Le shoulder surfing

Il existe un moyen simple pour les cybercriminels pour obtenir des données personnelles et des mots de passe : le shoulder surfing.

Qu’est-ce que le shoulder surfing ?

Le shoulder surfing est un type d’attaque d’ingénierie sociale qui consiste pour un individu à tenter de voler des données sensibles en regardant par-dessus l’épaule d’une autre personne alors qu’elle utilise un ordinateur portable, un smartphone ou un autre appareil en public.

Les informations confidentielles, susceptibles d’être volées, sont les mots de passe, les codes PIN ou d’autres données sensibles.

Les attaques de shoulder surfing peuvent se produire dans n’importe quel espace public, comme un distributeur automatique de billets, un café, une bibliothèque, un aéroport ou un train.

Bien que ce comportement soit appelé « shoulder surfing », cela ne signifie pas toujours que quelqu’un regarde littéralement par-dessus votre épaule. Un voleur peut vous observer directement de près ou utiliser des méthodes sophistiquées, telles que des jumelles, des caméras cachées ou des smartphones, pour capturer vos informations à distance et ne pas être détecté.

Exemples de shoulder surfing

Le shoulder surfing se produit généralement dans des lieux publics et très fréquentés, car les attaquants peuvent facilement se fondre dans l’environnement et observer discrètement les personnes saisissant des informations sensibles sans éveiller les soupçons. Voici quelques exemples :

Dans les cafés, les gens utilisent souvent des ordinateurs portables, des tablettes et des smartphones pour des tâches personnelles ou liées au travail, de sorte qu’un « shoulder surfer » peut s’asseoir à une table à proximité ou passer devant à plusieurs reprises.

Les aéroports sont remplis de voyageurs utilisant fréquemment leurs appareils pour vérifier les détails de leur vol, accéder aux services bancaires ou répondre aux e-mails professionnels. Un « shoulder surfer » pourrait se tenir derrière vous dans une file d’attente.

Les bus, les trains et les métros sont remplis de passagers assis les uns à côté des autres. Un « shoulder surfer » peut s’asseoir ou se tenir debout à côté de vous ou derrière vous.

Les espaces de travail partagés utilisés par les indépendants et les employés à distance sont risqués car vous êtes souvent entouré d’étrangers qui pourraient facilement observer votre écran tout en faisant semblant de travailler sur leurs appareils.

Les criminels ciblent fréquemment les distributeur automatique de billets pour capturer les saisies de code PIN à l’aide de jumelles ou de caméras à sténopé sans se faire remarquer.

Aux caisses, surtout pendant les heures de pointe, les acheteurs saisissent souvent leur code PIN ou les informations de leur carte bleue. Un internaute peut se faire passer pour un autre client, observant attentivement le clavier pendant que quelqu’un saisit ses coordonnées, ou même utiliser son smartphone pour enregistrer secrètement les informations.

Quelles peuvent être les conséquences du shoulder surfing ?

Les attaques de shoulder surfing peuvent avoir de graves conséquences :

  • le piratage de vos comptes ;
  • le vol de votre argent ;
  • l’usurpation de votre identité ;
  • la vente de vos informations sur le dark web ;
  • la fuite d’informations commerciales confidentielles ;
  • l’exposition de votre entreprise au risque de subir une cyberattaque.

Comment vous protéger contre le shoulder surfing ?

Conseils lors de la saisie d’un code PIN :

Avant de procéder à un retrait sur un distributeur automatique de billets, il convient tout d’abord de vérifier qu’il ne comporte pas d’élément mal fixé ou suspect. Une deuxième unité de lecture peut par exemple être placée avant le véritable lecteur de cartes et permettre au pirate de lire les bandes magnétiques et d’accéder ainsi aux données des cartes.

Ensuite, il est recommandé de couvrir le terminal de saisie avec votre autre main pendant la saisie de votre code PIN.

Lorsque vous effectuez un paiement avec votre carte bleue dans un commerce, utilisez le mode de paiement sans contact chaque fois que c’est possible. Cette méthode n’imposant pas la saisie du code PIN, il sera impossible à un shoulder surfer d’obtenir cette information.

Conseils en cas de saisie de données sensibles de façon générale :

Chaque fois que vous vous trouvez dans un espace public, comme un café, et que vous devez travaillez avec des données sensibles, cherchez un endroit adapté. Placez-vous de manière à minimiser l’exposition aux regards indiscrets. Asseyez-vous le dos contre un mur, loin des autres personnes, pour minimiser le risque que quiconque puisse voir ce que vous tapez.

Utilisez un filtre de confidentialité sur tous vos appareils (ordinateur portable, smartphone ou tablette). Il s’agit d’un transparent à placer sur l’écran de votre appareil. Il est conçu pour réduire les angles de vision. Le but est de rendre impossible la lecture d’un écran sans être directement devant celui-ci. Grâce à ce filtre, l’écran apparaîtra noir pour toutes les personnes le regardant de biais.

Ajustez la luminosité de votre écran à un paramètre inférieur. L’obscurcissement de votre écran peut rendre plus difficile la visibilité de ce qui s’y trouve à distance. Utilisez cela à votre avantage lorsque vous utilisez votre appareil dans les lieux publics.

Désactivez les aperçus des notifications sur votre écran de verrouillage pour empêcher les informations sensibles d’être vues par les autres autour de vous.

Utilisez des mots de passe forts, longs et uniques. Il est beaucoup plus difficile pour les shoulder surfers de saisir et de noter un mot de passe long et complexe rempli de caractères différents. D’un autre côté, si vous utilisez un mot ou une expression courante, vous leur facilitez la tâche. Évitez les mots de passe courants ou faciles et ne réutilisez pas le même mot de passe sur plusieurs comptes. Si quelqu’un parvient à noter l’un de vos mots de passe, il n’aura accès qu’à un seul compte, pas à tous.

Étant donné que les mots de passe complexes sont difficiles à mémoriser, pensez à utiliser un gestionnaire de mots de passe. De cette façon, vous n’aurez plus à saisir chaque mot de passe individuellement sur votre appareil puisque le gestionnaire de mot de passe effectuera cette tâche pour vous.

Activez l’authentification à deux facteurs sur tous les comptes qui l’autorisent. Cela garantit que même si quelqu’un vole vos informations de connexion, il ne pourra pas les utiliser sans accéder à votre messagerie, votre téléphone ou votre application d’authentification.

Verrouillez votre appareil lorsque vous ne l’utilisez pas. Si vous ne travaillez pas activement, fermez vos appareils, rangez-les et verrouillez les écrans. Lorsque vous ne faites pas attention, ou lorsque vous vous êtes éloigné pendant un moment pour récupérer votre commande de café, ce sont des occasions privilégiées pour les shoulder surfers d’obtenir une vue dégagée de votre écran et de mémoriser toutes les informations sensibles à l’écran.

Si vous devez partager des informations sensibles par téléphone, faites-le loin des oreilles indiscrètes. Mieux, communiquez ces informations par SMS sur le téléphone de votre interlocuteur.

Évitez de travailler sur des tâches sensibles en public. Bien que les étapes ci-dessus puissent vous protéger, il est préférable d’éviter de travailler sur des tâches sensibles en public, au cas où un shoulder surfer regarderait. Les tâches qu’il est préférable de réaliser en privé comprennent :

  • Se connecter aux comptes de messagerie, comptes bancaires ou comptes de réseaux sociaux ;
  • Lire des documents confidentiels ;
  • Faire des achats en ligne.

Surveillez vos comptes bancaires quotidiennement et examinez vos relevés bancaires mensuels. Si un internaute a volé et utilisé vos informations personnelles pour accéder à vos comptes, le détecter rapidement peut aider à minimiser les dégâts. Si vous repérez une transaction suspecte, signalez-la immédiatement à votre banque.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *