« S'arrêter – réfléchir – ne pas cliquer », voici ce que l'on vous recommande habituellement lorsqu'il vous est demandé de cliquer sur des liens vers des pages web non sollicitées, inconnues ou douteuses, ou lorsque vous naviguez sur le web en général. Pour paraphraser une réplique fameuse du film Forrest Gump : « Maman disait toujours, [naviguer sur internet], c'est comme une boîte de chocolats : on ne sait jamais sur quoi on va tomber. » Et une fois de plus, Forrest Gump a raison. En effet les pirates ont trouvé un nouveau truc pour vous inciter à cliquer sur leur contenu malveillant : les captchas.

Lorsque vous êtes en ligne, les captchas servent à prouver que vous êtes un être humain doté de capacités cognitives humaines, et non un algorithme logiciel automatique, autrement dit un robot. Un test captcha vous demande d'ordinaire de saisir une série de lettres ou de chiffres apparaissant d'une manière déformée ou brouillée, ou bien d'identifier un ensemble particulier de photos parmi un ensemble plus vaste, par exemple, sélectionner toutes les photos montrant des voitures. À l'ère de l'intelligence artificielle, des données massives et des multinationales à la main-d'œuvre bon marché (en particulier dans les pays en développement), on peut s'interroger sur l'efficience et l'efficacité de ces tests. Mais ce n'est pas l'affaire des pirates. Tout ce qu'ils veulent, c'est que vous cliquiez ...

Leurs boîtes de dialogue captcha intégrées sont légèrement différentes des boîtes de dialogue standard (voir la seconde capture d'écran). Une fois que vous avez cliqué dessus, un nouvelle fenêtre s'affichera, vous demandant l'autorisation de vous envoyer des notifications. Dès lors que vous confirmez, vous tombez dans les filets du pirate. En effet, à partir de ce moment, et même si votre navigateur web préféré est fermé, des fenêtres pop-up indésirables apparaîtront directement sur votre bureau d'ordinateur. Il peut s'agir notamment de publicités pour des sites pour adultes, de jeux en ligne, de fausses mises à jour de logiciels ou de programmes non sollicités.

Heureusement, les autorisations de notifications peuvent être facilement désactivées dans les paramètres de n'importe quel navigateur. En outre, vous pourriez envisager d'améliorer la protection de vos données privées lorsque vous surfez sur le web (voir l'article « Sécurité informatique : surfez en préservant votre sécurité et votre sphère privée » du Bulletin du 6 mai 2019). Mieux encore, dans le doute, arrêtez-vous, réfléchissez et ne cliquez pas. Et rappelez-vous : « Naviguer sur internet, c'est comme une boîte de chocolats : on ne sait jamais sur quoi on va tomber. »

_____

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.