Salut et bienvenue dans ce nouvel épisode du podcast de Code Garage, je m'appelle Nicolas
Bondin-Bernard et aujourd'hui on va parler des arnaques et des attaques cybercriminels
qui ciblent spécifiquement les développeurs et développeuses ou en tout cas les gens qui
travaillent dans l'informatique de manière un petit peu plus globale. Alors évidemment
c'est des choses qui arrivent malheureusement tous les jours même des centaines et centaines
de fois par jour mais souvent on se sent un petit peu à tort protégé contre ces attaques
là ou ces arnaques là, on se dit qu'on n'est pas vraiment suffisamment important, qu'on
fait pas suffisamment de chiffre d'affaires, qu'on n'a pas dans notre écosystème de
boîte suffisamment importante ou d'envergure pour être la cible spécialisée de ces attaques
là et vous allez voir qu'en réalité ça peut tomber sur n'importe qui et c'est pour ça que je
voulais vous en parler aujourd'hui puisque il y en a que je vois passer de plus en plus sur les
réseaux et si ça peut vous éviter de tomber dans le panneau, ça peut être bénéfique pour
vraiment tout le monde. Alors la première qui est sûrement celle qui m'a le plus surpris,
moi j'ai la chance de jamais y être confronté mais ce sont et bien simplement des attaques
au travers de d'offres d'emploi ou d'offres de missions pour fridance. L'objectif pour la
personne c'est simplement de vous faire télécharger ou cloner un dépôt, alors ça peut être un
module NPM, ça peut être plein de choses, tout ce qui est une dépendance et que vous simplement
vous installiez ces dépendances sous couvert d'un test technique ou parfois c'est simplement un petit
audit d'un projet, donc on peut même vous payer parfois pour venir auditer un projet, installer le
projet sur votre machine et puis que vous alliez fouiller dans le code sauf que nous, enfin nous,
évidemment quand je dis nous c'est les attaquants, je n'en suis pas, c'est ce que veut la personne,
c'est que vous installiez et que vous exécutiez ce code. À première vue ce code il a l'air
innocent, c'est une petite tape peu importe et en fait le diable se cache dans les détails puisqu'il
y a forcément un paquet ou parfois une DLL, si vous êtes sur Windows ou voilà une hybrérie,
quelque chose qui est contenu par le projet et qui n'est pas forcément très visible,
qui va essayer, alors soit d'installer un malware, soit d'installer un kilogeur ou on a vu aussi
très récemment, je vous mettrai le lien vers un article qui détaille un petit peu plus cette
affaire là, et bien un paquet qui va simplement chercher tout ce qui peut être lié à un portefeuille
crypto et donc essayer d'avoir accès à des clés de sauvegarde pour accéder,
ouvrir un portefeuille crypto qui est stocké sur la machine ou ailleurs,
mais dont les clés seraient sur la machine. Donc ça c'est vraiment quelque chose qu'on
voit de plus en plus fleurir, on a des entreprises qui se spécialisent dans la création de fausses
offres d'emplois, de fausses offres de missions frilenses et donc il faut vraiment y faire attention
puisque si ça vous tombe dessus, vous pensez gagner quelques centaines d'euros, voire quelques
milliers d'euros grâce à une nouvelle mission et en fait vous pouvez perdre vraiment bien plus.
Donc c'est vraiment une des attaques qui est pour moi la plus compliquée à détecter puisque
selon la manière dont c'est fait, si c'est déjà est-ce que c'est en français, est-ce que c'est
en anglais, est-ce que voilà il peut y avoir plein de choses pour aider à détecter, mais il y a
surtout plein de choses qui vont pouvoir brouiller l'épice donc ça va potentiellement être très
compliquée. Maintenant la deuxième là c'est plutôt une arnaque on va dire même si non en vrai
c'est une partie arnaque, une partie attaque mais c'est le faux transfert, le faux oui transfert de
deux vies, de factures, de quoi que ce soit. Voilà maintenant moi je reçois quasiment une par jour
et des fois c'est encore plus, eh bien vous allez recevoir des e-mails qui viennent directement
de oui transfert en vous disant eh bien vous avez reçu un document qui s'appelle
eh bien deux vies signées, factures signées, règlements de factures, peu importe, quelque chose
qui va attirer votre attention et donc vous allez potentiellement télécharger ce qui semble être
peu importe un PDF, un zip, quoi que ce soit, qui semble la première vue être simplement un pauvre
document mais qui va venir évidemment là pareil que la première fois installer un malware,
faire du keylogging peu importe mais voilà là c'est le vecteur on va dire qu'il est un petit peu
différent qui cible évidemment plutôt les indépendants et on va dire que si ça arrive sur
un jour ou une période vous n'avez pas spécialement de nouveaux clients ou peu importe bon c'est
il y a des chances que vous arriviez à l'éviter mais si jamais ça vous tombe dessus et que vous
attendiez justement eh bien un deux vies client et bien ça peut vraiment faire mal si jamais vous
ouvrez et vous lancez ces documents donc faites très attention maintenant évidemment si vous avez
un doute là pour le coup eh bien vous renvoyez un mail à votre client pour vérifier que c'est
bien cette personne là qui vous a envoyé ou que c'est quelqu'un de chez eux et qui n'a pas eu
d'interception entre les deux etc donc là c'est plus dans la communication qu'on va pouvoir éviter
ces attaques là mais ça peut faire très très mal aussi. Le troisième, le troisième j'en ai été
entre guillemets victime très récemment alors il s'est rien passé de mal et en réalité ce qui peut
se passer de mal c'est pas tellement pour vous même si vous pouvez en être victime mais c'est souvent
pour les autres c'est simplement le vol de numéro de téléphone alors ça il y a plein de monde qui
n'est pas au courant même dans les gens qui sont on va dire dans la technique dans la tech il est
possible de se faire voler son numéro de téléphone alors ça veut dire quoi ça veut dire tout simplement
que quelqu'un est capable d'appeler avec votre numéro de téléphone en tout cas que le numéro
qui apparaissent sur l'appelant chez quelqu'un d'autre et bien ce soit votre numéro de téléphone à
vous même si on n'a pas accès à votre téléphone on n'a pas on n'a pas d'accès spécifique à votre
numéro mais on est capable de faire ce qu'on va appeler du spoofing de numéro de téléphone et donc
c'est arrivé à mon entourage très récemment ok c'est même arrivé avec un numéro de gendarmerie
et moi ça m'est arrivé d'avoir quelqu'un et bien le syndrome en fait c'est très simple
enfin entre guillemets à détecter c'est quand vous avez quelqu'un qui vous appelle ok vous rappelez
cette personne là et vous dites bah vous venez d'essayer de m'appeler qu'est ce qu'il se passe
pourquoi est ce que qui êtes vous pourquoi vous avez essayé de m'appeler et que la personne en face
de enfin au bout du fil vous dit j'ai pas essayé enfin c'est vous qui avez essayé de m'appeler il y a
une heure une demi journée peu importe donc je sais pas c'est à vous de me dire ce que vous
voulez voilà ça c'est très souvent des vols de numéro de téléphone la personne donc l'arnaqueur
a appelé une personne qui n'a pas décroché parce qu'elle n'était pas disponible sur le moment
là et elle vous rappelle parce qu'elle pense bah rappeler à personne qui l'a appelé sauf que
en fait c'est vous au bout du fil et voilà il y a une vraie confusion ça n'hésitez pas à mettre
en garde les personnes bah si jamais vous rappelez et qu'on vous dit mais je vous ai c'est vous qui
m'avez appelé en premier donc je ne sais pas dites leur bah voilà il y a des chances que quelqu'un
est réussi à voler mon numéro de téléphone très honnêtement je suis pas sûr qu'il y ait une
manière spécifique de bien réagir à ça puisque un peu tous les numéros de téléphone sont bah
peuvent être affectés par ça maintenant si jamais vous êtes indépendant en plus et que votre
numéro de téléphone tourne un petit peu plus facilement que le moyen et donc la personne
l'arnaqueur sait que vous êtes une entreprise que vous êtes voilà et bah elle va pouvoir
se servir de toutes ces informations là pour éventuellement bah arnaquer la personne au bout
du fil en se faisant passer par vous enfin pour vous pardon et donc là ça peut vraiment vous
porter préjudice donc c'est vraiment pas évident attraquer si jamais vous avez une bonne solution
pour arriver à contrevenir on va dire à ces trucs là et n'hésitez pas à me le dire en commentaire
et moi je rajouterai éventuellement dans les notes de l'épisode et bien s'il y a quelques
pistes de solution la première c'est éventuellement de contacter l'agenda en main pour dire que
bah voilà quelqu'un utilise et utilise votre numéro de téléphone sans votre consentement bien
évidemment mais voilà il faut être vigilant mais c'est pas évidemment pas évident par
bon de s'en prévenir et si vous on vous appelle avec un numéro ne prenez pas le simplement
le numéro que vous voyez ou le nom que vous voyez apparaître sur votre téléphone comme argent
en comptant si c'est votre banquier votre évidemment un client peu importe il faut vraiment
penser à vérifier l'identité de la personne que vous avez au bout du fil parce que ça peut vraiment
être très problématique le dernier évidemment pour le coup c'est une arnaque qu'on a tenté
contre moi et j'ai eu la chance de lire tout simplement quelque chose à ce sujet là quelques
semaines avant donc ça m'est arrivé ça m'est arrivé il ya un moment puisque c'était c'était
en 2021 mais voilà c'était quand j'étais dans ma période où je faisais beaucoup de frilance
et bien on a tenté de m'arnaquer avec environnement sans provision et je voulais pour vous partager un
petit peu cette expérience puisque moi à l'époque j'étais pas vraiment au courant que c'était
possible de le faire en tout cas que ça pouvait arriver et là pour le coup vous pouvez perdre des
milliers d'euros voir des dizaines de milliers d'euros de manière très très rapide et sans vraiment
de recours simple possible donc je vais vous partager un petit peu mon histoire pour que ça
puisse ne pas vous arriver donc à l'époque j'ai quelqu'un qui prend contact avec moi voilà une
personne qui s'appelle Jean-Yves ça on s'en fout un petit peu mais c'est un particulier qui a
décidé de monter une structure autour du sport là qui me raconte un petit peu son histoire et il
m'indique que la société est en cours d'une matriculation et qui veut faire une un logo pour
cette société là donc moi ça m'arrive normalement le freelance c'est quasiment que pour de la
prestation de dev mais ça m'arrive aussi de faire la prestation design de temps en temps cette
personne là elle me donne quelques indications sur la mission et elle me demande si je suis disponible
et surtout de me faire un devis pour lui dire à peu près quel montant quel tarif ce serait et
moi bon le premier signe de ville je dis non ce que je peux vous donner éventuellement c'est
que cette personne là elle me dit pas du tout comment est-ce qu'elle a eu connaissance de mon
entreprise donc ça peut être flatteur parfois on se dit bon bah je m'a découvert comme ça au hasard
c'est parce que je suis super bien référencé je ne sais pas mais moi de mon côté c'était plutôt
en général du business qui venait de ma de mon réseau très proche donc voilà en général on
disait je viens de la part de intel ce qui là n'était pas le cas ça aurait pu être bon là évidemment
pas un réflag mais un petit indicateur du fait de me méfier donc moi évidemment la mission et
qui a été échargé était assez simple donc j'envoie un devis en basé sur mon tarif forfaitaire à
l'époque pour ce genre de mission là et évidemment je spécifie un à compte ok à régler avant le
lancement du projet ça c'est un conseil si jamais vous êtes indépendant assez toujours par là
demander toujours un à compte qui est à ce qu'on vous le refuse bon après ça sera à vous de voir
si vous faites la mission ou pas mais très honnêtement un à compte c'est vraiment un gage de sécurité
l'étape suivante et bas c'est simplement qu'on m'accepte le devis ok donc on signe le devis et
donc j'envoie la facture d'accounte puisque à chaque fois qu'il y a un paiement doit y avoir une
facture donc moi j'envoie le facture la facture d'accounte avant de commencer le projet ce qui
équivalait à l'époque à 25% du total de la mission j'envoie moins rib j'envoie tout ça
moi à cette étape là on va dire je risque rien puisque j'ai donné aucune information
compréhensible comprométante mais du coup pour l'instant comme tout se passe vraiment extrêmement
bien extrêmement vite et tout ça j'ai absolument aucune négociation sur les tarifs et voilà ça se
passe presque trop bien donc je commence presque à me dire tiens c'est étonnant que en une journée à
tout ce goût pille très très bien c'est parce que j'ai l'habitude même si j'aimerais bien mais
voilà donc pour l'instant je me dis simplement ok je je vais laisser passer mais c'est dans les
étapes suivantes parce que surtout que jusque là j'ai donné aucune aucune information ou quoi que
ce soit ou documents qui puissent vraiment me mettre à mal mais le lendemain soir du coup je
reçois un dernier email de mon soi-disant client et qui me dit bonjour mon comptable vient de faire
une grosse erreur en vous faisant le virement de la compte il a il vous a viré par erreur en
fait la somme de 4000 euros qui était prévu pour un autre prestataire alors je vous avoue que j'ai
plus le montant exact de moi mon compte de l'époque mais c'est sûr que c'était bien moins que 4000
euros et donc il me dit dans le mail dès que vous recevrez ce virement et bien merci d'effectuer le
remboursement de la différence avec un rib en pièce jointe donc par rapport à la somme qui vous
est dû pour régulariser l'erreur de notre comptable et là en fait il se passe plusieurs
choses là il faut être évidemment très vigilant puisque là vous êtes sur le point éventuellement
d'envoyer de l'argent et donc vers un rib alors là il peut se passer plusieurs choses la transaction
pourrait être pour être on va dire vrai depuis le début mais simplement là on pourrait tomber
sur quelqu'un qui a réussi à se faire passer pour le client et donc qui me demande un remboursement
voilà de quelque chose qui ne s'est pas fait ou de choses comme ça donc là bon bah vous attendez
simplement de voir si le virement arrive et puis voyez qu'il arrive jamais donc vous ne le remboursez
jamais ça ça peut être un premier problème mais en fait l'arnaque elle va beaucoup plus loin
qu'ici enfin que ça parce que ici on est dans un cas où vous allez vraiment recevoir le virement
de 4000 euros donc là c'est là où en fait vous attaure tous les voyants ils vont passer au verre
vous dites ah mais la personne a vraiment fait une erreur j'ai vraiment reçu ces 4000 euros donc
je vais rembourser tout simplement l'entreprise pour pas que ça leur pose de problème et c'est
là l'erreur évidemment à ne pas faire ce qu'il faut faire c'est évidemment attendre attendre et
vérifier avec votre banque puisqu'en fait ce qui se passe ici c'est que le virement qui vous a été
fait il y a de fortes chances que ce soit ce qu'on appelle un virement sans provision alors
c'est une mécanique qui est pas forcément connue et surtout c'est une mécanique qui parfois est
évité par certaines banques mais d'autres banques le laissent passer et bien par exemple comment
est-ce qu'on peut faire un virement sans provision et bien vous encaisser un chèque ok et ce chèque
là ce chèque là il est bien il a terri bien sur votre compte vous faites un virement donc par
exemple 4000 euros comme là ça a été fait sauf que le chèque il peut être il peut être annulé
tout simplement on peut faire opposition à ce chèque ou alors on peut la banque et maîtrise
peut se rendre compte qu'il n'y avait pas les fonds pour virer le chèque etc et donc on va retirer
l'argent du compte émetteur et donc eh bien le virement qui a été fait ne peut pas en fait être
fait jusqu'au bout et donc les 4000 euros que vous aviez sur votre compte et bien il disparaissent
au bout de quelques jours quelques heures pardon quelques jours sauf que vous si vous êtes tombé
dans le panneau et vous avez déjà fait le virement dans l'autre sens et bien en fait vous avez
les 4000 euros qui vous avez été versés dès le début qui disparaissent et vous les 4000 euros
que vous avez envoyé en remboursement évidemment qui disparaissent de votre compte puisque vous
avez vraiment fait le virement et donc là il n'y a pas vraiment beaucoup de recours alors
dans certains cas le service juridique de votre banque peut vous aider c'est vraiment pas
toujours le cas la plupart du temps et bien cet argent il a disparu et donc là vous avez plus
que vos yeux pour payer donc faites très attention quand on vous envoie un virement et quand on vous
en on vous envoie une demande de remboursement parce qu'on s'est trompé parce que ça peut arriver
attention ça m'est déjà arrivé avec des vrais clients mais là il faut il faut tout vérifier il
faut les rappeler il faut avoir plusieurs personnes qui vous confirment le fait il faut être sûr d'avoir
les bonnes personnes en face etc etc parce que là sinon ça peut être vraiment dramatique j'espère
du coup que cet épisode vous aura été utile alors j'espère surtout qu'il vous sera utile dans le
futur pour éviter ces genres d'arnaque là que ce soit comme on l'a dit et bien à l'entretien pour
la mission pour un emploi un virement qui vient soit 10 ans client ou un vol de numéro de téléphone
voilà tout ça sont des choses qui peuvent vraiment vous arriver assez facilement surtout si vous êtes
dev indépendant donc faites vraiment attention moi je vous retrouve la semaine prochaine pour un
prochain épisode du podcast ou directement évidemment sur code tirayaj.fr pour retrouver
tous nos articles de blog tous nos épisodes de podcast et évidemment toutes nos formations
complètes on vient de sortir une formation complète sur eh bien le php voilà à prendre
à faire des sites dynamiques en php donc allez y faire un tour en plus c'est un cours gratuit donc
vous avez vraiment rien à perdre je vous donne rendez vous la semaine prochaine pour un prochain
épisode du podcast salut