Qu’est-ce que le Shoulder Surfing ? C’est une pratique qui consiste à voler des informations sensibles en regardant par-dessus l’épaule d’une autre personne pendant qu’elle saisit ces informations dans un appareil. Découvrez comment éviter le Shoulder Surfing.
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Qu’est-ce que le Shoulder Surfing ?
Vous êtes dans un bus, en train de lire le journal ou quelque chose sur votre écran, lorsque vous ressentez la sensation qu’il se passe quelque chose juste derrière vous. Vous vous retournez et voyez la personne derrière vous se détourner rapidement. Elle regardait par-dessus votre épaule. En d’autres termes, elle faisait du shoulder surfing.
Ce qu’elle faisait était impoli, certes, mais pas illégal. Maintenant, si vous étiez en train de taper quelque chose comme un mot de passe et que cette personne vous épiait, ce pourrait être la première étape avant un vol d’identité.
Le shoulder surfing est une forme d’ingénierie sociale qui consiste pour un individu à regarder par-dessus l’épaule d’une autre personne pour voir les informations qu’elle est en train de saisir, par exemple dans un distributeur automatique de billets, un ordinateur portable, un smartphone, etc.
Exemples de shoulder surfing :
En général, le shoulder surfing se produit dans des endroits très fréquentés. Il est alors facile pour quelqu’un de se tenir derrière une autre personne et de jeter un coup d’œil par-dessus son épaule. Mais cela peut aussi se faire à distance, à l’aide de jumelles.
Passons en revue quelques scénarios hypothétiques de shoulder surfing.
Scénario 1 :
Vous êtes à l’aéroport et vous venez de vous faire enregistrer à la hâte. Mais avant de vous diriger vers la salle d’embarquement, vous vous souvenez que vous n’avez plus d’espèces sur vous. Vous vous précipitez donc vers un distributeur automatique de billets, saisissez votre code PIN, prenez vos 100 euros et courez vers la porte d’embarquement.
Alors que vous attendez votre avion, vous recevez une notification sur votre téléphone. Vous regardez de quoi il s’agit et découvrez que quelqu’un a retiré 500 euros de votre compte.
Votre erreur : dans votre précipitation, vous avez négligé de repérer cette personne qui se tenait à quelques mètres du distributeur. De plus, vous n’avez pas non plus pris le reçu ni vérifié que la transaction était achevée.
Tiens, à propos, voici quelques conseils pour protéger vos appareils lorsque vous voyagez et pour protéger vos données lors de votre passages de frontières, pendant que nous y sommes.
Scénario 2:
Cette fois-ci, vous êtes dans un café. La seule place assise que vous ayez trouvée est au bar. Vous la prenez et ouvrez votre ordinateur portable pour payer quelques factures. Les gens vous bousculent, mais vous ne faites pas attention à eux pendant que vous tapez vos informations de connexion à votre compte bancaire.
Pendant ce temps, vous commandez une boisson au bar. Pendant que vous réglez votre consommation, et donnez de l’argent au barman, vous êtes momentanément distrait de votre ordinateur portable. Puis vous reportez votre attention sur l’écran tout en sirotant votre boisson en toute insouciance.
Votre erreur : Une fois de plus, vous n’avez pas fait attention à ce qui se passait autour de vous et vous avez entré votre nom d’utilisateur et votre mot de passe à la vue de tous. Puis vous avez été distrait juste assez pour que quelqu’un puisse voir vos informations de connexion sur votre écran.
Scénario 3 :
Vous êtes dans le bus, et votre conjoint(e) vous appelle. Il(elle) doit payer quelque chose avec votre carte de crédit mais ne se souvient plus du code PIN, alors il(elle) vous le demande.
Au téléphone, vous dites : “3-5-1-6. C’est bon ? Ok, à tout à l’heure, chéri(e)”.
Alors, oui, votre conjoint a bien compris, comme la douzaine d’inconnus qui se trouvent dans le bus avec vous. S’ils ont bien suivi la conversation, ils connaissent maintenant votre code PIN.
Votre erreur : Le shoulder surfing ne consiste pas uniquement à regarder par-dessus l’épaule de quelqu’un pour voir les touches qu’il saisit. Il peut aussi se faire simplement en écoutant ce qui se passe dans les situations telles que celle-ci. En claironnant votre code PIN à haute voix, vous l’avez rendu public.
Bien entendu, si quelqu’un vous appelle ou vous envoie un SMS vous demandant de révéler des informations sensibles par téléphone, ne le faites pas. C’est ce qu’on appelle respectivement le vishing et le smishing. Tous deux sont également des techniques d’ingénierie sociale.
Comment éviter le shoulder surfing ?
Comment éviter le shoulder surfing ? Voici quelques conseils :
- Premièrement, faites toujours attention à ce qui vous entoure. Que vous soyez dans la file d’attente d’un distributeur automatique de billets, dans un café, à l’aéroport, dans un bus, etc. Même ce petit geste découragera souvent un éventuel candidat au shoulder surfing et le fera quitter l’endroit, ou du moins, le fera hésiter à regarder par-dessus votre épaule.
- Lorsque vous utilisez un distributeur automatique de billets, protégez toujours le clavier lorsque vous saisissez votre code PIN. Penchez-vous au-dessus du clavier pour en cacher la vue à tout “badaud” potentiel.”
- Encore une fois, lorsque vous utilisez un distributeur automatique de billets, assurez-vous de sélectionner “Quitter” lorsqu’on vous demande “Voulez-vous faire une autre transaction ?” et prenez le reçu. Certains distributeurs automatiques n’exigent pas que la carte soit dans le distributeur pour effectuer une transaction supplémentaire. Un “shouder surfer” n’a donc qu’à passer après vous et à saisir votre code PIN pour obtenir de l’argent.
- Si vous vous trouvez dans un espace public, comme un café, et que vous devez saisir des informations financières, faites-le dos au mur.
- Si vous devez partager des informations sensibles par téléphone, faites-le loin des oreilles indiscrètes. Mieux, communiquez ces informations par SMS sur le tle éléphone de votre interlocuteur.
- Ne laissez pas votre ordinateur portable sans surveillance. Si vous avez besoin de sortir rapidement (pour aller aux toilettes ou au bureau d’un autre collègue, par exemple), veillez à verrouiller l’écran et à fermer l’ordinateur portable. Bien entendu, si vous êtes dans un lieu public, ne laissez pas votre ordinateur portable traîner, car quelqu’un pourrait le dérober en votre absence.
- Utilisez l’authentification biométrique au lieu des codes PIN et des mots de passe. De nos jours, de nombreux appareils vous permettent de vous connecter et d’accéder à vos données à l’aide d’une empreinte digitale ou d’une reconnaissance faciale. Ces techniques d’authentification rendent les shoulder surfers inoffensifs. Le 2FA (lien en anglais) empêchera également toute autre personne que vous d’accéder à vos comptes, même avec votre mot de passe.
- Utilisez le paiement sans contact. Là encore, au lieu de saisir un code PIN, utilisez des applications de paiement sans contact chaque fois que c’est possible. N’oubliez pas que la meilleure façon de masquer votre code PIN est de ne pas l’utiliser du tout.
- Masquez les mots de passe lorsque vous les tapez. Si vous devez saisir un mot de passe pour vous connecter à un compte, assurez-vous que le champ du mot de passe renvoie un astérisque comme “*“.
- Utilisez un protecteur d’écran. Pour la plupart des gens, les protections d’écran servent uniquement à être positionnées sur le téléphone pour éviter de rayer son écran. Mais il existe aussi des protecteurs d’écran capables de masquer ce qui se trouve sur votre écran et de protéger vos informations, ce qui les rend très utiles.
Conclusion
Toutes les attaques d’ingénierie sociale ne nécessitent pas de déployer des techniques sophistiquées pour vous amener à révéler vos données sensibles, comme l’appâtage (ou baiting) ou le quid pro quo.
Parfois, ne pas faire suffisamment attention à ce qui vous entoure, un moment de distraction, ou donner verbalement son code PIN à quelqu’un par téléphone suffisent.
Le shoulder surfing ne consiste pas tant à protéger vos données contre les pirates en ligne qu’à les protéger contre ceux qui sont physiquement proches.
Consultez nos 6 conseils pour protéger votre vie privée en ligne et, bien sûr, n’oubliez pas de protéger vos appareils et vos données. N’hésitez pas à consulter notre cours sur la sécurité et la confidentialité et apprenez à éviter l’ingénierie sociale !
