email

Ne saisissez pas vos mots de passe partout où ils vous sont demandés.

Comment éviter de divulguer votre mot de passe à des escrocs lorsque vous vous connectez à des sites tiers ou lorsque vous consultez des documents «chiffrés» ou «confidentiels» ?

Stan Kaminsky
21 Jan 2025

Chaque fois qu’il vous est demandé de vous connecter à un service en ligne, de vérifier votre identité ou de télécharger un document en cliquant sur un lien, vous devez généralement saisir votre nom d’utilisateur et votre mot de passe. Cette pratique est si courante que la plupart d’entre nous le faisons de manière automatique, sans y penser. Cependant, des escrocs peuvent vous inciter à communiquer les mots de passe associés à votre messagerie, à des sites Internet de services gouvernementaux, à des services bancaires ou à vos réseaux sociaux en reproduisant le formulaire de connexion à ces services sur leur propre site Internet (tiers). Ne tombez pas dans le piège : seul le service de messagerie lui-même est autorisé à demander une vérification de votre mot de passe de messagerie, et personne d’autre ! Il en va de même pour les services gouvernementaux, les banques et les réseaux sociaux.

Pour éviter d’être victime d’une fraude, chaque fois que vous saisissez un mot de passe, prenez un instant pour vérifier exactement où vous vous connectez et quelle fenêtre vous demande vos identifiants. Ici, trois scénarios principaux sont possibles, deux d’entre eux étant sûrs, le troisième étant frauduleux. Les voici.

Scénarios sûrs pour la saisie de mots de passe

Vous connecter à votre messagerie, à un réseau social ou à un service en ligne via le site Internet officiel. Il s’agit du scénario le plus simple, mais vous devez vous assurer que vous vous trouvez bien sur le site légitime, sans erreur dans l’URL. Si vous accédez au service en ligne en cliquant sur un lien dans un email ou dans les résultats d’une recherche, vérifiez attentivement la barre d’adresse dans votre navigateur avant de saisir votre mot de passe. Assurez-vous que le nom du service et l’adresse du site sont tous les deux corrects et concordent.

Pourquoi est-il si important de prendre quelques secondes de plus pour procéder à une vérification ? La création de copies de sites légitimes à des fins de phishing constitue l’une des astuces préférées des escrocs. L’adresse d’un site de phishing peut être quasiment identique à l’original, avec seulement une ou deux lettres de différence (par exemple, la lettre « i » peut être remplacée par un « I »), ou bien utiliser une zone de domaine différente.

Il est également assez simple de créer un lien qui semble mener vers un site, mais qui vous amène en réalité ailleurs. Voyez par vous-même : ce lien semble mener à notre blog kaspersky.fr/blog, mais vous redirige en fait vers notre autre blog, securelist.com.

L’image ci-dessous montre des exemples de pages de connexion légitimes pour divers services, où vous pouvez saisir en toute sécurité votre nom d’utilisateur et votre mot de passe.

Exemples de pages de connexion légitimes pour divers services. Ici, saisir vos identifiants est sûr.

Vous connecter à un site à l’aide d’un service auxiliaire. Il s’agit d’un moyen pratique de se connecter sans créer de mots de passe supplémentaires, qui est couramment utilisé pour les services de stockage de fichiers, les outils de collaboration, etc. Les services auxiliaires sont généralement des fournisseurs de messagerie populaires, des réseaux sociaux ou des sites de services gouvernementaux. Le bouton de connexion peut indiquer quelque chose comme « Continuer avec Google », « Continuer avec Facebook », « Continuer avec Apple », etc.

Lorsque vous cliquez sur ce bouton, une autre fenêtre s’ouvre, appartenant au service auxiliaire (Google, Facebook, Apple, etc.). Le principe est le suivant : le service externe vérifie votre identité, puis la confirme au site auquel vous vous connectez. Il est indispensable de vérifier les adresses dans les deux fenêtres : assurez-vous que la fenêtre contextuelle demandant votre mot de passe appartient bien au service auxiliaire escompté (Google, Facebook, Apple, etc.) et que la fenêtre principale appartient bien au site légitime auquel vous essayez de vous connecter. Dans de nombreux cas, la fenêtre contextuelle indique également à quel site vous vous connecterez. Ce mécanisme de service auxiliaire vous permet d’accéder au site souhaité sans que celui-ci ne voie jamais votre mot de passe. La vérification du mot de passe se fait du côté du service auxiliaire (Google, Facebook, Apple, etc.). Les experts en informatique appellent cette méthode de connexion authentification unique.

Exemple de connexion de type authentification unique à eBay, via un service auxiliaire (Google) qui vérifie votre mot de passe. Ici, saisir vos identifiants est également sûr.

Scénario frauduleux : vol de mot de passe

Vous recevez un email ou un message contenant un lien de connexion, vous cliquez dessus, et vous vous retrouvez sur un site qui ressemble beaucoup à un service de messagerie, de réseau social, de partage de fichiers ou de signature électronique légitime. Le site vous demande de vous connecter à votre compte pour prouver votre identité. À cette fin, vous êtes invité à saisir directement sur ce site l’adresse email et le mot de passe associés à votre messagerie, à un site de services gouvernementaux, à un service bancaire ou à un réseau social.

Dans ce scénario, soit il n’y a pas de fenêtre contextuelle provenant d’un service légitime (comme dans le scénario précédent), soit la fenêtre complémentaire appartient également à un site tiers. Il s’agit d’une escroquerie conçue pour voler le mot de passe de votre compte ! N’oubliez pas qu’un site tiers ne peut pas vérifier votre mot de passe : il ne le connaît tout simplement pas, et les mots de passe ne sont jamais partagés entre les sites.

Regardez la barre d’adresse : ce n’est certainement pas Netflix ! N’entrez pas vos identifiants ici !

Comment se protéger contre le vol de mot de passe ?

Vérifiez attentivement l’adresse du site qui demande votre mot de passe.
Saisissez un mot de passe pour un service uniquement sur le site Internet officiel de ce service, et nulle part ailleurs.
Parfois, une fenêtre distincte pour saisir le mot de passe apparaît. Assurez-vous que cette fenêtre est une fenêtre de navigateur standard, dans laquelle vous pouvez voir la barre d’adresse et vérifier l’adresse.
Les escrocs peuvent créer des sites similaires avec des adresses difficiles à distinguer des vraies. Pour éviter de tomber dans un tel piège, utilisez une protection anti-phishing fiable sur tous vos appareils et toutes vos plateformes. Nous vous recommandons Kaspersky Premium, gagnant d’un test anti-phishing mené en 2024.
Une méthode de protection avancée consiste à utiliser un gestionnaire de mots de passe pour tous vos comptes. Celui-ci vérifie l’adresse réelle des pages et ne saisira jamais vos identifiants sur un site inconnu, aussi convaincant soit-il.

Vous avez découvert la phrase secrète d’un portefeuille crypto : quels risques ?

Les escrocs ont inventé une nouvelle ruse : ils publient des phrases secrètes de cryptomonnaies dans les commentaires de YouTube en utilisant des comptes nouvellement créés. Découvrez comment cela fonctionne

Protection des enfants

Ne saisissez pas vos mots de passe partout où ils vous sont demandés.

Scénarios sûrs pour la saisie de mots de passe

Scénario frauduleux : vol de mot de passe

Comment se protéger contre le vol de mot de passe ?

Que faire si votre compte Telegram est piraté ?

Ce que nous réserve l’année 2025

Vous avez découvert la phrase secrète d’un portefeuille crypto : quels risques ?

Conseils

Vous avez découvert la phrase secrète d’un portefeuille crypto : quels risques ?

Que faire si votre compte Telegram est piraté ?

Ce que nous réserve l’année 2025

Cadeaux de Noël de dernière minute pour la protection de la vie privée

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky