Vous êtes dans un café, en train de taper votre mot de passe bancaire ou de répondre à un email. Derrière vous, quelqu’un fait du « shoulder surfing »: il vous espionne pour découvrir votre mot de passe. Pas d’outils de piratage avancés, juste des yeux aiguisés et de mauvaises intentions. En quelques minutes, vos données privées lui appartiennent.
Dans un monde où un mot de passe volé peut vider des comptes bancaires, le « shoulder surfing » est l’une des menaces les plus faciles et pourtant les plus négligées. Le pire ? Vous ne vous rendrez même pas compte que vous avez été compromis avant qu’il ne soit trop tard.
Dans ce guide, nous aborderons tout ce que vous devez savoir sur le shoulder surfing, y compris:
- en quoi consiste le shoulder surfing;
- comment repérer et prévenir les attaques de type « shoulder surfing » ;
- ce que vous pouvez faire concrètement pour protéger vos appareils.
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Qu’est-ce que le Shoulder Surfing?
Tout d’abord, définissons ce qu’est le shoulder surfing.
Comme son nom l’indique, le shoulder surfing (« surfer sur l’épaule ») consiste à voler des informations sensibles en regardant par-dessus l’épaule d’une autre personne.
Il peut s’agir, par exemple, d’un moment où :
- vous entrez le code PIN de votre iPhone dans le bus pour consulter vos e-mails ;
- vous entrez votre numéro de carte de crédit dans le train pour effectuer un achat en ligne ;
- vous entrez le code PIN de votre carte de débit dans un distributeur automatique.
Techniquement parlant, le shoulder surfing n’est pas illégal. Cependant, c’est le premier pas vers l’usurpation d’identité et la fraude financière. C’est pourquoi il est essentiel de comprendre les scénarios dans lesquels cela peut se produire et comment vous pouvez vous protéger.
L’une des principales différences entre le shoulder surfing et le phishing ou appâtage est que le shoulder surfing se produit dans le monde physique.
Les méthodes de défense seront donc très différentes du phishing, par exemple, pour lequel vous aurez besoin d’un filtre anti-spam puissant.
Exemples de Shoulder Surfing
Malheureusement, il n’y a pas beaucoup de cas documentés et très médiatisés de « shoulder surfing ». En effet, les attaques de type « shoulder surfing » ne laissent pas de traces numériques comme les attaques de type « scareware ».
Cependant, en Belgique, la police a récemment réitéré ses messages de prévention après de nombreuses plaintes de shoulder surfing aux distributeurs de billets en Brabant Wallon.
L’étude la plus importante à propos du shoulder surfing s’intitule « Understanding Shoulder Surfing in the Wild : Stories from Users and Observers » (Comprendre le surf sur l’épaule dans la nature : histoires d’utilisateurs et d’observateurs) et a été réalisée par l’université Ludwig Maximilian de Munich en Allemagne.
Dans cette étude, une enquête menée auprès de 174 utilisateurs a permis d’examiner des scénarios réels de « shoulder surfing ». Les résultats ont permis de conclure que la plupart des cas de « shoulder surfing » sont opportunistes (c’est-à-dire non planifiés), mais qu’il y a eu des cas où des informations sensibles ont été obtenues sans le consentement de l’utilisateur.
Il est important de noter que le shoulder surfing n’est pas seulement une question de sécurité, mais aussi de respect de la vie privée.
En plus d’un mot de passe et d’un code PIN, un malfaiteur peut voir des informations privées, telles que des rendez-vous, des photos de famille, etc. Chez Mailfence, nous avons toujours plaidé en faveur d’une forte protection de la vie privée, que ce soit en ligne ou hors ligne.
Nous pensons que la protection de la vie privée est fondamentale pour une société libre et démocratique. La vie privée est un droit humain fondamental, et nous devons la protéger à tout prix. Et cela inclut la protection contre le « shoulder surfing ».
Examinons maintenant quelques-uns des cas les plus courants où le shoulder surfing se produit.
Retrait d’argent aux distributeurs
Les distributeurs automatiques de billets sont l’un des endroits les plus courants où des attaques par « shoulder surfing » peuvent se produire. Des escrocs peuvent y traîner dans l’espoir de vous voir taper votre code PIN.
Ils peuvent également utiliser de petites caméras cachées, voire des jumelles.
Pour vous en prémunir, tenez-vous toujours aussi près que possible du distributeur de billets lorsque vous saisissez votre code PIN. Utilisez votre deuxième main pour cacher votre code PIN. Et si vous voyez une personne suspecte traîner dans les parages, choisissez un autre distributeur.
Transports publics
Si vous faites de longs trajets quotidiens en train ou en bus, vous avez peut-être l’habitude d’ouvrir votre ordinateur portable pour travailler.
Cependant, l’utilisation de votre ordinateur portable ou de votre smartphone dans des bus ou des trains bondés expose souvent votre écran à des inconnus qui se trouvent à proximité.
Les malfaiteurs peuvent discrètement jeter un coup d’œil par-dessus votre épaule pour s’emparer de vos identifiants de connexion, de vos données de paiement ou même de vos messages privés. Dans le pire des cas, un malfrat dans un train pourrait mémoriser votre code PIN bancaire et l’utiliser plus tard pour retirer de l’argent.
Espaces de co-working
Enfin, avec l’essor du travail à distance, les espaces de co-working sont devenus la nouvelle norme pour de nombreuses personnes.
Cependant, travailler sur des documents confidentiels ou accéder à des comptes sensibles dans des espaces de co-working comporte des risques.
Dans les espaces de co-working ouverts, vous ne savez jamais qui peut vous observer de loin. De plus, certains espaces de travail collaboratif n’ont même pas de contrôle de sécurité à l’entrée, ce qui signifie que n’importe qui peut entrer.
Enfin, il se peut que le Wi-Fi ne soit pas correctement sécurisé. La transmission des données peut ne pas être chiffrée, ce qui rend les données telles que les fichiers et les mots de passe vulnérables. Le mot de passe peut également être trop faible, ce qui permet un accès non autorisé. C’est pourquoi nous recommandons toujours d’utiliser votre réseau cellulaire lorsque cela est possible.
Cependant, vous n’avez pas toujours ce choix. De même, il se peut que vous soyez contraint de travailler pendant votre trajet en train. Alors, comment éviter le shoulder surfing dans ces cas de figure? C’est ce que nous allons voir dans la section suivante.
Comment Prévenir le Shoulder Surfing ?
Il existe de nombreuses stratégies d’atténuation que vous pouvez utiliser pour empêcher le « shoulder surfing ».
- La première stratégie, et la plus évidente, consiste à être conscient de ce qui vous entoure. Veillez à regarder autour de vous avant de taper votre code PIN à un distributeur automatique de billets : ce petit geste découragera souvent une attaque potentielle de type « shoulder surfing ».
- Lorsque vous vous trouvez à un guichet automatique, veillez à sélectionner « Quitter » lorsque vous avez terminé. Certains distributeurs n’exigent pas que la carte soit dans le distributeur pour effectuer une transaction supplémentaire, de sorte que le malfaiteur puisse simplement se placer derrière vous et saisir à nouveau votre code PIN pour retirer de l’argent.
- Vous aimez travailler dans les cafés ? Dans ce cas, choisissez un siège avec le dos tourné au mur. Vous réduirez ainsi considérablement les risques d’attaque par « shoulder surfing ».
- Vous devez partager des informations sensibles par téléphone ? Veillez à baisser la voix et à couvrir votre bouche. Dans l’idéal, envoyez les informations par SMS ou par courrier électronique chiffré.
- Ne laissez JAMAIS votre ordinateur portable sans surveillance. Verrouillez toujours votre écran et fermez votre ordinateur portable si vous devez quitter votre espace. Et si vous êtes dans un lieu public, gardez simplement votre ordinateur portable sur vous en permanence pour éviter les vols.
- Utilisez l’authentification biométrique au lieu des codes PIN et des mots de passe. Il s’agit de la reconnaissance faciale (Face ID) ou de l’utilisation de votre pouce (Touch ID) pour déverrouiller votre iPhone, par exemple.
- Activez toujours la fonction 2FA sur les comptes qui la prennent en charge, comme Mailfence pour vos courriels. Le 2FA ajoute une couche de sécurité supplémentaire à votre compte. Même si un pirate a accès à vos identifiants de connexion, il ne pourra pas se connecter à vos comptes.
- Utilisez le paiement sans contact. Au lieu de saisir un code PIN, utilisez autant que possible les applications de paiement sans contact. De nombreux terminaux de paiement vous permettent également d’utiliser votre carte pour de petits montants sans saisir votre code PIN.
Shoulder Surfing: Techniques de Prévention Avancées
La section précédente a abordé quelques habitudes de base que tout le monde peut prendre pour éviter le « shoulder surfing ». Toutefois, si vous travaillez régulièrement dans des espaces de co-working ou dans le train, vous pouvez renforcer votre sécurité.
Voici quelques techniques de prévention supplémentaires que vous pouvez mettre en place :
- Utilisez une protection d’écran contre les regards indiscrets. Les protections d’écran ne servent pas uniquement à éviter les rayures sur l’écran. Certaines empêchent également de voir ce qui s’affiche à l’écran lorsque l’on le regarde sous un certain angle :
- Eyeprint ID est une toute nouvelle technologie développée par EyeVerify. Ce système authentifie les utilisateurs en analysant les schémas uniques des vaisseaux sanguins de l’œil. Des entreprises telles que Wells Fargo l’ont déjà intégré dans leurs applications bancaires mobiles, permettant aux clients d’accéder à leurs comptes en toute sécurité en utilisant les schémas des veines de l’œil.
- Désactiver les notifications. Les notifications présentent un risque majeur pour la vie privée car elles peuvent afficher des informations sensibles provenant d’applications ou d’e-mails, même lorsque le téléphone est verrouillé.
- Authentification basée sur le regard: au lieu de taper des mots de passe, certains systèmes de sécurité avancés utilisent la technologie de suivi du regard pour authentifier les utilisateurs sur la base de leurs modèles de regard uniques. Cela élimine le risque de vol de mots de passe par piratage visuel. Cette méthode est encore en cours de développement mais devrait voir le jour dans les années à venir.
- Bien qu’elles ne soient pas encore disponibles, les applications de protection de la vie privée basées sur l’IA vont bientôt arriver sur le marché. Des recherches sont actuellement en cours pour permettre l’utilisation de la caméra frontale d’un smartphone afin de détecter les personnes non autorisées. Si une personne autre que l’utilisateur est détectée en train de regarder l’écran, celui-ci se brouille ou envoie une alerte. Vous pouvez consulter ce brevet de Google pour en savoir plus.
Shoulder Surfing: Conclusion
C’est tout pour ce guide sur le shoulder surfing ! Nous espérons que vous comprenez à présent mieux cette menace et que vous savez comment l’atténuer.
En résumé, il est important de se rappeler que toutes les attaques d’ingénierie sociale ne nécessitent pas une ruse élaborée pour vous amener à révéler vos données sensibles. Parfois, il suffit de ne pas prêter suffisamment attention à ce qui vous entoure, d’un moment de distraction ou de donner verbalement le code PIN à quelqu’un au téléphone.
Si vous souhaitez porter votre sécurité en ligne à un niveau supérieur, n’oubliez pas de consulter notre suite d’outils privés et sécurisés, qui comprend des e-mails, un espace de stockage en ligne, un calendrier et bien plus encore !
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
