Votre identité de sécurité personnelle : une phrase, une paire de couleurs, un avatar et, en option, une signature audio, tous uniques, qui prouvent que vous vous connectez au vrai WIGGWIGG et non à un faux site d'hameçonnage.
La plupart des authentifications fonctionnent dans un sens : vous prouvez votre identité au site web. Mais comment le site web prouve-t-il son identité à vous?
Notre protection anti-hameçonnage fonctionne dans les deux sens. Avant que vous n'entriez votre mot de passe complet, on vous montre une identité de sécurité (une phrase, une paire de couleurs et un avatar uniques, et en option une signature audio) que seul le vrai WIGGWIGG peut afficher.
On ne demande que les 3 premiers caractères de votre mot de passe
On s'en sert pour récupérer votre phrase, vos couleurs et votre avatar uniques (et jouer votre signature audio si vous l'avez activée)
On vous les affiche avant que vous n'entriez votre mot de passe complet
Si votre identité de sécurité ne correspond pas à celle dont vous vous souvenez, vous savez que vous êtes sur un faux site, et vous n'avez pas divulgué votre mot de passe complet.
Voici exactement ce que vous verrez à votre connexion : votre identité de sécurité personnelle
Cette phrase est unique et prouve que vous êtes sur le vrai site WIGGWIGG
(Audio playback available in the web app)
⚠️ Si ça ne correspond pas à ce dont vous vous souvenez
Vous êtes peut-être sur un site d'hameçonnage. N'entrez pas votre mot de passe complet.
Note : ceci est un exemple visuel. À l'inscription, vous recevrez votre propre phrase, votre paire de couleurs, votre avatar et votre signature audio uniques, qui seront complètement différents.
Une vérification en cinq étapes qui vous protège contre les attaques d'hameçonnage
Commencez par entrer votre ID de compte. C'est votre identifiant public; aucun risque à cette étape.
Entrez seulement les 3 premiers caractères de votre mot de passe. On s'en sert pour vérifier l'authentification partielle et récupérer votre identité de sécurité.
On affiche votre phrase, vos couleurs et votre avatar uniques, et on joue votre signature audio personnelle (si elle est activée). Vous les reconnaissez? Vous êtes sur le vrai site. Vous ne les reconnaissez pas? Fermez la page immédiatement.
Après avoir confirmé votre identité de sécurité, entrez votre mot de passe complet pour terminer l'authentification. Sûr et vérifié.
Une fois authentifié, vous accédez à votre compte en sachant que vous êtes sur la vraie plateforme WIGGWIGG.
Les sites d'hameçonnage peuvent avoir l'air identiques au vrai site. Ils peuvent copier à la perfection notre design, nos couleurs et notre logo. Par contre, ils ne peuvent généralement pas afficher votre identité de sécurité unique parce qu'ils n'ont pas accès à nos serveurs. Attention : les attaques de proxy en temps réel les plus sophistiquées peuvent relayer vos informations et afficher votre vraie identité; vérifiez toujours le domaine exact dans votre barre d'adresse. Cette étape de vérification arrête la plupart des attaques d'hameçonnage avant que vous n'exposiez vos identifiants complets.
Votre phrase, votre paire de couleurs et votre avatar uniques sont générés côté serveur à partir de votre graine de sécurité personnelle, par des procédés cryptographiques. Vous pouvez aussi activer une signature audio optionnelle : un motif musical unique qui joue à la connexion. Certaines personnes se souviennent mieux des sons que des éléments visuels; c'est donc une option de vérification multisensorielle précieuse.
Vérifiez toujours que vous êtes sur un domaine WIGGWIGG officiel (wiggwigg.ca, app.wiggwigg.ca) avant d'entrer vos identifiants. Votre identité de sécurité aide à confirmer que vous êtes sur le vrai site, mais vérifiez toujours la barre d'adresse comme contrôle principal.
On ne demande au départ que les 3 premiers caractères, stockés sous forme de hachage cryptographique (HMAC-SHA256). Même interceptés, ces 3 caractères ne permettent pas de compléter la connexion : ils ne font que déverrouiller l'affichage de votre identité de sécurité. Votre mot de passe complet reste protégé.
On exige des connexions HTTPS pour toute authentification. Avant d'entrer vos identifiants, vérifiez toujours la présence de l'icône de cadenas et du bon domaine dans la barre d'adresse de votre navigateur.
Mémorisez votre phrase, vos couleurs et votre avatar à l'inscription (et votre signature audio, si activée)
Vérifiez que vous les voyez avant d'entrer votre mot de passe complet
Tapez wiggwigg.ca directement dans votre barre d'adresse
Vérifiez la présence du HTTPS et d'un certificat SSL valide
Utilisez vos signets au lieu de cliquer sur des liens de courriel
Entrer votre mot de passe complet si l'identité de sécurité ne correspond pas
Cliquer sur des liens de connexion dans des courriels non sollicités
Ignorer les avertissements de sécurité ou les erreurs de certificat
Vous connecter depuis un cadre intégré ou une fenêtre contextuelle
Faire confiance à des domaines similaires sans vérification
1. Fermez l'onglet du navigateur immédiatement, ne cliquez sur rien
2. Ouvrez une nouvelle fenêtre de navigateur et tapez wiggwigg.ca directement
3. Changez votre mot de passe immédiatement si vous l'avez entré
4. Signalez le site d'hameçonnage à notre équipe de soutien
5. Vérifiez l'activité de votre compte pour repérer toute connexion suspecte
Notre système anti-hameçonnage combine plusieurs techniques cryptographiques et de sécurité pour qu'on se vérifie mutuellement.
Générée côté serveur à partir de votre graine de sécurité unique par compte (PRNG ensemencé, déterministe par utilisateur) avec des fonctions de hachage cryptographique
Phrase unique créée à partir d'une liste de mots (3 à 4 mots, haute entropie)
Paire de couleurs générée de manière déterministe à partir de la graine (utilisée comme repère visuel à côté de l'avatar)
Avatar généré par algorithmes déterministes (cohérent par utilisateur)
Signature audio optionnelle : motif musical unique de 6 notes via un synthétiseur audio
L'audio utilise des gammes pentatoniques, des rythmes variés et des formes d'onde pour produire des sons agréables et reconnaissables
Stockée de manière sécurisée dans la base de données, jamais exposée avant le succès de l'authentification partielle
3 premiers caractères hachés avec HMAC-SHA256
Hachage comparé au hachage partiel stocké
Le succès déclenche la récupération de l'identité de sécurité
Le mot de passe complet n'est jamais transmis avant la confirmation de l'identité
Important : traitez tous les caractères du mot de passe comme sensibles. Utilisez un mot de passe fort et unique.
Application stricte de HTTPS (TLS 1.2+)
Vérifiez toujours l'icône de cadenas dans votre navigateur
Vérifiez que le domaine correspond exactement à wiggwigg.ca ou app.wiggwigg.ca
En-têtes Content Security Policy (CSP) pour prévenir le XSS
Votre identité de sécurité offre une deuxième couche de vérification
Notre protection anti-hameçonnage est solide, mais il est important d'en comprendre les limites :
Les attaques d'hameçonnage les plus sophistiquées font office de proxy en direct entre vous et WIGGWIGG. Elles peuvent afficher votre vraie identité de sécurité (visuelle et audio) tout en volant votre mot de passe complet en temps réel. C'est pourquoi vous devez toujours vérifier que le domaine exact dans votre barre d'adresse correspond à wiggwigg.ca ou app.wiggwigg.ca. Aucune exception.
Si un attaquant intercepte votre connexion à l'aide de certificats compromis ou d'attaques au niveau du réseau, il pourrait relayer vos informations en temps réel. Vérifiez toujours les certificats SSL et évitez les réseaux non fiables.
Si un attaquant vous convainc de partager votre mot de passe complet directement (par téléphone, en personne, faux soutien), l'anti-hameçonnage ne peut pas vous protéger. Ne partagez jamais votre mot de passe, même pas avec le personnel de soutien de WIGGWIGG.
Si votre appareil est infecté par un maliciel qui capte les frappes ou prend des captures d'écran, l'anti-hameçonnage ne peut pas empêcher le vol d'informations. Gardez vos appareils sécurisés et à jour.
Des extensions de navigateur malveillantes ou des logiciels compromis sur votre appareil peuvent manipuler ce que vous voyez, y compris l'affichage de votre identité de sécurité. N'installez que des extensions provenant de sources fiables et gardez vos logiciels à jour.
La protection anti-hameçonnage est une couche de défense. Combinez-la avec des mots de passe forts, l'authentification à deux facteurs et une vérification rigoureuse des domaines pour une sécurité maximale.
Profitez de la confiance de savoir que vous êtes toujours sur le vrai site.
Comment fonctionne l'authentification partielle?