Cybersécurité - Innovations digitales et numériques

Certains internautes ont reçu des e-mails avec l'entête Service-public.fr, site officiel de l'administration française. Ces courriels n'émanent pas du portail officiel.
Il s'agit vraisemblablement d'une manoeuvre frauduleuse de hameçonnage ou de filoutage, également appelée phishing, destinée à inciter les internautes à communiquer leurs coordonnées bancaires.
D'une manière générale, service-public.fr ne demande pas d'argent, n'en rembourse pas et ne cherche jamais à recueillir des coordonnées bancaires.

En cas de doute sur l'origine des messages reçus, les destinataires ne doivent surtout pas cliquer sur les liens contenus dans l'e-mail et supprimer systématiquement ces courriels.

Presque tous les cas de fraude sont imputables au phishing, une technique par laquelle les fraudeurs prennent contact avec leurs victimes potentielles et essaient d'entrer en possession de leurs données personnelles et de leurs codes bancaires. "Cette forme de fraude peut aisément être évitée en respectant une règle d'or: ne transmettez jamais vos données et codes bancaires, ni par courriel, ni par téléphone", rappelle Febelfin.

Lundi dernier, elle a réuni les principaux opérateurs. Son objectif était de rappeler « le cadre légal et réglementaire applicable » et de leur expliquer ce qui était attendu de leur part en cas de violation. La CNIL a aussi présenté ses pouvoirs de contrôle et de sanction.

La CNIL invite aussi les clients des opérateurs à la plus grande prudence : les cyberattaques de ce genre avec fuite de données personnelles favorisent le phishing ou hameçonnage : les clients reçoivent des liens vers de faux sites, et donnent ainsi leur données sensibles ou cybercriminels. Selon la CNIL : « Il est donc nécessaire d’être attentif à de telles sollicitations, de ne pas y répondre, de ne pas ouvrir les courriers électroniques suspects et en tout cas de ne cliquer sur aucun lien, et enfin de les signaler à la cellule mise à disposition par Orange ».

Il n'y a pas si longtemps encore, les fautes de français ou d'accent étaient telles, les tournures de phrases tellement alambiquées, qu'on pouvait repérer l'arnaque très facilement. Ce n'est plus le cas : les pirates se sont très dangereusement professionnalisés. Ils emploient désormais des rédacteurs parfaitement francophones, secondés parfois par des juristes. Ils n'hésitent pas à capter de vrais logos pour authentifier leurs messages et poussent même parfois le vice jusqu'à rajouter les mentions légales d'usage, comme les références à la CNIL ! Même un oeil averti peut s'y laisser prendre.

http://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=norton-report-2013

ast revendique, à l’échelle du Globe, un taux de pénétration de près de 25% sur les PC équipés d’une solution antivirus.

Le dernier baromètre d’Opswat lui donne raison.

Au 31 août 2013, cette société américaine spécialiste de la gestion et de la protection d’infrastructures concédait très exactement à l’éditeur tchèque 23,6% du marché mondial (19,5% avec la version gratuite ; 2,8% avec le pack Internet Security ; 1,3% avec les autres offres).

Seul Microsoft fait mieux : 25,8% des parts avec ses produits Security Essentials et Windows Defender.

En troisième position, AVG ne dépasse pas les 10%.

Symantec vient de publier le volume 19 de son rapport Internet Security Threat Report (ISTR 2014). Il en ressort que « le vol de données atteint des sommets avec des méga violations, estime Laurent Heslault, responsable stratégie sécurité pour la région EMEA chez l’éditeur de sécurité. Alors qu’on a compté une seule violation de plus de 10 millions d’informations en 2012, il y en a eu 8 en 2013. » Le cas Target aujourd’hui confronté à une kyrielle de procès en constitue la parfaite illustration. Sans oublier la fuite massive dont a été victime Adobe.

Quelques astuces pour éviter le pire

Si vous recevez un tel courriel, voici quelques remarques qui devraient vous aider à ne pas tomber dans le piège :

• A chaque fois qu’une fenêtre d’identification Google apparaît, vérifiez bien que l’URL commence par « https://accounts.google.com/« . Sinon, il s’agit probablement d’une page non-officielle, et donc frauduleuse.
• Ne cliquez pas sur un lien proposé par courriel, notamment si vous ne connaissez pas spécifiquement l’émetteur du message. Préférez saisir vous-même l’adresse web du site en question, dans votre navigateur Internet. Une fois connecté, vérifiez l’information annoncée dans l’e-mail (ou dans le cas ci-dessus, les documents Google Drive partagés avec vous).
• Si une fenêtre d’authentification Google s’affiche dans votre navigateur Internet alors que vous êtes déjà connecté à votre compte, il s’agit probablement d’une page suspecte.
• Si vous pensez avoir été piégé, connectez-vous rapidement à votre compte Google, et modifiez votre mot de passe d’accès.

Depuis la découverte de cette tentative d’hameçonnage par Symantec, Google a supprimé les pages incriminées. Mais cela ne signifie pas que la méthode de phishing ne peut pas être reproduite !

Car autant «il y a quelques années, la tendance était plutôt de faire du hameçonnage de masse avec plein de fautes d'orthographe, aujourd'hui on est sur du hameçonnage de plus en plus évolué, qui se base sur des informations privées» seulement connues d'acteurs de confiance, explique Gérôme Billois.

«Il n'y a plus d'improvisation dans le phishing mais beaucoup de préparation, c'est un vrai métier; les pirates s'y connaissent en web design (conception de pages web, ndlr), ils s'adaptent aussi en fonction des pays visés, de la langue utilisée», renchérit Jean-François Beuze, président de l'entreprise de sécurisation des systèmes d'information Sifaris.

«L'ensemble des courriels frauduleux, ou au moins leur contenu, étaient déjà certainement prêts (au moment de l'intrusion chez Orange). Tout comme ont sûrement déjà été achetés des noms de domaines (desquels vont être envoyés les mails, ndlr) sur le modèle orange-relationsclients.fr», détaille M. Beuze.

Les courriels non sollicités et les messages incitant leurs destinataires à «agir maintenant» et à «vérifier leur nom d'utilisateur et leur mot de passe» sont des tactiques régulièrement utilisées par les fraudeurs. Ceux-ci souhaitent ainsi mettre de la pression sur les destinataires des messages et les inciter à répondre.

Si les menaces sont bien une réalité à partir du moment où un périphérique est connecté sur un réseau public – notamment par une attaque de type « man in the middle » où le pirate récupère les informations qui transitent entre le terminal et le réseau - se faire pirater systématiquement en un temps record est un constat des plus inquiétants à Sotchi, où sont attendu des milliers de touristes, de sportifs et de journalistes étrangers. « Il ne faut pas s'attendre à avoir une vie privée, y compris dans les chambres d'hôtels » déclare Richard Nigel. Son conseil : éviter de se connecter en Wi-Fi dans le pays, et ne laisser aucune donnée sensible sur son ordinateur, sa tablette ou son téléphone.

D’un rapport de l’entreprise de sécurité Trend Micro, il apparaît que les cybercriminels ciblent toujours plus Apple. Durant les mois d’été, 8.500 sites d’hameçonnage (phishing) ont ainsi été créés par des pirates dans le but de soutirer des informations personnelles et des données de cartes de crédit des utilisateurs d’Apple.

Les cybercriminels envoient dans ce cas un courriel dans le plus pur style Apple, par lequel ils invitent les utilisateurs à décliner leurs données.

Dans le domaine des applis mal intentionnées, Android demeure le système d’exploitation mobile le plus vulnérable. Trend Micro a recensé un million d’applications de ce genre dans le magasin d’applis Google Play. Plus de 50 pour cent d’entre elles sont conçues pour pirater les comptes d’utilisateurs payants. Les autres applis ont pour but de s’emparer de données personnelles ou de prendre le contrôle d’un smartphone.

Enfin, c’est une évidence mais l’ENISA le confirme tout de même : le téléphone mobile est désormais concerné par la plus part des menaces (botnets mobiles, attaques ciblées, scarewares, SMS surtaxés, etc…).