Bonnes pratiques

Courriel

Les courriels, leurs pièces jointes et leurs liens vers des sites Web illicites font partie des outils privilégiés par les hameçonneurs et les fraudeurs afin de frauder et de réaliser des attaques informatiques. Il est donc impératif de porter une attention particulières aux courriels, pièces jointes, liens vers des sites Web en provenance d'expéditeurs inconnus afin de prévenir l'hammeçonnage et la fraude.

Identité de l'expéditeur

Il est important de vérifier la cohérence entre l'expéditeur présumé et le contenu du message. De même qu'il est important de comprendre que n'importe qui peut se faire passer pour un autre lors de l'envoi d'un courriel (ex.: paie.polymtl@gmail.ca n'est pas une adresse valide pour Polytechnique). Un fraudeur peut même usurper l'adresse courriel d'un expéditeur. En cas de doute, n'hésitez pas à contacter directement l'expéditeur du message en retapant l'adresse directement (sans copier-coller).

Pièces jointes

N’ouvrez pas les pièces jointes provenant des expéditeurs inconnus ou dont le titre et le format paraissent incohérents avec les fichiers que vous recevez habituellement. Si vous doutez de la pièce jointe, veuillez utiliser l’outil de visualisation des pièces jointes d’Outlook. Si la pièce jointe est potentiellement douteuse, Outlook en interdira l’accès ou ne l’affichera pas.

Liens

Parfois un lien peu apparaître adéquat mais cache un lien frauduleux. Si des liens figurent dans un courriel, passez votre souris au-dessus avant de cliquer. Vous verrez le vrai lien, en passant le curseur de votre souris sur le lien :

Ou

Ou

Le lien peut comporter une inversion de lettres difficile à détecter (le l et le t de polymtl) :

Voici un lien adéquat provenant du SI

Le lien est possiblement frauduleux s'il :

  • n'est pas identique au lien affiché
  • le domaine (« me.pn » fin du lien du site Web) ne correspond pas au domaine attendu (« polymtl.ca »). Le domaine de Polytechnique est « polymtl.ca »

Attention : Le lien peut ressembler à s'y méprendre. Parfois, les fraudeurs inverse deux lettres (ex.: « polymlt.ca »).

Certificat d'un site Web

Si vous accédez à un site Web d'un courriel où vous devez inscrire un identifiant, veuillez vérifier que celui-ci est protégé par un certificat valide (cliquez sur le cadenas).

En cliquant sur le cadenas, vous pouvez vérifier si le site est signé par une autorité de certification valide et si le domaine auquel il a été attribué est aussi valable. Entrust, VeriSign et GlobalSign sont quelques-unes des autorités de certification acceptables.

Dans ce cas-ci, l’autorité est Entrust et le domaine est polymtl.ca. Pour un site de Polytechnique, tout est correct.

Chaîne de lettre

N’ouvrez pas et ne relayez pas de messages de types chaînes de lettre, appels à la solidarité, alertes virales, etc.

Informations personnelles ou confidentielles

Ne répondez jamais par courriel à une demande d’informations personnelles ou confidentielles (ex : identifiant, date de naissance, numéro d'assurance sociale et numéro de votre carte bancaire). En effet, des courriels circulent aux couleurs d’institutions comme les Impôts pour récupérer vos données. Il s’agit d’attaques par hameçonnage ou « phishing ».

Ouverture automatique

Désactivez l’ouverture automatique des documents téléchargés. Pour les postes installés et supportés par le Service informatique, l'ouverture des pièces jointes et l'affichage des images automatiques sont désactivées.

Vérification du quota

Vérifier le quota de votre boîte POP3

  • Entrer dans votre courriel à l'aide de l'interface IMP/Horde,
  • Valider l'espace utilisé et disponible à droite de l'interface :

Vérifier le quota de votre boîte Zimbra

  • Entrer dans votre courriel à l'aide de l'interface Web Zimbra,
  • Valider l'espace utilisé et disponible à droite de l'interface :

Signaler un pourriel ou de l'hameçonnage

Nous avons mis en place une adresse courriel de dénonciation des polluriels et des courriels d’hameçonnage.

Lorsqu’un courriel vous semble du pourriel ou de l’hameçonnage, veuillez transférer ce courriel à l’adresse courriel polyspam@polymtl.ca.

Dès que vous nous aurez transféré le message, veuillez le déplacer dans le dossier « SPAM » ou « Polluriel ».

Marche à suivre

Pour que ce soit vraiment utile, vous devez nous transférer le message en entier afin que nous puissions avoir accès au contenu de l’entête (cachée) du message. L’entête contient beaucoup d’informations techniques concernant le message, telles que son expéditeur, le logiciel utilisé pour le composer et les serveurs de courrier par lesquels il est passé pour atteindre le destinataire.

Pour ce faire, veuillez utiliser l’une des procédures suivantes :

Outlook :

  • Positionner le curseur de la souris sur le message,
  • Cliquer sur le bouton droit de la souris,
  • Sélectionner Copier,
  • Créer un nouveau message,
  • Adresser ce message à polyspam@polymtl.ca,
  • Dans le corps du message, veuillez coller le courriel,
    • Cela créera un fichier joint.
  • Indiquer le sujet du message : Polluriel ou Hameçonnage
  • Envoyer le message.

IMP/Horde :

  • Positionner le curseur de la souris sur le message,
  • Cliquer sur le bouton droit de la souris,
  • Sélectionner Transfert,
  • Choisir l’option En pièce jointe,

  • Adresser ce message à polyspam@polymtl.ca,
  • Indiquer le sujet du message : Polluriel ou Hameçonnage,
  • Envoyer le message.

Zimbra Web :

  • Créer un nouveau message,
  • Cliquer sur le bouton Joindre,
  • Sélectionner l’option Mail,

  • Adresser ce message à polyspam@polymtl.ca,
  • Indiquer le sujet du message : Polluriel ou Hameçonnage
  • Envoyer le message.
Mot de passe de votre code d'identification personnel (CIP)

Les systèmes et les applications qui hébergent des données sensibles et confidentielles sont protégées par un code d'identification personnel (CIP) et un mot de passe. Le niveau de protection des données est dès lors proportionnelle au degré de complexité et au caractère secret du mot de passe.

À retenir…

  • Un mot de passe suffisamment complexe doit comprendre des lettres, des chiffres et des caractères spéciaux.
  • Utilisez les premières lettres des mots d’une phrase plutôt qu’on mot du dictionnaire.
  • N’écrivez votre mot de passe nulle part.
  • Modifiez fréquemment votre mot de passe.
  • Utilisez un mot de passe distinct pour le travail et vos sites personnels préférés.
Complexité

Assurez-vous de créer un mot de passe assez complexe, robuste et difficile à deviner afin qu'il soit difficilement découvert.

Voici certaines astuces concernant le mot de passe...

Changement de mot de passe

Il est recommandé de changer votre mot de passe régulièrement car votre mot de passe peut être découvert, intercepté ou obtenu par la ruse. Pour changer votre mot de passe, veuillez cliquer sur ce lien. Si vous avez enregistré votre mot de passe pour l'accès à votre courriel (Outlook), votre nouveau mot de passe vous sera demandé à la prochaine connexion.

Saisie manuelle

Veuillez ne pas enregistrer votre mot de passe (non recommandé) pour l'accès à des sites Web. Il est plus sécuritaire de saisir votre mot de passe à toutes les connexions.

Mot de passe différent

Il est recommandé d'utiliser des mots de passe différents pour vos connexions à des applications ou des sites personnels et professionnels. Surtout si vous accédez à des sites non sécurisés.

Secret

Vous êtes responsable de votre identifiant, de votre mot de passe et de leur utilisation sur le réseau et pour l'accès aux systèmes d'informations. Il est donc important de ne pas partager votre identifiant avec une autre personne même si cela part d'une bonne intention. De plus, ceci contreviendrait à l’article 10 du Règlement concernant l'utilisation et la gestion des ressources informatiques.

Entreposer

Si vous avez besoin absolument d'entreposer votre mot de passe ou l'ensemble de vos mots de passe sur papier, il est essentiel d'entreposer ceux-ci dans un endroit sous clé.

Poste de travail et portable

Un accès non autorisé à votre ordinateur de table ou votre portable par une faille de sécurité peut compromettre l'intégrité et la confidentialité de vos données personnelles et confidentielles. Ne pas protéger votre ordinateur correctement peut aussi en compromettre la disponibilité et le fonctionnement de celui-ci.

Mettre à jour le système d'exploitation et les logiciels
  • Il est important, voire essentiel, de mettre à jour votre système d’exploitation et les applications sur votre poste de travail. Si vous n’êtes pas l’administrateur de votre système, il est alors prudent de vous assurer que les mises à jour sont effectuées régulièrement.
  • L’activation automatique des mises à jour de sécurité et de vos applications est aussi une bonne pratique en ce sens.
  • La majorité des postes de travail gérés par le Service informatique sont mis à jour régulièrement tant au niveau du système d’exploitation que des applications.
Installer un antivirus
  • Assurez-vous qu'un antivirus est installé et mise à jour régulièrement sur votre poste de travail.
  • La majorité des postes de travail gérés par le Service informatique sont munis de « Microsoft System Center 2012 Endpoint Protection » qui est un ensemble de logiciels de protection contre les virus et les logiciels malveillants. Les mis à jour se font régulièrement.
Logiciels

Il est fortement recommandé de n'installer que les applications nécessaires au travail. À cet effet pour la grande majorité des utilisateurs, les logiciels fournis par Polytechnique devraient combler vos besoins. Si vous avez besoin d'autres logiciels, veuillez faire appel au personnel dédié à votre soutien technique ou au Comptoir de service des employés et enseignant.

Assurez-vous que les logiciels installés proviennent des éditeurs officiels des logiciels ou de sites de confiance.

VERROUILLER votre session de travail

Ne laissez pas votre session de travail ouverte lorsque vous quittez votre bureau, et ce, même si vous ne prévoyez de vous absenter que pour quelques instants. Certains pourraient en profiter pour usurper votre identité ou bien compromettre l’intégrité et la confidentialité de vos données.

Pour verrouiller votre session Windows 10  : appuyez sur la touche Windows de votre clavier, puis, tout en maintenant enfoncée, pressez la touche L.

Portable - câble de sécurité

Même dans votre bureau, il est fortement recommandé d'attaché votre portable, à l'aide à un câble de sécurité, à un objet fixe et sécuritaire (ex. : une table de travail difficile à soulever).

Portable - « WIFI »

Évitez de vous connecter à des réseaux « WiFi » non sécurisés. Certains pirates peuvent les utiliser pour récupérer vos données personnelles.

Les virus ne sont pas qu'une affaire de fichier dans un courriel. C'est aussi une page Web infectée et des mesures de sécurité inadéquate.

Paramètres de sécurité

Veuillez vous assurer que les paramètres de sécurité de votre navigateur sont adéquats assurant un minimum de protection.

Mot de passe

Évitez dans la mesure du possible d'utiliser le même mot de passe pour vos besoins personnels et professionnels.

N'enregistrez pas automatiquement vos mots de passe. Veuillez ne pas permettre à Windows, à Internet Explorer à votre courriel ou à tout autre logiciel d'enregistrer votre mot de passe. Ainsi si une personne malveillante prend le contrôle de votre ordinateur, il n'aura pas accès à tous vos sites ou applications.

Sites sécurisés

Lors de l'échange de données confidentielles ou financières (un achat en ligne), n'utilisez seulement que des sites en HTTPS dont vous aurez aussi valider le certificat et vérifier l'exactitude du lien (voir la section Liens ci-après).

Pour vérifier qu'un site Web est protégé par un certificat valide, cliquez sur le cadenas.

En cliquant sur le cadenas, vous pouvez vérifier si le site est signé par une autorité de certification valide et si le domaine auquel il a été attribué est aussi valable. Entrust, VeriSign et GlobalSign sont quelques-unes des autorités de certification acceptables.

Dans ce cas-ci, l’autorité est Entrust et le domaine est polymtl.ca. Pour un site de Polytechnique, tout est correct.

Liens

Parfois un lien peu apparaître adéquat mais cache un lien frauduleux. Pour vérifier la véracité d'un lien, passez votre souris au-dessus. Vous verrez le vrai lien, en passant le curseur de votre souris sur le lien :

Ou

Ou

Le lien peut comporter une inversion de lettres difficile à détecter (le l et le t de polymtl):

Voici un lien adéquat provenant du SI

Le lien est possiblement frauduleux s'il :

  • n'est pas identique au lien affiché
  • le domaine (« me.pn » fin du lien du site Web) ne correspond pas au domaine attendu (« polymtl.ca »). Le domaine de Polytechnique est « polymtl.ca »

Attention : Le lien peut ressembler à s'y méprendre. Parfois, les fraudeurs inverse deux lettres (ex.: « polymlt.ca »).

Barre d'outils supplémentaires

Évitez d'installer des barres d'outils supplémentaires à votre navigateur. Les barres d'outils peuvent rapidement se multiplier et certaines d'entre elles sont malveillantes. Certaines servent même à traquer et épier les internautes. Elles cumulent les mots clés, les sites visités, les photos vues, vos penchants, etc. Toutes les barres sont des logiciels espions.

Message de type POP-UP

Ne cliquez pas sur les messages de type POP-UP. Ils sont souvent porteur d'un message vous mentionnant que votre poste est infecté. Le lien vers lequel vous dirige ce message contient des logiciels malveillants. Demeurez toujours vigilant.

Téléphone intelligent

Les téléphones intelligents ou multifonctions sont aussi la cible des pirates informatiques. Les téléphones contiennent beaucoup d'informations personnelles et professionnelles dont des informations bancaires, des renseignements personnels, des contacts, des photos, des courriels, etc.

Même si vous adhérez aux bonnes pratiques énumérées ci-après, il est de mise de demeurer très vigilant et de surveillez constamment votre appareil.

    Mécanisme de verrouillage

    Il est important de protéger votre appareil avec un mécanisme de verrouillage. Selon l’appareil, il y aura plusieurs types de verrouillage. Il existe le modèle à dessiner, le code NIP, le mot de passe et l’empreinte pour ne nommer que ceux-ci. Le niveau de protection des données est dès lors proportionnelle au degré de complexité et au caractère secret du mot de passe, du NIP ou du modèle utilisé. Veuillez consulter la section mot de passe de votre identifiant pour vous aider dans le choix de votre mot de passe.

    Application de sécurité

    Configurez l'application de sécurité. En cas de perte ou de vol, vous pourrez ainsi localiser votre appareil et effacer les données si cela s'avère nécessaire. Marche à suivre pour les utilisateurs de iPhone, de systèmes Android et Windows Phone.

    Logiciels

    Assurez-vous que les logiciels installés proviennent des éditeurs officiels des logiciels ou de sites de confiance. Certains logiciels peuvent être malicieux et accéder à vos informations sur votre téléphone. N'hésitez pas à consulter les critiques des utilisateurs. Vous pourriez éviter de télécharger une application malveillante. Il est de mise d'être vigilant.

    Mise à jour du système d'exploitation et des logiciels

    Tout comme sur un poste de travail, il est important, voire essentiel, de mettre à jour votre système d’exploitation et les applications sur votre appareil.

    Antivirus

    Assurez-vous qu'un antivirus est installé et mise à jour régulièrement sur votre appareil. À chaque fois que vous installez une application ou que vous surfez sur le Web, vous vous exposez exposez à rencontrer des logiciels malveillants.

    Géolocalisation

    Des applications de géolocalisation sont de plus en plus courantes et de plus en plus utilisées. Elles vous aideront à retrouver votre téléphone en cas de perte ou de vol. Ces applications servent à suivre un appareil, à le verrouiller, le faire sonner et à effacer les données.

    Réseaux sociaux

    Si vous perdez votre appareil, n'oubliez pas de changer le mot de passe de votre compte courriel, de réseaux sociaux, de carte bancaire, etc.

    Paiement en ligne

    Le paiement en ligne à partir des téléphones multifonctions est de plus en plus courant. Les téléphones munis de telles applications sont très attirants pour les pirates. Soyez vigilant lorsque vous installerez une telle application. Protéger votre appareil avec un mécanisme de verrouillage.

    « WIFI »

    Évitez de vous connecter à des réseaux « WiFi » non sécurisés. Certains pirates peuvent les utiliser pour récupérer vos données personnelles.

    « Bluetooth »

    Il est préférable de n'activer le « Bluetooth » et le « WiFi » que quand vous les utilisez. Cela diminuera le risque qu'une personne mal intentionnée les utilise pour rentrer dans votre téléphone.

    Vente et don de votre appareil

    N'oubliez pas de prendre au copie vos données personnelles et à effacer les données du téléphone. Pensez à récupérer la carte d'extension insérée dans votre téléphone. Éventuellement, réinitialisez le téléphone ce qui le rendra tout neuf comme si veniez de l'acheter (pour cela regardez le manuel de votre téléphone).

    Médias sociaux

    Les médias sociaux désignent généralement l'ensemble des sites et plateformes web qui proposent des fonctionnalités dites "sociales", tels : « Facebook », « LinkedIn », « Twitter », « Pinterest », « Instagram », etc.

    Il est important de réaliser que tous ces médias sociaux contiennent beaucoup d'informations à votre sujet qui sont étalées au grand public si l'on ne porte pas une attention particulière à la sécurisation de ceux-ci.

    Profil

    Limitez au maximum l’accès à votre profil, vos informations et vos photos en odifiant les paramètres de sécurité de la plate-forme.

    Informations personnelles
    • Ne divulguez qu'un minimum d’informations personnelles.
    • Ne partagez uniquement que des informations que vous oseriez, sans gêne, répéter en public.
    Liens

    Portez attention aux liens avant de cliquer; même ceux provenant de vos amis.

    Sécurité

    Utilisez un mot de passe fort pour protéger l’accès à vos comptes.