Quelles sont-elles ? Comment s'en prémunir au mieux ? Que faire si vous êtes victime ?
Vaste sujet …
En 2021, plus de 54 % des entreprises françaises ont subi une attaque informatique (source Baromètre de la sécurité en entreprise CESIN -Club des Experts de la Sécurité de l’Information et du Numérique).
De son côté, l’ANSSI (Agence nationale de sécurité des systèmes d’information) indique que 43 % des cyberattaques ont visé les petites et moyennes entreprises, les moins armées pour faire face aux pirates informatiques. Les collectivités territoriales (20 % des cyberattaques) et les hôpitaux (11 %) sont également durement touchés, tout comme les grandes entreprises (26 %).
Mais les particuliers ne sont pas en reste.
Voici les données de l’INSEE basées sur les déclarations des internautes, compilation des trois dernières années. Les pourcentages indiquent les proportions d’internautes qui ont déclarés avoir été victimes de telle ou telle fraude ou tentative de fraude – les chiffres sont donc en dessous de la vérité :
- Emails ou appels téléphoniques visant à obtenir des informations personnelles (phishing) 49,5%
- Logiciel malveillant (virus, etc.) affectant l’équipement d’accès à Internet 41,7%
- Exposition à un contenu incitant à la haine raciale ou à l’extrémisme religieux 17,7%
- Fraude sur des produits non livrés, contrefaits ou non conformes à leur description 15,1%
- Piratage du compte de réseau social ou du compte mail 19,1%
- Accès impossible à un service en ligne en raison d’une cyberattaque 12,9%
- Exposition à un contenu à caractère pédopornographique 6,1%
- Fraude à la carte bancaire ou escroquerie bancaire sur Internet 15,8%
Sur le Dark web, les numéros de cartes de paiement se vendent par millions, à environ 10 dollars par carte.
Examinez votre relevé mensuel ou votre compte en ligne le plus souvent possible pour détecter toute activité suspecte et réagissez rapidement si vous pensez que votre carte a pu être utilisée de manière non autorisée.
- Demande de paiement en échange du contrôle d’un appareil (rançongiciel) 8%
Et cela n’arrive pas qu’aux grandes entreprises ou aux hôpitaux… Un matériel non mis à jour, et voilà un rançongiciel qui crypte toutes vos données, avec une demande de rançon de 1500€ en bitcoins. J’en connais qui ont ainsi perdu toutes leurs photos de vacances et de famille depuis la naissance des enfants …
Une très bonne habitude à prendre : faîtes régulièrement des sauvegardes des documents importants, des données auxquelles vous tenez -vos photos, vos factures par exemple. Et dans un monde idéal, une sauvegarde déposée chez un parent ou un ami ne disparaîtra pas lors d’un cambriolage ou d’un incendie de votre domicile. Vous pouvez aussi déposer ces fichiers sur un stockage sur internet (le « cloud »), mais il est alors sage de les encrypter -c’est d’ailleurs aussi le cas pour vos sauvegardes physiques délocalisées.
- Usurpation d’identité (utilisation des données personnelles par une autre personne) 8,1%
Ne mésestimez pas les conséquences en cas de vol de vos données numériques. Un simple scan d’un passeport et vous voilà victime d’une usurpation d’identité. Vous ne vous rendez compte de rien, et un jour vous voilà convoqué au commissariat parce que « vous n’avez pas remboursé un crédit que vous auriez fait il y a deux ans et qu’une plainte a été déposée contre vous ». Du vécu …
Les fraudes Cyber,
nos conseils pour se protéger ...
D’abord, savoir choisir ses mots de passe.
Pour un pirate informatique, un mot de passe trop court / pas assez complexe est facile à reconstituer. Soit en se basant sur des bases de données de mots de passe qui ont été identifiés puis revendus sur internet -et on trouve des millions de mots de passe en « libre service » sur le Dark Net- soit par une recherche en « force brute », c’est à dire en essayant toutes les combinaisons possibles. Le temps nécessaire pour trouver un mot de passe par cette méthode va bien entendu dépendre de la puissance de la machine utilisée. Mais cette durée est souvent bien plus courte que celle imaginée par nombre d’utilisateurs.
Ci-dessous un tableau produit par la la société Hive Systems (© Hive Systems) des durées nécessaires au déchiffrage d’un mot de passe par force brute. Les temps sont calculés en se basant sur l’utilisation d’une carte graphique de bonne qualité, dont le coût d’achat est de l’ordre de 1500€. Pour bien se rendre compte des performances de ces cartes utilisées originellement pour gérer un affichage sur un écran, celle utilisée pour définir les durées de ce tableau est un matériel grand public et affiche une capacité de traitement de 10 070 000 000 000 opérations par secondes. Je vous laisse compter les zéros …
Evidemment, avec du matériel plus puissant, ça va encore plus vite …
Autant dire que des mots de passe de type « mon numéro de téléphone » ou « la date de naissance de mon enfant » ou « mon code postal » seront déchiffrés instantanément…
Evitez aussi toutes les combinaisons de suites de touches sur le clavier. Parmi les mots de passe favoris des Français on retrouve « azerty » ou encore « 12345 » ou encore … « doudou ». Je vous renvoie au tableau ci-dessus …
Par ailleurs certains algorithmes de recherche utilisent des dictionnaires de différentes langues pour optimiser leur processus. Il convient donc d’éviter d’utiliser un langage « trop propre » pour définir ses mots de passe. Plutôt que de choisir « Voilaunbonmotdepasse » -qui n’est déjà effectivement pas mauvais vu la longueur- on peut choisir « Voila1BonMot2p@sse!!! ». Mais attention, maintenant que ce mot de passe a été écrit dans cet article, alors il est potentiellement connu, donc je vous le déconseille … Trouvez le vôtre !!!
L’ANSII suggère sur son site une méthodologie simple mais très efficace :
– La méthode des premières lettres : Un tiens vaut mieux que deux tu l’auras
> 1tvmQ2tl’A
– La méthode phonétique : J’ai acheté huit CD pour cent euros cet après-midi
> ght8CD%E7am
Inventez votre propre méthode connue de vous seul !
Ensuite, savoir gérer ses mots de passe.
Principe de base, on n’utilise pas le même mot de passe pour deux accès différents (votre messagerie et votre fournisseur d’énergie par exemple). Evidemment, on n’utilise surtout pas un seul mot de passe pour tous ses accès … !!!
Comment s’y retrouver ? Tout noter sur un petit carnet, ou sur des post-it autour de l’ordinateur, ce n’est pas une bonne idée. Le carnet volé ou perdu, et voilà des chèques en blanc distribués dans la rue … Créer un fichier facilement lisible sur votre ordinateur ou votre téléphone, ou stocker vos mots de passe dans votre messagerie , ce n’est guère mieux.
La solution existe, c’est un gestionnaire de mots de passe. Là encore on peut se retourner vers l’ANSII pour trouver des outils certifiés. Par exemple Keepass, un outil français, utilisable sur ordinateur comme sur téléphone mobile. On défini un seul mot de passe -un vrai bon mot de passe que l’on garde pour soit et que l’on n’oubliera pas- et ensuite on stocke dans le gestionnaire une « fiche » par accès qui permet de stocker les mots de passe. Si vous manquez d’imagination, le gestionnaire de mot de passe peut même en générer des aléatoires pour vous.
Il faut régulièrement changer ses mots de passe
Malgré toutes les précautions ci-dessus, votre mot de passe peut se retrouver sur internet. On a déjà vu des « fuites de mots de passe en masse » chez tel ou tel fournisseur d’accès ou de service. Une base de données pleine de mots de passe peut alors se retrouver en vente ou même en libre service sur le dark web. Pour limiter le risque, changer régulièrement vos mots de passe. Cela peut sembler fastidieux, mais une après midi pluvieuse, Keepass à surtout bien mettre à jour, et vous voilà partis … A titre personnel, il m’est arrivé de voir un de mes mots de passe apparaître dans un telle base de données qui se promenait sur le dark web. Sauf qu’entre temps, je l’avais déjà changé 3 ou 4 fois pour le service concerné, et donc pas de problème pour cette fois …
Quand c’est possible utiliser une authentification à deux facteurs
Mot de passe + code reçu par SMS, ou Mot de passe + identification biométrique type empreinte digitale sur un téléphone.
La DSP2, ou directive sur les services de paiement 2ème génération, est officiellement entrée en vigueur le 15 mai 2021. Si cette législation européenne existe bien depuis 2018, elle a largement évolué pour s’adapter aux nouvelles problématiques rencontrées par les e-commerçants. L’obligation de l’authentification forte est passée d’un seuil de 2 000 euros en octobre 2020 à celui de 30 euros en mai dernier. Les différents acteurs du web sont désormais obligés de l’appliquer pour les paiements qui dépassent ce montant.
Mettez à jour vos systèmes d’exploitation
Windows, Linux, autre … et les logiciels que vous utilisez. Pas une semaine sans qu’une faille ne soit détectée quelque part …
Utilisez un anti-virus
Un seul, et à jour !!! Ayez aussi un pare-feu installé et actif sur votre ordinateur.
Evitez les outils « douteux »
Evidemment, évitez les outils « douteux » ou obtenus sur des sites type « Torrent » ou autre. Paradoxalement, les outils libres de droits (le monde de l’Open Source) sont souvent plus sûrs. Ils ont leurs failles comme les autres bien entendu, mais sont supportés par une forte communauté de développeurs, et donc rapidement corrigés. A vous bien sûr d’appliquer les mise à jours …
Méfiez-vous des sollicitations
Surtout, surtout, attention aux emails avec des pièces jointes ou des liens qui vous invitent à cliquer pour « vérifier l’adresse du colis qui doit vous être livré », ou « éviter que votre accès Netflix ne soit désactiver », ou « recevoir le dernier iPhone que vous venez de gagner » , ou « votre ordinateur est infecté, cliquez ici pour corriger » ou etc etc … Dans tous les cas de figure, regardez bien les adresses émettrices. Les arnaques foisonnent, et l’imagination est au pouvoir. C’est parfois très ressemblant, alors soyez prudents.
Une règle de base. On ne sait d’où ça vient, on n’ouvre pas, on ne clique sur aucun lien, et direction la poubelle.
Et ce qui vrai pour les emails l’est également pour les SMS.
HTTPS plutôt que HTTP
Lors de votre navigation sur internet -et surtout lorsque vous effectuez des achats- privilégier les sites en https (protocole sécurisé / ceux avec le « cadenas ») au lieu des sites http. Sur un site en http, tout ce que vous tapez circule en clair sur internet, ce n’est pas crypté et c’est donc (trop) facile à intercepter. Un site internet en http -donc sans le « cadenas »- qui chercherait à vous vendre quoi que ce soit, ce n’est pas sérieux, passez votre chemin …
Les réseaux sociaux
Autres lieux de prédilection pour les arnaqueurs en tout genre, les réseaux sociaux. Vous « rencontrez » quelqu’un sur un réseau social, et on vous propose une méthode infaillible pour faire de l’argent facile, ou un travail très fortement rémunéré, ou encore une somme importante en échange d’un service quelconque … Trop beau pour être vrai, lorsque des offres trop alléchantes vous sont proposées, soyez extrêmement prudent !!!
Sur les réseaux sociaux :
- N’acceptez que des comptes que vous connaissez.
- Ne communiquez jamais – par quelque biais que ce soit – vos données bancaires.
- De même pas d’informations trop personnelles qui pourraient être utilisées à votre insu.
- Même si vous communiquez via message privé ou bien sur votre compte que vous pensez restreint, soyez très prudents avec les informations que vous divulguez.
Si malgré toutes vos précautions vous êtes victime d’une fraude sur internet
Le service public met différents outils à votre disposition.
Vous pouvez établir un diagnostic depuis un site gouvernemental :
https://www.cybermalveillance.gouv.fr/diagnostic/profil
Comment cela fonctionne l’outil de diagnostic ?
1. Répondez à quelques questions pour décrire votre problème. Vos réponses permettront à l’outil de vous proposer un diagnostic personnalisé. Ce diagnostic en ligne est gratuit et accessible à tous. Aucune information à caractère personnel ne vous sera demandée pour obtenir votre diagnostic.
2. Vérifiez que le diagnostic proposé par l’outil correspond bien au problème que vous rencontrez.
3. Appliquez les conseils qui vous sont donnés pour résoudre votre problème. Ces conseils vous orienteront également vers les différents services compétents en fonction de votre situation.
Mise en relation avec un professionnel / assistance
Si vous le souhaitez, vous pouvez être mis en relation avec des prestataires spécialisés de proximité référencés par Cybermalveillance.gouv.fr et susceptibles de pouvoir vous aider dans la résolution de votre problème.
Cette prestation peut vous être facturée par le prestataire qui vous prendra en charge.
Comment cela fonctionne ?
1. Cybermalveillance.gouv.fr vous propose des prestataires spécialisés en cybersécurité susceptibles de pouvoir vous aider à résoudre votre problème.
2. Ces prestataires peuvent vous proposer une solution et/ou un devis.
3. Vous convenez d’un rendez-vous pour une intervention avec le prestataire de votre choix.
4. A la fin de l’intervention, vous pourrez laisser un avis à Cybermalveillance.gouv.fr sur la prestation réalisée.
Vous souhaitez signaler une escroquerie en ligne ou un contenu illicite sur Internet (pédophilie, terrorisme, incitation à la haine ou à commettre un crime ou délit, trafics illégaux…) ?
Rendez-vous sur la plateforme dédiée du ministère de l’Intérieur :
https://www.internet-signalement.gouv.fr/
Vous souhaitez déposer plainte ?
Rendez-vous au commissariat de police ou à la brigade de gendarmerie dont vous dépendez, ou adressez votre plainte par écrit au procureur de la République du tribunal judiciaire de votre domicile.
Si vous êtes un particulier victime d’une cybermalveillance à caractère financier (chantage, sextorsion, escroquerie commerciale ou sentimentale, piratage de messagerie ou réseaux sociaux…), vous pouvez déposer plainte en ligne sur la plateforme THESEE du ministère de l’Intérieur.
https://www.service-public.fr/particuliers/vosdroits/N31138
Vous l’aurez compris, difficile d’être exhaustif sur un tel sujet. Alors si vous avez des doutes, des questions , contactez-nous via le bouton en bas de cet article, et nous essayerons de vous répondre ou de vous aiguiller au mieux …
