Comprendre la sécurité autrement

Au fil de mes années dans les Forces armées, j’ai appris énormément sur la sécurité… parfois sans même m’en rendre compte. J’ai commencé par sécuriser de petits campements, en établissant des périmètres, en choisissant les points stratégiques et en combinant tactiques et outils pour maximiser notre protection.

Ces campements ont grandi avec le temps. Certains sont devenus des sites sensibles ou des zones de déploiement de drones, où chaque détail comptait : protéger les lieux, analyser les comportements autour, identifier les menaces potentielles, réagir rapidement qu’il s’agisse de personnes voulant pénétrer dans nos installations ou de la gestion des armes et des informations sensibles.

Je me rappelle d’un exercice où, après une course-poursuite, mon lieutenant et moi avons été "capturés". L’ennemi avait mis la main sur une carte laissée dans le véhicule, contenant tous nos emplacements prévus de la semaine… Une simple négligence, aux conséquences énormes.

Plus tard, j’ai travaillé avec des SOPs (procédures opératoires standardisées) qui, une fois utilisées, devaient être détruites pour éviter qu’elles tombent entre de mauvaises mains, ou pire, qu’on suive une procédure périmée.

Aujourd’hui, je réalise à quel point toutes ces expériences m’ont appris à comprendre la sécurité dans sa globalité. Et maintenant, mon nouveau défi : apprendre la sécurité derrière l’écran. La cybersécurité. Souvent mentionnée, mais encore trop rarement comprise à sa juste valeur.

Ingénierie sociale et phishing : deux ruses, un même but

L’ingénierie sociale, c’est l’art de manipuler les gens pour obtenir ce qu’on veut. Pas en piratant leur ordinateur, mais leur confiance. Le phishing, lui, est une des formes les plus répandues de cette méthode.

Prenons un exemple : vous recevez un courriel urgent de votre "banque", vous demandant de confirmer vos informations personnelles. Tout semble légitime : logo, ton professionnel, adresse presque exacte… Sauf que ce n’est pas votre banque. C’est un imposteur qui veut vous faire cliquer sur un lien malveillant ou vous soutirer vos données.

Et ça marche. Pas parce que les gens sont naïfs, mais parce que ces attaques sont calculées pour viser nos émotions : la peur, la panique, l’urgence, ou même la curiosité.

D’autres exemples : un appel d’un "collègue du service TI" vous demandant votre mot de passe pour une mise à jour urgente. Vous reconnaissez sa voix ? Non. Mais il connaît votre nom, votre poste, et parle avec assurance. Vous cédez.

Vous recevez un message texte ou un courriel indiquant qu’un colis vous attend, mais qu’un petit détail empêche la livraison (souvent des frais ou une adresse incomplète).

« Votre colis ne peut pas être livré. Veuillez cliquer ici pour compléter vos informations. »

Même si vous n’attendez rien, le doute s’installe : "Et si c’était un cadeau ?" ou "Quelqu’un m’a peut-être envoyé quelque chose..."
La curiosité l’emporte, et vous cliquez.

Ce que l’attaquant exploite ?
Votre routine, votre consommation en ligne (surtout pendant les périodes de fêtes ou promotions), et le fait que vous voulez résoudre un problème rapidement sans réfléchir.

Un message sur LinkedIn d’un "recruteur" vous félicite pour votre parcours et vous dit que votre profil correspond parfaitement à un poste urgent dans une grande entreprise. Il vous envoie une fiche de poste à ouvrir rapidement.

« On aimerait vraiment avancer vite avec vous, voici le lien vers la description du poste. »

Le message est poli, personnalisé, bien rédigé. Mais le lien mène à un faux site ou télécharge un fichier malveillant.

Ce que l’attaquant exploite ?
Votre désir d’évoluer professionnellement, l’effet de flatterie, et l’urgence qui pousse à agir sans vérifier. En plus, LinkedIn donne une illusion de légitimité qui rassure… à tort.

Les escrocs modernes n’ont pas besoin de forcer une porte. Ils vous laissent l’ouvrir vous-même.

Et la suite ?

La semaine prochaine, je vous parle de VPN à quoi ça sert vraiment (et non, ce n’est pas juste pour Netflix USA ) ainsi que de mes premiers pas dans la création d’une méthodologie simple pour les CTF (Capture The Flag) de niveau débutant, pour ceux et celles qui veulent apprendre en s’amusant.

Protéger, c’est anticiper. Sur le terrain ou en ligne, la vigilance reste l’arme la plus fiable.