Un site louche, ça se repère. Encore faut-il savoir quoi regarder

La plupart des gens pensent reconnaître un site dangereux au premier coup d'œil. Ils ont tort. Les hackers passent du temps à rendre leurs sites légitimes. Certains copient des marques connues pixel par pixel. D'autres imitent des portails bancaires jusqu'à l'icône du cadenas.

Ce n'est pas une raison de paniquer. C'est une raison de savoir quoi chercher.

Ce qu'un site dangereux cherche à faire

Il y a deux types d'attaques. Les deux peuvent coexister sur un même site.

L'installation de maliciels. Le site vous pousse à télécharger quelque chose : un film, un logiciel, une "mise à jour". Ce que vous installez n'est pas ce qu'on vous a promis. C'est un programme qui collecte vos données, chiffre vos fichiers, ou surveille ce que vous tapez.

Le hameçonnage. Le site se fait passer pour une vraie entreprise. Il vous demande vos identifiants, votre numéro de carte, vos réponses de sécurité. Vous pensez vous connecter à votre banque. Vous remettez vos clés à quelqu'un d'autre.

Les conséquences vont du vol de quelques dollars à une usurpation d'identité complète. Dans les cas graves, des escrocs ouvrent des prêts en votre nom. Certains vendent les informations collectées sur le dark web.

Les signes qui ne mentent pas

L'adresse commence par HTTP, pas HTTPS

Le "S" de HTTPS signifie que la connexion est chiffrée. Un site qui en est dépourvu transmet vos données en clair. N'importe qui sur le même réseau peut les intercepter. La plupart des navigateurs affichent un cadenas dans la barre d'adresse pour les sites sécurisés. Son absence est un signal d'alarme immédiat.

L'adresse ressemble à une vraie, sans l'être

Les imposteurs enregistrent des domaines presque identiques à ceux des marques connues. Une lettre changée, un tiret ajouté, une extension différente. On voit paypa1.com au lieu de paypal.com. Ou amazon-compte.net au lieu de amazon.ca. Si l'adresse vous semble familière mais légèrement différente, quittez la page.

Le site est mal fait

Les fautes d'orthographe, les images étirées, les mises en page bancales : ce sont des signes que le site a été monté vite. Une vraie entreprise soigne son image. Un escroc pressé, moins. Ce n'est pas une règle absolue, mais un site truffé d'erreurs mérite de la méfiance.

Une fenêtre vous dit que votre appareil est infecté

Le message est toujours urgent. "Votre système est compromis. Téléchargez cet outil pour régler le problème." C'est un classique. Il n'y a pas de problème. Il y en aura un si vous cliquez. Aucun site web n'a la capacité de détecter l'état de votre appareil de cette façon.

Les offres sont trop belles

Un produit épuisé partout disponible ici. Un abonnement de streaming à 2 $ par mois. La diffusion gratuite d'un film encore en salle. Ces offres existent pour une raison : elles fonctionnent. Les gens cliquent. Ce qu'ils reçoivent, c'est soit rien, soit un maliciel, soit les deux.

Le site demande des informations personnelles en échange d'un cadeau

Les concours, les coupons, les quiz : certains sont légitimes. Ceux qui demandent votre numéro de carte pour "valider votre profil" ou vos questions de sécurité sous prétexte de personnalisation ne le sont pas. Les banques utilisent ces mêmes questions pour protéger vos comptes. Les escrocs le savent.

L'écran est couvert de liens et de pop-ups

Un site qui force le clic à chaque déplacement de souris n'a pas votre intérêt à cœur. Il veut soit générer des revenus publicitaires, soit vous rediriger vers un autre site malveillant, soit déclencher un téléchargement. Fermez le navigateur. Lancez une analyse antivirus.

Ce qu'on retient

Un seul de ces signaux suffit parfois. Dans d'autres cas, c'est l'accumulation qui alerte. L'habitude de regarder l'adresse, de chercher le HTTPS, de se méfier des offres trop avantageuses : ça prend dix secondes et ça évite beaucoup de problèmes.

Les outils de protection existent et ils aident. Mais ils ne remplacent pas le réflexe de regarder avant de cliquer.