Partagez

Même le PEC est attaqué par des pirates informatiques. Voici comment protéger notre Domicile Numérique

Le courrier électronique certifié devient « européen » également grâce aux nouveaux systèmes de sécurité. Ce qui comble de nombreuses lacunes, mais en ouvre malheureusement d’autres. Abandonner? Ce n’est pas possible. Restez en sécurité ? Avec un peu d'attention c'est possible.

Même le PEC est attaqué par des pirates informatiques. Voici comment protéger notre Domicile Numérique

Malheur à faire confiance. Même le PEC, le courrier électronique certifié théoriquement super-blindé, peut être violé. Et si nous pensons que le PEC est le pivot de notre identité numérique, nous devons nous inquiéter. Nous devons et pouvons agir. En mettant en œuvre une stratégie de défense qui doit toutefois prendre en compte tous les moyens électroniques qui gravitent autour de notre PEC.

Le scénario est inquiétant et les attaques se multiplient

SPID, Carte d'Identité Electronique (CIE) et PEC étaient censés être la combinaison gagnante de notre avenir numérique. Ou plutôt le nôtre Maison numérique, étant donné que le SPID et le CIE (à l'avenir seulement ce dernier, dans les plans du gouvernement en place) servent à nous reconnaître et à valider officiellement notre accès aux portails de l'administration publique et au-delà, tandis que le PEC est le conteneur télématique où nous pouvons échanger informations et documents de manière théoriquement sûr et blindé.

Tout sur votre PC (ou téléphone portable ou tablette), pas de déplacement, pas de files d'attente, une sécurité maximale et tout est immédiatement disponible. C'est vrai, c'est l'avenir. Mais le présent nous oblige à une rodage problématique. Nos habitudes doivent s'adapter, changer, se moderniser. Mais les technologies et le Web ont leurs fantômes. Et le chemin déraille parfois. Hackers, espions, voleurs de données, d'identités et - s'ils le souhaitent - de nos biens. L'actualité en est pleine. Le fait est que notre maison numérique est à risque.

La nouvelle vient tout juste de la presse et du Web que ces derniers jours, de nombreux utilisateurs italiens du Spid ont été violés par des pirates informatiques, qui heureusement n'ont réussi à voler que des données (aussi sensibles soient-elles) sur les propriétaires et non les identifiants d'accès. Toutefois, les identifiants sont obligatoirement protégés pour chacun par un système validation à deux facteurs via notre smartphone désormais indissociable. Et seulement là-dessus, spécialement validé pour ces opérations.

Pour le PEC, la question est différente, plus délicate, voire plus insidieuse. Pour deux raisons. La première : les utilisateurs normaux du PEC en vigueur depuis de nombreuses années sont encore confiés dans la majorité des cas à un système de validation en une seule étape, dont il faut désormais tenir compte rudimentaire, ou simplement en tapant le nom d'utilisateur et le mot de passe. Deuxième raison : le PEC est exposé, malgré quelques barrières supplémentaires, à de nombreux méfaits du courrier électronique ordinaire.

Ce que nous envoyons depuis notre PEC régulièrement activé est-il strictement certifié comme « équivalent » au contenu d'une lettre recommandée ? Oui. Ce que nous recevons est-il aussi bon ? Oui, mais seulement si l’on sait vérifier soigneusement la régularité des certifications liées au message et à la documentation entrante associée. Cela semble contre-intuitif mais c'est vrai.

Pourquoi et comment les e-mails certifiés peuvent contenir des tromperies

Le phishing (tentatives frauduleuses de voler des données sensibles ou, pire, de détournement de pratiques commerciales frauduleuses), les virus informatiques (souvent pour obtenir ce que l'on tente de voler avec le phishing), le tout pour peut-être mettre en œuvre de véritables vol d'identité pour d'autres fraudes encore plus graves. PEC ne peut être considéré comme indemne. En fait, il peut souffrir des mêmes maux que ceux qui affectent le courrier électronique ordinaire. Parce qu'il s'agit peut-être d'un simple email déguisé en PEC qui nous est présenté comme tel dans notre adresse PEC, ou parce qu'il s'agit en réalité d'un PEC qui a pourtant été activé frauduleusement : cela arrive aussi.

Dans le premier cas, la tromperie exploite la possibilité que notre PEC ne se limite pas seulement à la réception d'autres PEC mais qu'il soit également ouvert à la réception de messages électroniques ordinaires : une option qui existe dans pratiquement tous les services PEC, avec la possibilité de choisir l'un ou l'autre mode. Dans le deuxième cas le obligations fournir les données essentielles du titulaire du PEC lors de l'activation du service peut ne pas être aussi rigoureux qu'il le serait obligatoire malgré les procédures de certification des prestataires. Ici aussi, un voleur d'identité expérimenté peut réussir à activer une boîte aux lettres PEC apparemment normale, peut-être au nom d'un citoyen sans méfiance, en l'utilisant à des fins frauduleuses.

Pour ne donner qu'un exemple, les messages déguisés en e-mails certifiés sont désormais cycliques au nom de l'Agence des Revenus ils demandent à verser sur un compte frauduleux, éventuellement jetable, situé à l'étranger (attention dans ce cas à l'IBAN non italien), dans la plupart des cas des sommes relativement faibles, de manière à nous inciter à payer immédiatement "pour ne pas penser à plus".

Ce n'est pas un hasard si les nouvelles procédures pour rendre le PEC « européen », c'est-à-dire conformes aux règles communautaires et interopérables, permettant ainsi l'échange de messages électroniques certifiés dans toute l'Europe, offrent des mesures de sécurité beaucoup plus rigoureuses et complémentaires que celles du courrier électronique certifié normal.

Pour rendre européen notre PEC, l'authentification à deux facteurs devient obligatoire avec une nouvelle reconnaissance rigoureuse de l'identité du propriétaire, avec une procédure à activer via le SPID ou le CIE. La même chose dans d'autres pays. Est-ce que tout est résolu ? Pas du tout. La transformation du PEC en « européen » sera une réalité obligatoire seulement dans les mois à venir et si les procédures italiennes d'« européanisation » du PEC semblent suffisamment rigoureuses, sommes-nous sûrs qu'il en sera ainsi dans la multitude d'autres pays ? Reste ensuite le problème de la réception d'e-mails normaux, peut-être déguisés en e-mails certifiés dans l'en-tête, avec des contrefaçons qui peuvent être évidentes pour un œil expert mais qui peuvent passer inaperçues pour ceux qui sont moins attentifs.

Comment relever les barrières de notre courrier certifié

Une bonne stratégie de défense PEC implique une série de actions combinées, pour ajouter aux désormais étranges précautions pour protéger notre navigation sur Internet et nos emails s'allument pirati informaticiens.

Première nous désactivons dans la configuration de notre boîte mail PEC la réception de messages électroniques ordinaires. Il est vrai que tous les services PEC italiens fournissent un message d'alerte spécifique si le courrier entrant ne provient pas lui-même d'un PEC, mais dans la confusion des messages entrants, le problème peut être négligé. Se désinscrire de la réception régulière d’e-mails est la meilleure solution. En revanche, à quoi sert de recevoir un email ordinaire sur le PEC quand on dispose d'une ou plusieurs adresses email « normales » que l'on fournit à tous nos interlocuteurs ? Le PEC est utilisé pour des messages quelque peu « officiels » et il est préférable de limiter son utilisation à ceux-là uniquement.

Tout d’abord, reconnaître l’éventuelle fraude d’un PEC apparemment authentique examinons attentivement l'adresse d'origine. Si nous avons le moindre soupçon d'irrégularité, nous vérifions d'abord qu'il s'agit d'une adresse réelle, qui correspond bien à l'expéditeur. Pour ce faire, nous envoyons à notre tour un PEC avec la demande de confirmation à la même adresse et attendons la réponse. À ce stade, nous effectuons une vérification supplémentaire en saisissant l'adresse PEC de l'expéditeur dans un moteur de recherche pour vérifier l'identité de l'expéditeur. vraie correspondance à un propriétaire réel (privé, entreprise, institution, administration publique) qui exerce l'activité avec laquelle il se présente. Si tel est le cas, nous procédons à une vérification croisée par téléphone.

Bien sûr, notre vérification providentielle est parfois facile, parfois moins. Une soi-disant amende de circulation peut être difficile à enquêter, une suspicion de falsification de la demande de paiement au nom de l'Agence des recettes peut être révélé facilement: c'est une bonne opportunité d'activer le nôtre facilement depuis votre PC Tiroir fiscal, si nous ne l'avons pas déjà fait, suivez un des tutoriels proposé par FIRSTonline.

Passez en revue