17 février 2023
Lorsqu’on pense à la cybersécurité, on pense immédiatement aux technologies et aux infrastructures. On oublie trop souvent l’humain derrière son écran qui joue un rôle dans 90 % des attaques et des escroqueries. On a aussi tendance à sous-estimer la créativité des fraudeurs qui se renouvellent sans cesse. Ah! Si seulement ils pouvaient utiliser leur intelligence au service du bien…
Quelles sont les nouvelles tendances en matière de cybercriminalité? Quelles sont les meilleures pratiques pour se protéger d’une cyberattaque? C’est ce que nous allons voir.
Même si l’hameçonnage a évolué depuis les dernières années, son but est toujours le même : 1) vous faire ouvrir une pièce jointe ou cliquer sur un hyperlien afin qu’un logiciel malicieux se télécharge sur votre ordinateur; 2) vous diriger vers un faux site web pour que vous entriez vos données personnelles.
Voyons son évolution…
Le fraudeur envoie un courriel et se fait passer pour une organisation réputée (gouvernement, fournisseur de téléphone, câble ou Internet, institution bancaire…) et mise sur le sentiment d’urgence : « Vous avez seulement 24 heures pour faire ceci ou cela, sinon votre compte sera désactivé. »
Le fraudeur ne se contente plus d’envoyer des courriels; il passe aux textos. Encore une fois, il prend l’apparence d’une institution de confiance et il joue avec vos émotions : la peur de perdre vos accès à un service ou le plaisir de recevoir une somme d’argent inattendue, par exemple.
Un changement majeur opère : le fraudeur pirate le compte Facebook d’un de vos « amis » et envoie un message sur Messenger à tous ses contacts. On passe donc d’un courriel ou texto impersonnel à un message envoyé par un membre de votre entourage.
Un doute? Communiquez directement avec la personne concernée pour en avoir le cœur net… pas directement sur Messenger, bien sûr, parce que c’est le hacker qui vous répondra.
C’est grâce au piratage de compte qu’une personne malveillante peut obtenir l’accès à vos identifiants et mots de passe, que ce soit Facebook, Desjardins, Bell ou n’importe quelle plateforme web.
En se faisant passer pour l’utilisateur légitime du compte, les cybercriminels parviennent à changer les informations du compte, à envoyer des courriels d’hameçonnage, à voler des informations ou à utiliser des données volées pour accéder à encore plus de comptes au sein de l’entreprise.
Les causes du piratage sont multiples : une fuite de données (volontaire ou non), un mot de passe trop simple, le même mot de passe utilisé partout, ouverture d’un fichier ou d’un lien malveillant, etc.
Quelques conseils pour vous protéger des pirates et leur compliquer la vie :
Créer un mot de passe fort avec des chiffres, des lettres minuscules et majuscules ainsi que des symboles;
Choisir des mots de passe différents pour chaque plateforme;
Pour les réponses aux questions secrètes, inventer des réponses au lieu d’écrire la vérité, puisque les vraies réponses peuvent se trouver sur le web (nom de jeune fille de votre mère, nom de votre premier animal de compagnie…);
Activer l’authentification à deux facteurs.
On est loin de l’époque où les malfaiteurs kidnappaient la fille d’un riche homme d’affaires, qui devait payer une rançon pour espérer la revoir vivante. Ils ne se salissent plus les mains maintenant et restent derrière leur clavier.
De nos jours, les escrocs utilisent plutôt des rançongiciels, c’est-à-dire des logiciels malveillants qui infectent votre ordinateur et prennent en otage vos données et documents. Pour espérer les retrouver, vous devez payer une rançon. Ils peuvent aussi menacer de détruire les données s’ils ne reçoivent pas l’argent à temps.
Encore une fois, les deux principales portes d’entrée du pirate sont la pièce jointe et le lien hypertexte.
À la fameuse question « Devrait-on payer ou non? », je réponds toujours que rien ne vous garantit que vos données vous seront entièrement remises si vous choisissez de payer la rançon…
Je crois plutôt qu’on doit miser sur une solution préventive : avoir plusieurs copies de sauvegarde, notamment une copie sur le Cloud et une sauvegarde physique. Le bon vieux disque dur externe a toujours sa place!
Décidément, les voyous n’ont plus de limites. Voici comment ça fonctionne… Ils piratent la boîte de courriels de votre fournisseur (votre graphiste, votre comptable, votre fournisseur de papeterie…) et vous envoient un courriel (ainsi qu’à tous ses autres clients). Vous recevez donc un courriel, que vous pensez provenir de votre fournisseur (alors qu’en fait c’est le fraudeur!). Il vous dit qu’en raison d’une restructuration organisationnelle, il change d’institution bancaire et vous fournit donc de nouvelles coordonnées bancaires pour votre prochain paiement de facture.
Résultat? Vous envoyez directement des fonds aux malfaiteurs et votre fournisseur ne reçoit jamais son paiement.
Vous recevez un tel courriel? Ne changez pas les informations de paiement. Appelez plutôt votre fournisseur en utilisant le numéro de téléphone que vous avez déjà dans votre dossier… pas celui inscrit dans le courriel frauduleux.
Selon les données recueillies par Statistique Canada, 21 % des entreprises canadiennes ont déclaré avoir été touchées par des incidents de cybersécurité, en 2019. Ce qui est encore plus inquiétant, c’est que la plupart ne signalent pas ces incidents à la police pour éviter les impacts que cela pourra avoir sur leur réputation. Incroyable, mais vrai!
Si je forme les entreprises à adopter de meilleures pratiques en ligne pour repousser les fraudeurs et les pirates informatiques, c’est pour éviter qu’ils aient un jour à appeler leurs clients, un par un, pour leur annoncer que leurs données ont été compromises et qu’ils sont à risque de vol d’identité.
Croyez-moi : personne ne veut être l’élément déclencheur d’une attaque. Personne.
Et se croiser les doigts en espérant qu’aucun incident fâcheux ne survienne, ce n’est pas un bon plan d’action.
--- publié le 17 février 2023
_____________
À propos des auteurs
Emeline Manson, Formatrice et expert
Quand on pense à la cybersécurité, on pense rapidement aux technologies et aux infrastructures. Pourquoi oublie-t-on que l’utilisateur joue un rôle dans 90 % des attaques et des escroqueries ?
Emeline Manson, fondatrice de CY-clic, est formatrice en prévention des fraudes et cybersécurité. Elle se consacre au rôle de l’humain dans le maintien de la sécurité des systèmes informatiques et dans la protection des données personnelles.
Elle enseigne également au certificat en cyberenquête de Polytechnique Montréal et compte plusieurs années d’expérience en intervention psychosociale et en criminalité financière dans le domaine bancaire.
Sa mission est de former les entreprises à adopter de meilleures pratiques en ligne, pour repousser les fraudeurs et les pirates informatiques, et éviter que tant d’années d’efforts ne s’évaporent en un clic!