Bonjour à tous et bienvenue à ce treizième mémo numérique portant sur les pièges à éviter sur le web. La cybersécurité est un enjeu majeur pour toutes les entreprises. La pandémie a accentué les cyberattaques et les violations de données dans les milieux de travail. À l’AMECQ, nous pensons qu’il est crucial que vous connaissiez les types de cyberattaque qui ont le plus affecté les entreprises dans la dernière année ainsi que les différentes façons dont vous pouvez vous en prémunir.
Plusieurs spécialistes croient que les entreprises ne sont pas prêtes à se défendre contre une cyberattaque ou une fuite de données et qu’elles ont peu de ressources pour s’en protéger. Vous comprendrez que la liste des dangers du web se rallonge au fil des années et qu’il est important que vous vous teniez informés pour mieux vous protéger. Dans ce mémo, nous vous présenterons une liste non exhaustive des menaces qui font actuellement le plus de ravages, autant dans les entreprises que chez les particuliers.
Rançongiciels (ransomware) Les rançongiciels, des logiciels malveillants prenant en otage tout ce qui se trouve sur votre ordinateur (photos, vidéos, documents importants), sont apparus aux alentours de 2012. Il s’agit sans doute de l’une des menaces du web les plus angoissantes, car vous devez réagir rapidement à une demande de rançon pour récupérer le contrôle de votre ordinateur. Le nombre d’attaques de ce genre a explosé dans les dernières années. Elles sont d’une efficacité étonnante. En effet, les individus derrière les rançongiciels s’enrichissent facilement, car les paiements effectués par les victimes ne sont pas ou très difficilement traçables.
Lorsqu’il est activé, le rançongiciel crypte toutes vos données ou bloque complètement l’accès à votre ordinateur. Le malfaiteur vous demande par la suite une somme d’argent, généralement en cryptomonnaie, pour que vous puissiez accéder de nouveau à son contenu. Lorsque vous lui envoyez le montant d’argent qu’il réclame, il vous cède, en principe, une clé qui vous permet de décrypter vos données. Les services de sécurité n’encouragent pas les victimes à payer les rançons.
Vous avez peut-être déjà entendu parler du rançongiciel « WannaCry », une cyberattaque mondiale s’étant produite en 2017. Celle-ci a infecté plus de 300 000 ordinateurs d’organismes de plusieurs pays (États-Unis, Inde, Russie). La majorité des ordinateurs infectés fonctionnaient encore avec Windows XP (2001), ou la mise à jour de sécurité de leur système n’avait pas été faite, les rendant ainsi vulnérables.
Comme plusieurs des enjeux de cybersécurité que nous explorerons dans ce mémo, les rançongiciels parviennent à s’installer dans votre ordinateur en exploitant ses vulnérabilités. Si ce n’est pas déjà fait, il est important que vous remédiiez à certains enjeux de sécurité de vos appareils, qui pourraient donner une voie d’accès facile aux rançongiciels. Voici quelques exemples :
- Vous devez absolument faire les mises à jour de vos systèmes aussitôt qu’elles sont disponibles.
- Vous devez vous assurer que vos mots de passe sont complexes (chiffres, lettres, caractères spéciaux). Par exemple, Beyonce123 n’est pas considéré comme sécuritaire.
Vous devez vous assurer que le réseau Wi-Fi sur lequel vous êtes connecté est sécurisé. Les vulnérabilités dans les réseaux d’entreprises sont plus fréquentes qu’on ne le croit. En dernier lieu, sachez que les individus sont le principal facteur de vulnérabilité. Une simple erreur de votre part, comme le fait de cliquer sur un lien ou une pièce jointe d’un courriel douteux ou d’accéder à un site internet infecté, peut exposer vos informations confidentielles ou celles de votre entreprise à des gens qui n’ont pas vos intérêts à cœur. Soyez prudents !
Espiogiciels (spyware)
Ne croyez pas que votre activité numérique est à l’abri de gens mal intentionnés. Les logiciels espions existent depuis longtemps (la première mention remonte à 1996) et sont aujourd’hui très répandus. Ces derniers s’installent dans vos appareils à votre insu et recueillent de l’information sur vous ou sur votre entreprise. Ils sont en mesure de voir ce que vous téléchargez, écrivez, copiez, collez, les sites web que vous visitez ainsi que vos informations bancaires.
Les espiogiciels s’installent généralement en même temps que d’autres logiciels et applications. Bien souvent, ces applications et logiciels sont gratuits. Les malfaiteurs rentabilisent ainsi le produit qu’ils offrent gratuitement en accumulant des données sur les utilisateurs. Aussi, les espiogiciels peuvent être totalement légaux. Il peut s’avérer utile de lire les conditions d’utilisation des applications et logiciels que vous téléchargez, car ils peuvent contenir des traqueurs. Il est très important de sensibiliser vos employés et bénévoles aux logiciels qu’ils installent sur leurs ordinateurs personnels et ceux de votre entreprise pour éviter que des informations importantes ne soient transmises à des personnes mal intentionnées.
Les espiogiciels sont difficilement détectables. Une des meilleures façons de s’en protéger est de sensibiliser votre équipe aux bonnes pratiques numériques, comme lire les conditions d’utilisation des applications et des logiciels que l’on installe, même s’il s’agit d’un exercice pénible et plutôt long. Aussi, faites attention à tout ce qui est gratuit sur internet. À un certain point, si c’est gratuit, c’est vous le produit. L’installation de pare-feu sur votre ordinateur peut également vous aider à prévenir que des espiogiciels soient installés et partagent des informations à votre insu. Enfin, il existe plusieurs antivirus et antiespiogiciels sur le marché, qui peuvent aussi vous aider à les détecter et à les supprimer.
En résumé :
- Installez un pare-feu personnel.
- Ayez un logiciel de protection antivirus et antiespiogiciel qui combat ces menaces en temps réel, car les malfaiteurs savent que les gens prennent plus de précautions qu’avant. Ils ont donc adapté leurs pratiques et les façons dont les espiogiciels peuvent infecter vos appareils. Ils sont plus subtils et moins faciles à détecter pour les victimes.
- N’ouvrez pas les courriels provenant de destinataires inconnus ou, s’ils vous semblent connus (Desjardins, ARC, Facebook, etc.), portez attention à certains détails révélateurs comme l’adresse courriel de provenance, le caractère potentiellement intrusif du message (ex. : demande de mot de passe ou d’information importante), des erreurs grammaticales, des liens URL suspects vers lesquels on vous redirige, etc.
- Ne téléchargez pas de fichiers avant de vous être assurés qu’ils proviennent d’une source sécuritaire.
- Développez au sein de votre équipe un guide d’autodéfense numérique pour éviter que vos employés et bénévoles infectent malgré eux leurs appareils ou ceux de votre média.
L’hameçonnage
L’hameçonnage est une des activités les plus lucratives pour les fraudeurs. Leur intention est de récupérer vos mots de passes, numéros de cartes de crédit, date de naissance, numéro d’assurance sociale et toute autre information personnelle, notamment en vous faisant croire que vous entrez celles-ci aux bons endroits. Les malfaiteurs reproduisent presque parfaitement les interfaces des sites internet que vous consultez fréquemment comme ceux des banques, des boutiques en ligne et même ceux du gouvernement, comme l’Agence du revenu du Canada ou Revenu Québec.
Dans la majorité des cas, ceux qui veulent vous hameçonner vous enverront des courriels qui semblent totalement légitimes, mais qui ne le sont pas du tout. Google, Verizon et plusieurs entreprises numériques ont remarqué que ce type d’attaque a pris beaucoup d’ampleur dans le contexte de la pandémie. Vous n’avez désormais plus le choix d’être prudent lorsque vous naviguez sur internet, lorsque vous ouvrez vos courriels et même lorsque vos amis et votre famille vous envoient des liens sur Messenger, par message texte, WhatsApp ou autres outils de messagerie. Plusieurs escrocs misent sur la naïveté des gens pour prendre le contrôle de leurs comptes.
Voici quelques exemples de tentatives d’hameçonnage auxquelles vous pourriez être confrontés :
- Vous recevez un courriel indiquant que vous avez tenté de vous connecter plusieurs fois à votre compte et qu’il est nécessaire que vous effectuiez un changement de mot de passe. Dans un tel cas, il est plus important que jamais que vous vérifiiez attentivement l’adresse courriel et certains éléments présents dans le message pour vous assurer de l’authenticité du courriel.
- Vous recevez une offre intéressante ou l’annonce que vous êtes gagnant d’un prix spectaculaire, par courriel ou simplement en naviguant sur un site internet. Par exemple : « Vous avez gagné un four à panini, cliquez ici pour réclamer votre prix ! ».
En fait, il s’agit souvent de stratagèmes vous invitant à vous rendre sur des sites malveillants qui recueillent de l’information sur vous ou installent des scripts qui prennent totalement le contrôle de votre ordinateur. Certains sites vous demanderont vos informations de crédit, car il est bien sûr nécessaire que vous payiez les frais d’envoi pour recevoir votre four à panini. Ne les fournissez surtout pas !
- Le gouvernement fédéral ou provincial vous envoie un courriel vous demandant de mettre à jour vos dossiers. Assurez-vous qu’il s’agisse bien de ces destinateurs officiels et non de malfaiteurs. Autrement, le lien sur lequel vous êtes invité à cliquer pourrait compromettre vos renseignements personnels.
Les gens derrière les stratagèmes d’hameçonnage sont très créatifs dans les façons de vous soutirer de l’argent et des informations personnelles; soyez vigilants ! Voici quelques trucs pour vous protéger et éviter de vous faire avoir par les techniques d’hameçonnage :
- Protégez vos appareils (ordinateurs, tablettes, cellulaires) en les mettant continuellement à jour. Si ce n’est pas déjà fait, activez la fonction « mise à jour automatique » pour vous simplifier la vie.
- Utilisez les fonctionnalités de double authentification sur vos différents comptes afin d’assurer une meilleure protection de ceux-ci. Certains sites internet et applications requièrent des informations supplémentaires lorsque vous entrez votre mot de passe. Il y en a qui vous envoient une série de chiffres par message texte ou par courriel, à recopier lorsque vous tentez de vous connecter. D’autres peuvent vous demander des données biométriques, soit votre empreinte digitale ou la numérisation de votre rétine.
- Sauvegardez vos données sur un disque dur externe ou un cloud pour ne pas tout perdre. Évitez que vos sauvegardes soient reliées au réseau de votre maison ou de votre entreprise pour qu’elles ne soient pas corrompues. Enfin, faites également la sauvegarde des données de votre téléphone, car celui-ci n’est pas à l’abri du risque.
Fuite de données
Nous présumons que les médias communautaires ne conservent pas des secrets d’État dans leurs appareils. Toutefois, des gens mal intentionnés pourraient avoir de l’intérêt pour certaines de vos informations. La sécurité de votre entreprise ne dépend pas uniquement des actions faites à l’interne, mais aussi de l’utilisation des appareils personnels de vos employés et bénévoles. La gestion de vos données doit être sécurisée autant sur vos disques durs externes que sur les clouds. Voici quelques suggestions qui vous aideront à mieux protéger vos données :
- Assurez-vous que vos appareils (tablettes, ordinateurs portables, téléphones intelligents) possèdent un mot de passe, dans l’éventualité où vous les perdriez.
- Utilisez des logiciels de cryptages pour donner une couche de protection supplémentaire à vos données ou à celle de votre entreprise.
- Si c’est possible, activez la fonction de traqueur GPS sur vos appareils. Dans l’éventualité où vous perdriez ceux-ci, il serait possible d’en supprimer les données à distance, sous certaines conditions (niveau de la batterie, connexion à un réseau…).
Vulnérabilités
Les cybercriminels recherchent activement des vulnérabilités à exploiter sur vos appareils (ordinateurs, téléphones intelligents et tablettes). Celles-ci sont en fait des portes d’entrée qui leur donnent plusieurs opportunités telles que vous extorquer de l’argent nuire à votre réputation ou à celle de votre entreprise, ou accéder à des informations importantes (bases de données, listes d’utilisateurs…).Plusieurs de ces vulnérabilités peuvent être évitées en prenant les précautions nécessaires. Voici deux exemples :
- Ceux qui font face à des vulnérabilités réseau n’ont peut-être pas ajouté de mot de passe à leur Wi-Fi lorsqu’ils ont configuré celui-ci. Il est également possible qu’ils ne possèdent pas de pare-feu ou, s’ils en ont un, qu’il soit mal configuré. Ces deux éléments rendent les appareils d’une maison très vulnérables aux intrusions.
- Les vulnérabilités humaines dépendent essentiellement de gestes involontaires mais néfastes effectués par vous ou votre équipe. La liste peut être très longue. En voici quelques exemples :
- La curiosité peut vous amener à cliquer sur des liens dangereux, généralement présents dans des courriels. Cela peut occasionner beaucoup de dommages sur vos ordinateurs. Il est important de sensibiliser vos équipes à l’importance de toujours vérifier les sources de ce qu’ils consultent. Les stratagèmes d’hameçonnage évoluent au gré des technologies et sont nettement moins évidents à détecter qu’ils ne l’étaient par le passé.
- L’ingénierie sociale implique que vous vous fassiez manipuler par des malfaiteurs voulant obtenir de l’argent ou des informations confidentielles. Ces derniers utilisent généralement leur charisme ainsi que la naïveté des gens pour obtenir ce qu’ils veulent. Plusieurs entreprises ont établi des règles de sécurité qu’ils transmettent à leurs employés concernant l’information qu’ils peuvent partager ou non.
- Les mauvaises habitudes de mots de passe peuvent aussi faciliter des attaques informatiques. La gestion des mots de passe au sein de votre entreprise devrait être considérée comme essentielle. Il est important de changer les mots de passe régulièrement, de ne pas utiliser des mots ou séries de chiffres faciles à deviner et de ne pas employer le même mot de passe pour chaque plateforme que vous utilisez.
Certaines vulnérabilités peuvent être plus complexes à déceler et requièrent des connaissances un peu plus poussées en informatique. Dans cette perspective, il est primordial de toujours effectuer la sauvegarde de vos données pour éviter que le pire ne vous arrive. Vous aurez compris que certaines attaques informatiques résultant de vulnérabilités peuvent faire beaucoup de dommages.
Pour la suite des choses…
Les menaces sur le web sont nombreuses (DDoS, cheval de Troie…) et nous n’avons abordé qu’une partie d’entre elles. Les différentes actions de prévention que nous avons énumérées au fil de ce mémo (pare-feu, mises à jour, sauvegarde de données…) peuvent également vous prémunir d’attaques que nous n’avons pas mentionnées. Nous vous suggérons fortement de créer un guide ou une politique numérique pour aider vos employés et bénévoles à être mieux informés et plus prudents dans leur utilisation des outils numériques (gestion de mots de passe, liens douteux, téléchargement de logiciels…). Enfin, gardez en tête que les malfaiteurs améliorent leurs stratagèmes au gré de l’évolution des technologies. Soyez vigilants !
Sources :
- https://www.balbix.com/insights/attack-vectors-and-breach-methods/
- https://blog.symquest.com/why-human-error-biggest-cyber-security-vulnerability
- https://www.commentcamarche.net/contents/1233-spyware-espiogiciel
- https://www.compuquip.com/blog/computer-security-vulnerabilities
- https://www.compuquip.com/blog/remote-employees-biggest-it-security-threat
- https://www.consumer.ftc.gov/articles/how-recognize-and-avoid-phishing-scams
- https://www.csoonline.com/article/3236183/what-is-ransomware-how-it-works-and-how-to-remove-it.html
- https://enterprise.verizon.com/resources/reports/dbir/
- https://www.exabeam.com/information-security/cyber-security-threat/
- https://fr.malwarebytes.com/spyware/
- https://guardiandigital.com/blog/2020-a-new-decade-of-digital-threats-is-your-business-email-secure
- https://www.icaew.com/-/media/corporate/files/technical/business-and-financial-management/smes/bas-for-pba/top-five-cyber-risks.ashx
- https://www.mcafee.com/blogs/consumer/family-safety/7-ways-tell-fake/
- https://orangecyberdefense.com/fr/insights/blog/gestion_des_vulnerabilites/vulnerabilites-de-quoi-parle-t-on/
- https://resources.infosecinstitute.com/topic/phishing-techniques-contest-winner-scam/
- https://transparencyreport.google.com/safe-browsing/overview
- https://us.norton.com/internetsecurity-malware-7-tips-to-prevent-ransomware.html
- https://www.varonis.com/blog/cybersecurity-statistics/