersquatting consistant a enregistrer des noms de domaine proches de sites connus en exploitant les fautes de frappe courantes (par exemple 'amaz0n.fr' ou 'gogle.fr'). Les victimes qui tapent mal l'adresse d'un site sont redirigees vers un faux site destine a voler leurs informations ou installer des malwares.

Delit consistant a utiliser les informations personnelles d'une personne (nom, date de naissance, numero de securite sociale, pieces d'identite) sans son consentement pour commettre des fraudes. L'usurpation d'identite peut servir a ouvrir des comptes bancaires, souscrire des credits ou commettre des infractions au nom de la victime.

Contraction de 'voice' et 'phishing', le vishing designe les tentatives d'hameconnage par telephone. L'escroc se fait passer pour un conseiller bancaire, un agent des impots ou un technicien pour obtenir vos informations personnelles ou vous faire effectuer des operations bancaires frauduleuses.

Un reseau prive virtuel (Virtual Private Network) chiffre votre connexion internet et masque votre adresse IP reelle en faisant transiter votre trafic par un serveur intermediaire. Le VPN est recommande sur les reseaux Wi-Fi publics pour empecher l'interception de vos donnees, mais ne protege pas contre le phishing.

Forme de spear phishing ciblant specifiquement les cadres dirigeants et personnalites de haut rang d'une organisation. Le whaling utilise des emails soigneusement personnalises imitant des communications officielles (juridiques, fiscales) pour tromper des decideurs ayant acces a des informations sensibles ou des moyens de paiement importants.

Reseau sans fil accessible dans les lieux publics (cafes, gares, hotels) qui presente des risques de securite importants. Les pirates peuvent creer de faux points d'acces Wi-Fi ou intercepter les communications non chiffrees pour voler des identifiants et donnees personnelles. L'utilisation d'un VPN est fortement recommandee.

Faille de securite informatique inconnue de l'editeur du logiciel et pour laquelle aucun correctif n'existe encore. Les vulnerabilites zero-day sont extremement dangereuses car elles peuvent etre exploitees par des pirates avant que le developpeur ne decouvre et corrige le probleme.