Il y a une attitude très courante chez l’internaute moyen que j’entends régulièrement :
« Je n’ai rien de secret sur le web, alors on s’en fout si je me fais pirater » .
Mais vous ne vous rendez peut-être pas compte que vous avez beaucoup de choses qui sont extrêmement précieuses pour un pirate informatique.
- Les comptes bancaires
- les données personnelles
- les cartes de crédit
- les documents d’identité
- les comptes de réseaux sociaux
- et les ordinateurs piratés rapportent une petite fortune sur le dark web
Au cas où vous n’auriez pas conscience de l’ampleur de la cybercriminalité, voici quelques faits qui vous étonneront :
- Le coût de la cybercriminalité atteint 9 trillions ( !) de dollars en 2022. En 2019, c’était la moitié de ce montant. (source)
- La cybercriminalité est désormais un marché mondial bien plus important que le commerce de la drogue.
Dans cet article, j’espère donner un aperçu assez peu technique des techniques les plus courantes utilisées par les pirates informatiques pour mener à bien leurs affaires louches. Je vous indiquerai également les meilleures méthodes pour vous protéger.
Le phishing
Avez-vous déjà reçu un email d’un prince nigérian ou d’un parent éloigné inexistant qui vous propose une somme d’argent absurde ? Il s’agissait d’une escroquerie par phishing, même si elle était très peu sophistiquée.
Ces emails de phishing peu sophistiqués sont généralement envoyés à un très grand nombre de personnes, des centaines de milliers, voire des millions. L’envoi d’un tel nombre d’emails ne demande pas beaucoup d’efforts si l’on dispose des ressources nécessaires.
Les attaques de phishing ne sont pas l’apanage des escrocs nigérians, elles constituent le moyen le plus courant pour les pirates d’accéder aux réseaux d’entreprise. Les attaques de phishing les plus sophistiquées sont très ciblées et crédibles.
Un pirate motivé peut passer des mois à énumérer sa cible avant de frapper.
Donnons un exemple simple de la façon dont le phishing peut fonctionner
Supposons que je décide d’être un pirate informatique super méchant qui aimerait vraiment avoir le contrôle total du réseau de la banque ABC.
- Fred Jones est le réceptionniste de la banque ABC. Comme la plupart des gens, il a un compte LinkedIn et Facebook. Je sais que Fred y travaille en tant que réceptionniste, car je peux le voir sur son profil LinkedIn.
- Je sais également qu’il a demandé un congé annuel, car il a publié un message sur un voyage à Hawaï avec sa femme et ses deux enfants. Le nom de son patron ? Pas de problème… Son patron a aussi LinkedIn.
- Après 5 minutes de recherche sur Google, nous disposons des informations suivantes sur la banque ABC : Fred Jones est le réceptionniste – Bobby Gertrude est le patron de Fred – Fred a demandé un congé annuel pour un voyage à Hawaï.
Avec cette petite quantité de connaissances, je peux mettre au point un phishing assez crédible. D’abord, je crée un compte Gmail, bobby.gertrude@gmail.com, et j’écris un email qui ressemble à ceci :
De : bobby.gertrude@gmail.com
Bonjour Fred,
L’email de mon entreprise ne semble pas fonctionner sur mon téléphone, je vous envoie donc cet email depuis mon compte personnel. Votre congé annuel devrait être approuvé, mais nous avons besoin de quelques détails supplémentaires de votre part. Pourriez-vous remplir ce formulaire pour moi ?
www.leave-request.abcbank.staff-organiser.com
A lundi,
Bobby Gretrude
Regardez attentivement ce lien. La première partie semble tout à fait innocente, « www.leaverequest.abcbank » , mais la suivante est ce qui compte vraiment. « staff-organiser.com » . Vous voyez, si j’achète le domaine « staff-organiser.com » , je peux aussi ajouter n’importe quoi devant.
Je pourrais créer « google.staff-organiser.com » , ou « apple.staff-organiser.com » . Mais dans ce cas, j’ai choisi « www.leaverequest.abcbank.staff-organiser.com » parce que je pense que Fred pourrait tomber dans le panneau.
- Je crée une page de connexion qui est un clone du portail du personnel de la banque ABC.
- Mon clone a une différence importante : au lieu d’envoyer les noms d’utilisateur et les mots de passe à la banque pour validation, il me les envoie à moi !
- Lorsque Fred clique sur ce lien (ma page clonée) et tente de se connecter pour régler son congé annuel, je récupère son nom d’utilisateur et son mot de passe, ce qui me permet de lire les emails de Fred et de me connecter au portail du personnel. Merci Fred.
Pour rendre les choses encore plus crédibles, j’aurais pu masquer le lien dans l’email.
Une chose que beaucoup de gens ne réalisent pas est que le texte affiché dans un lien hypertexte n’est pas nécessairement l’emplacement du lien
Par exemple, un lien peut afficher « google.com » mais en cliquant dessus vous êtes redirigé ailleurs. Entraînez-vous à passer le curseur sur le lien pour vérifier l’emplacement réel de l’URL (souvent il s’affiche en bas de votre navigateur internet).
Le phishing pour obtenir des informations d’identification est assez efficace, mais cet email aurait pu faire d’autres choses désagréables :
- Lien vers une applet Java qui me permet de contrôler l’ordinateur professionnel de Fred.
- Joindre un document Microsoft Word activé par une macro qui me permet de contrôler l’ordinateur de Fred.
- Joindre un document Microsoft Word malveillant contenant un « subDoc », qui me permet d’obtenir une version chiffrée de son mot de passe, qui peut ensuite être déchiffrée.
De nombreuses entreprises disposent d’un VPN qui permet à leurs employés de travailler à domicile. Avec le mot de passe de Fred, je pourrais probablement me connecter à ce VPN et explorer le réseau des banques.
Sinon, je pourrais utiliser l’une des attaques de phishing les plus vicieuses décrites ci-dessus pour prendre le contrôle de l’ordinateur de Fred, qui est déjà connecté au réseau interne de la banque.
Une fois l’accès au réseau interne obtenu, un pirate habile n’aura pas beaucoup de mal à exfiltrer :
- les mots de passe des autres utilisateurs
- les documents sensibles
- les emails
- et bien d’autres choses encore
Se protéger contre les attaques de phishing
- Réfléchissez avant de cliquer. Si l’email sent le phishing, c’est probablement le cas. Supprimez-le !
- Personne ne vous enverra jamais un email au hasard pour vous proposer de l’argent, des cartes-cadeaux, des iPhones, des chiots, etc. à moins qu’il n’essaie de vous escroquer.
- Si un email provenant de « quelqu’un que vous connaissez » provient d’une adresse email que vous n’avez jamais vue auparavant, appelez-la pour vérifier qu’elle est légitime.
- Survolez les liens hypertextes avant de cliquer dessus pour vérifier leur destination réelle.
- N’envoyez jamais vos mots de passe ou vos données personnelles par email à qui que ce soit.
- Lorsque vous êtes sur un site web, vous pouvez vérifier qu’il est légitime en contrôlant le cadenas vert et le nom de l’organisation à côté de l’URL. S’ils ne sont pas présents ou si le nom de l’organisation ne correspond pas à ce que vous attendez, n’utilisez pas le site.
Les attaques de phishing ne sont qu’une méthode de piratage parmi d’autres, examinons-en une autre. La réutilisation des mots de passe et les mots de passe faibles !
En savoir plus sur le phishing ➟ 7 techniques pour pirater Facebook en 2022
Réutilisation des mots de passe et mots de passe faibles
Si vous êtes comme la plupart des gens, vous réutilisez probablement le même mot de passe pour plusieurs services afin qu’il soit facile à retenir. Je vais vous montrer pourquoi c’est dangereux, et aussi comment vous pouvez utiliser un mot de passe différent pour chaque service sans avoir à vous en souvenir.
Xavier est un pirate informatique maléfique qui offre ses services au plus offrant sur le dark web. Il a été engagé pour accéder à la boîte aux lettres électronique du PDG de BigCorp, Boris McGee. Il doit prendre des précautions particulières pour ne pas se faire prendre, aussi une attaque de phishing pourrait-elle être un peu trop visible.
- La première phase de toute mission de piratage est l’énumération, c’est-à-dire la collecte d’autant d’informations que possible sur la cible en effectuant des recherches sur Google, sur les réseaux sociaux et dans les archives en ligne.
- Xavier tombe par hasard sur quelques profils personnels de Boris sur les réseaux sociaux et y jette un coup d’œil. Il s’avère que Boris est un collectionneur de pièces anciennes passionné, et qu’il participe activement au site cointraderforums.net.
- Son profil sur cointraderforums.net révèle son adresse email personnelle, boris.mcgee@yahoo.com. Ce n’est pas son email professionnel, qui est la cible ultime de Xavier, mais c’est quelque chose.
Lorsque de grandes entreprises sont victimes de pirates informatiques, on assiste parfois à une violation de données qui est diffusée sur internet au vu et au su de tous. Ces brèches contiennent souvent des données personnelles, notamment des adresses email et des mots de passe.
Certaines de ces violations proviennent de grandes entreprises que vous avez peut-être utilisées dans le passé. LinkedIn, Dropbox et Adobe, pour n’en citer que quelques-unes. Un pirate malveillant aura souvent une copie de ces décharges de données enregistrée sur son ordinateur.
Lorsqu’il trouve un compte auquel il veut accéder, il peut commencer par vérifier si l’email et le mot de passe du compte figurent dans l’une de ces archives.
- Malheureusement pour Boris, il utilise Dropbox pour partager des photos de ses pièces avec ses amis collectionneurs de pièces.
- Son mot de passe Dropbox a été piraté en 2012. Xavier a une copie de la violation de Dropbox sur son ordinateur portable, et il peut voir qu’en 2012, le mot de passe Dropbox de Boris était « c01ns4Lyf2012 ! » . Il l’a changé depuis, donc nous ne pouvons pas nous connecter à sa Dropbox avec ce mot de passe, mais nous pouvons deviner son mot de passe actuel : « c01ns4Lyf2018 ! » .
- Xavier essaie de se connecter à cointraderforums.net en utilisant l’email personnel de Boris et le mot de passe « c01ns4Lyf2018 ! » . Connexion réussie.
À ce stade, la situation est plutôt difficile pour Boris : un pirate informatique s’est connecté à son compte cointraderforums.net et a consulté des messages privés concernant sa collection de pièces et ses chats. Mais les choses ne font qu’empirer, car Boris utilise le même mot de passe pour tout.
Maintenant, tout ce dont Xavier a besoin est de trouver l’email de Boris. Il cherche « intext:@bigcorp.com » sur Google, ce qui révèle 3 emails :
- bob.stone@bigcorp.com
- jane.kelly@bigcorp.com
- tim.green@bigcorp.com
Comme la plupart des entreprises, il semble que Bigcorp utilise la même syntaxe pour tous les emails de son personnel afin d’uniformiser les choses. Prenom.nom@bigcorp.com.
Xavier essaie donc de se connecter à l’email du personnel de Bigcorp en utilisant « boris.mcgee@bigcorp.com » comme email, et « c01ns4Lyf2018 ! » comme mot de passe. Bingo.
En raison de la mauvaise pratique de Boris en matière de réutilisation des mots de passe, cela fonctionne
Xavier envoie une copie des emails sensibles de Boris à son client sur le dark web et reçoit un bon paiement pour ses « services » , mais il ne s’arrête pas là. Xavier est un criminel expérimenté, et il sait comment jouer le jeu.
Xavier se connecte ensuite au compte bancaire de Boris et envoie un généreux don sur un compte bancaire offshore qu’il a piraté la semaine dernière. Il se dirige vers le distributeur de billets local qui n’a pas de caméras de sécurité et retire la totalité de la somme en liquide. Cela devrait lui permettre de payer ses courses pour les prochaines décennies.
Se protéger contre la réutilisation des mots de passe et les mots de passe faibles
➟ Utilisez des mots de passe forts et uniques pour chaque service.
Pour vous protéger des attaques par réutilisation de mot de passe, vous devez utiliser un mot de passe unique pour chaque service. Le problème est que, de nos jours, la plupart d’entre nous utilisent un grand nombre de services, ce qui signifie que vos mots de passe deviennent extrêmement difficiles à retenir. C’est là qu’interviennent les gestionnaires de mots de passe ! (personnellement j’utilise NordPass comme gestionnaire de mdp).
➟ Les gestionnaires de mots de passe sont en fait un « coffre-fort » pour toutes vos données de connexion sécurisées
Selon le gestionnaire de mots de passe que vous choisissez, ce coffre-fort peut être stocké sur votre ordinateur ou dans le nuage. Vous ne devez retenir qu’un seul mot de passe qui déverrouille votre coffre.
Une fois le coffre déverrouillé, vous pouvez consulter le reste de vos mots de passe qui sont stockés en toute sécurité à l’intérieur. Certains gestionnaires de mots de passe ont également la capacité de « remplir automatiquement » les formulaires de connexion dans les navigateurs web, de la même manière que votre navigateur web remplit automatiquement les formulaires pour vous.
Parmi les gestionnaires de mots de passe gratuits, citons « KeePass » (cette application Android utilise le code source de KeePass). Il a des avantages et des inconvénients.
En règle générale, je recommande que tous les mots de passe soient une chaîne générée de manière aléatoire d’au moins 12 caractères, contenant des minuscules, des majuscules, des chiffres et des symboles.
Le mot de passe ne doit pas non plus être facile à deviner ou se rapporter à un élément connu de vous, comme votre nom ou votre date de naissance.
Utilisez l’authentification multifactorielle
La plupart des grands sites internet proposent désormais une option permettant d’activer au moins l’authentification à deux facteurs (2FA). Cela signifie que si quelqu’un essaie de se connecter à votre compte, il vous enverra un SMS ou une notification sur votre téléphone pour vous demander s’il s’agit d’une tentative de connexion légitime.
Si un pirate parvenait à trouver votre mot de passe Gmail, mais que vous avez activé la fonction 2FA, vous seriez quand même protégé !
REMARQUE : si un cybercriminel possède déjà le mot de passe de votre banque, par exemple, mais que votre compte est protégé par la fonction 2FA, une technique courante qu’il utilisera pour contourner la protection consiste à vous appeler en se faisant passer pour la banque !
Il vous dira quelque chose comme « Je vais juste vous envoyer un code par SMS pour vérifier votre identité » . Il se connecte ensuite à la banque avec votre nom d’utilisateur et votre mot de passe, un texte 2FA vous est envoyé, vous le lisez à l’attaquant, et celui-ci utilise le code pour accéder à votre compte bancaire. Trop facile !
Sachez simplement que la banque ne vous appellera jamais à l’improviste pour vous demander de vérifier votre identité. Si vous n’êtes pas sûr à 100% qu’un appel téléphonique est légitime, raccrochez et rappelez l’organisation sur son numéro officiel.
- Si vous passez un appel, vous pouvez être certain de la personne que vous appelez.
- Si vous recevez un appel, vous ne pouvez pas être certain de l’identité de votre interlocuteur.
En savoir plus sur les mots de passe ➟ Comment cracker un mot de passe ?
Ransomware
Si vous avez lu jusqu’ici, vous avez dû comprendre que la cybercriminalité n’est plus un jeu de farceurs. Les cybercriminels sont là pour l’argent, et quel meilleur moyen de gagner de l’argent que de demander une rançon pour toute la vie numérique d’une personne ?
Respirez profondément, c’est l’heure d’une autre histoire. Cette fois, c’est une histoire vraie.
Au début de l’année 2017, un groupe secret de pirates informatiques appelé les Shadow Brokers a piraté la NSA et a rendu public tout son arsenal d’outils de piratage et d’exploits.
Peu après, quelqu’un (probablement la Corée du Nord) a utilisé l’un des outils divulgués pour créer un ransomware qui s’est propagé à environ 230 000 ordinateurs dans 150 pays. Ce ransomware a été baptisé « Wannacry » .
Lorsqu’un ordinateur est infecté par Wannacry, tous ses fichiers sont chiffrés, ce qui les rend inaccessibles à l’utilisateur. La seule façon de récupérer les fichiers est de payer 300 dollars au cybercriminel. Et même dans ce cas, il n’y a aucune garantie.
Évidemment, les utilisateurs ont été nombreux à être bouleversés.
- Des personnes ont perdu leurs photos de famille et des documents importants
- des hôpitaux ont été temporairement fermés
- des compagnies aériennes et des constructeurs automobiles ont été touchés
C’était le chaos total. Tous ceux qui ont été infectés ont été confrontés à cet écran effrayant :
Aaahhhhh…
Le ou les cybercriminels responsables de cette attaque n’ont pas été arrêtés et ne le seront probablement jamais. Ils sont repartis avec plus de 200 000 dollars américains, mais c’est de la menue monnaie par rapport au coût de la destruction qu’ils ont causée.
Se protéger contre les ransomwares (et autres méchants virus)
Mettez à jour, mettez à jour, mettez à jour !
Vous connaissez ces fenêtres pop-up ennuyeuses sur votre PC/Mac qui vous demandent de mettre à jour/redémarrer maintenant ? Il ne s’agit pas seulement d’une fonction intégrée destinée à vous rendre la vie désagréable.
Elles contribuent en fait largement à vous protéger. Tous les ordinateurs touchés par WannaCry étaient périmés depuis au moins un mois. S’ils avaient été mis à jour, ils auraient été protégés.
Anti-virus
Je ne vais pas recommander une solution antivirus en particulier, mais je dirai qu’elle offre une protection supplémentaire. Elles ne sont pas à l’épreuve des balles, mais elles constituent un obstacle supplémentaire pour les méchants.
Pensez à vos entrées
Toute méthode permettant d’entrer des données dans votre ordinateur est également un vecteur d’attaque potentiel pour les méchants. Vous pouvez prendre des précautions pour réduire ces vecteurs d’attaque :
- ne branchez pas de clés USB au hasard
- ne laissez pas d’autres personnes toucher votre ordinateur
- ne téléchargez pas de pièces jointes d’emails au hasard
- ne visitez pas de sites web douteux… vous voyez le genre.
Accès physique
En principe, si un cybercriminel a un accès physique à vos appareils, la partie est terminée.
- Même si vous avez un excellent mot de passe
- la meilleure protection antivirus
- et que vous la mettez à jour religieusement, cela ne fera pas une grande différence
L’accès physique à un appareil prime sur tout le reste.
C’est pourquoi les entreprises ont tendance à garder leurs appareils les plus critiques enfermés dans une cage.
Les entreprises les plus sûres demandent également à leurs employés de mettre leurs appareils sous clé dans des casiers ou des classeurs tous les soirs. Vous pourriez vous inspirer de cette expérience !
Cette fois, je vais raconter une histoire personnelle, celle de la nuit où ma voiture a été cambriolée. Une autre histoire vraie.
- Avant d’être un hacker éthique, j’étais musicien. Je faisais une courte tournée sur la côte est de la France et je passais la nuit dans un petit motel quelque part sur la côte centrale.
- Cette partie du monde est absolument magnifique, mais ce motel se trouvait en plein milieu d’une zone très sommaire. Ma voiture a été garée sur le parking du motel pendant la nuit et (stupidement) mon iPad est resté à l’intérieur. Il n’était pas visible, mais il était là.
- Je me suis réveillé le matin et j’ai pris mon téléphone pour vérifier l’heure. Il affichait un écran verrouillé inhabituel, demandant un code à 4 chiffres. Si le code était mal saisi, toutes les données du téléphone seraient effacées.
- J’ai essayé mon code pin habituel, sans succès, j’ai essayé tous les autres codes que je pensais avoir définis. Toujours rien. Je n’avais pas d’autre choix que d’effacer mon téléphone et de recommencer.
Pas de problème… Heureusement, j’avais apporté mon ordinateur portable en tournée cette fois. Je pouvais l’utiliser pour réinitialiser mon téléphone.
J’ai eu besoin de remettre mon téléphone en marche avant le début de la journée pour faire face aux appels constants avec les salles, les logements et les autres membres du groupe. J’ai ouvert mon ordinateur portable et mon cœur s’est effondré. Mon ordinateur portable affichait également un écran inconnu demandant un code pin à 4 chiffres, que je n’avais pas défini.
- J’avais la tête qui tournait avec toutes les possibilités. S’agissait-il d’un ransomware ?
- Avais-je pris le mauvais ordinateur portable ? Qu’est-ce qui se passait ?
- J’ai décidé de me rendre à ma voiture pour vérifier mon dernier appareil, l’iPad. Avant même d’arriver à la voiture, j’ai vu le problème. Ma voiture avait été forcée.
Tout a commencé à s’assembler dans mon esprit.
- Quelqu’un avait volé mon iPad
- ouvert l’application « Find my iPhone«
- effacé mon iPhone et mon ordinateur portable (ainsi que tous mes fichiers)
- puis défini un code pin pour que je ne puisse pas y accéder
Mais ce n’était pas le pire ! Mon iPad utilisait l’application email, ce qui signifie qu’un cybercriminel n’aurait qu’à ouvrir l’application email pour accéder à tous mes emails.
De là, il pouvait se rendre sur n’importe lequel des services que j’utilisais (Facebook, Twitter, comptes bancaires, applications de facturation, etc.) et cliquer sur « réinitialiser le mot de passe » .
L’application m’enverrait un email contenant un lien de réinitialisation du mot de passe. Comme il avait accès à mes emails, il lui suffirait de cliquer sur le lien, de réinitialiser mon mot de passe et de se connecter comme moi. Je laisse les autres possibilités à votre imagination.
➟ A noter :
Certaines applications, installées dans un téléphone, permettent d’espionner toutes les conversations et localisations.
- MSpy parvient même à s’installer à distance sur un iPhone – Sur Android il fait aussi office de Keylogger
- HoverWatch ne fonctionne que sur les Android rootés mais permet en plus d’écouter les appels tph
Le temps était compté. Je devais retrouver l’accès à mes comptes et réinitialiser tous mes mots de passe avant que des dommages ne soient causés.
Mais comment ? Je n’avais pas accès à mon propre ordinateur ou à tout autre appareil connecté à internet, car ils avaient tous été effacés et verrouillés.
J’aurais dû me rendre au magasin Apple le plus proche et utiliser un de leurs ordinateurs pour réinitialiser mes mots de passe. Mais je me trouvais dans une zone inconnue, sans accès à internet. Je ne savais même pas où se trouvait la ville la plus proche, et encore moins un magasin Apple.
Je réveille un de mes camarades de groupe et lui demande d’utiliser son téléphone. Je trouve le magasin d’informatique le plus proche et je m’y rends en vitesse, en appelant Apple sur le chemin. Le temps d’y arriver, j’avais été bloqué pour tous les services que j’utilise.
Tous mes mots de passe avaient été changés, à une exception près : Mes comptes bancaires – Merci à l’authentification à deux facteurs.
Les choses semblaient plutôt sombres à ce stade, mais mes options n’étaient pas encore épuisées
Je tente de réinitialiser le mot de passe de mon email, l’une des options est de réinitialiser en répondant à des questions secrètes. Bingo ! L’attaquant a négligé de les changer.
Je me suis connecté à mon compte et j’ai changé mon mot de passe pour un nouveau. À partir de là, j’ai pu réinitialiser les mots de passe de tous mes services et bloquer efficacement l’agresseur.
Les coordonnées de mon compte Apple avaient été mises à jour avec celles de l’agresseur, ce qui m’a permis de le signaler à la police. Je n’ai jamais eu de nouvelles à ce sujet, et je n’ai jamais récupéré mon iPad, mais j’espère qu’ils l’ont arrêté.
Récupérer l’accès à mon ordinateur portable a été un peu plus difficile
Il s’agissait d’un portable valant 2 000 dollars. Heureusement, les anciens MacBook Pros présentaient une faille de sécurité qui permettait de contourner le verrouillage « Find my iPhone » en dévissant l’ordinateur et en remplaçant la mémoire vive.
J’ai réussi à réintégrer mon propre ordinateur de cette façon, mais cela ne serait pas possible avec les ordinateurs d’aujourd’hui, car cette faille de sécurité a été corrigée.
J’ai eu de la chance. Mon agresseur était un criminel ordinaire avec un peu de savoir-faire technologique, et non un cybercriminel endurci ou un acteur de menace d’un pays lourdement financé.
S’il l’avait été, je n’aurais jamais pu récupérer l’accès à mes comptes. Mon identité internet serait à jamais à la merci de quelqu’un d’autre.
Se protéger contre les attaques par accès physique
Vous pouvez surtout vous protéger en suivant cette règle d’or :
Traitez vos appareils électroniques comme un portefeuille rempli d’argent liquide, car pour un cybercriminel, c’est exactement ce qu’ils sont.
Quelques autres conseils pratiques :
- Gardez vos appareils sous clé.
- En voyage, gardez vos appareils sur vous.
- En avion, gardez vos appareils dans votre bagage à main.
- Lorsque vous séjournez à l’hôtel, ne laissez pas vos appareils dans la chambre.
- Envisagez d’utiliser une sorte de compte 2FA physique comme une YubiKey.
En savoir plus sur les demandes de rançons ➟ MALWARE : Comment les prévenir, les détecter et s’en remettre
Appels frauduleux
Tout comme les emails de phishing, les appels frauduleux varient considérablement en termes de sophistication.
Je vais vous raconter l’histoire d’une personne que je connais bien et qui a été victime d’un appel frauduleux. Les seules choses qui ont été changées dans cette histoire sont le nom de la personne et le nom de la banque.
Rob Greene est un homme intelligent. Il a environ 35 ans et possède une entreprise de services prospère. Il a un niveau moyen de connaissances en informatique et s’enorgueillit d’être assez prudent avec ses mots de passe et ses codes PIN.
Un jour au travail, il reçoit un appel redouté de sa banque.
« Bonjour M. Greene, nous avons des raisons de croire que votre compte bancaire a été compromis et que des transactions frauduleuses ont été effectuées. Pouvez-vous nous confirmer que vous avez récemment effectué un achat de 50.000 euros dans une salle d’exposition de voitures en Inde ? » .
Le cœur de Rob se met à battre la chamade. Où s’est-il trompé ? Comment quelqu’un a-t-il pu avoir accès à son compte bancaire ? Pourrait-il récupérer son argent ?
L’appel téléphonique continue.
« Nous pourrions être en mesure de récupérer ces fonds si nous agissons rapidement, pourriez-vous s’il vous plaît confirmer votre ID client ? » , Rob se conforme à la demande.
« Merci monsieur, et enfin, pourriez-vous confirmer votre mot de passe ? » .
En temps normal, la sonnette d’alarme aurait dû être tirée, mais Rob était stressé. Il était au travail, des clients l’attendaient, il pensait qu’on lui avait volé 50 000 €, les choses étaient confuses. Il accède à la demande et donne son mot de passe à son interlocuteur.
Tout semblait si légitime. L’appelant n’avait pas l’air d’un cybercriminel, il avait l’air d’un employé de banque sympathique. Mais ce n’était pas le cas.
En fait, rien n’avait été volé à Rob, et son compte n’était pas compromis. Mais maintenant, il l’est !
Plus de 100.000 € ont été volés au total, dans le cadre d’un certain nombre de transactions importantes sur divers comptes bancaires offshore.
Une partie de cette somme a pu être récupérée, mais pas tout à fait. La banque n’était pas tenue de restituer une partie de cette somme, car Rob a techniquement donné son mot de passe à un tiers, ce qui est contraire aux conditions générales de la banque.
Heureusement, il s’agissait d’une grande banque réputée qui a travaillé dur pour récupérer l’argent (et préserver sa propre réputation), mais cela a pris des mois. Pendant ce temps, Rob est resté sans argent. Il a dû emprunter à des amis et à des parents pour payer l’épicerie et les factures de services publics.
Ce qui rendait la situation difficile, c’est qu’après avoir signalé le vol à la banque, il ne pouvait plus savoir si les appels de suivi étaient légitimes ou s’il s’agissait d’une autre escroquerie. Chaque fois qu’il recevait un appel téléphonique, il devait raccrocher et se rendre dans une agence bancaire physique, où il pouvait savoir en toute confiance à qui il parlait.
➟ Comment s’en est sorti l’attaquant ?
Il est difficile de savoir s’il a été arrêté ou non, mais probablement pas. Il est plus probable qu’il soit extrêmement riche et qu’il mène la grande vie avec l’argent volé quelque part à l’étranger.
Se protéger contre les appels frauduleux
- Ne communiquez jamais votre mot de passe par téléphone. Une entreprise légitime ne vous demandera jamais votre mot de passe.
- Si une organisation vous appelle et vous demande de vérifier votre identité. Raccrochez, et rappelez-les sur leur numéro officiel pour vérifier que c’est légitime.
- Raccrochez, arrêtez-vous et réfléchissez. Les fraudeurs sont des escrocs qui parlent vite. Ils savent exactement ce qu’il faut dire pour que votre cerveau ne se rende pas compte que vous êtes en train de vous faire arnaquer. Il est possible de déjouer bon nombre de ces escroqueries en prenant simplement une pause au moment de l’appel.
- Si quelque chose ne vous semble pas normal, ne vous sentez pas mal de raccrocher. Asseyez-vous et réfléchissez-y à tête reposée : pourrait-il s’agir d’une escroquerie ?
En savoir plus sur les appels frauduleux ➟ Comment les hackers piratent un téléphone en utilisant des SMS
Ingénierie sociale
L’ingénierie sociale est l’utilisation de la tromperie pour manipuler les individus afin qu’ils divulguent des informations confidentielles ou personnelles susceptibles d’être utilisées à des fins frauduleuses.
Du moins, c’est la définition la plus banale. Plus simplement, il s’agit d’escroquer les gens.
J’ai donné quelques exemples d’ingénierie sociale ci-dessus – les emails de phishing sont une forme d’ingénierie sociale, tout comme les appels frauduleux.
- Un ingénieur social compétent n’a pas trop de mal à s’introduire dans les bureaux des institutions financières
- dans les coulisses des concerts
- et dans d’autres endroits où il ne devrait pas être
Il n’a pas non plus beaucoup de mal à convaincre vos fournisseurs d’électricité de divulguer des informations sur vous.
Que trouve-t-on dans la boîte à outils d’un ingénieur social ?
- Une nature professionnelle et charmante
- Un gilet de haute visibilité fluo et un bloc-notes (ou une tablette)
- Un costume
- Un assortiment de lanières de différentes couleurs
- Un faux email du PDG vous donnant la permission d’être là
Ces cinq éléments leur permettent de s’intégrer à peu près partout.
Si un inconnu entre dans la banque ABC et dit à la réceptionniste :
« Bonjour, puis-je jeter un coup d’œil à votre bureau ? » , la réceptionniste refusera.
Si la même personne sort de la rue en costume et gilet de haute visibilité, munie d’un porte-bloc, et dit :
« Bonjour, je suis ici pour l’audit annuel de sécurité incendie, j’ai juste besoin de jeter un coup d’œil à l’UFC à l’étage, cela ne prendra qu’une minute » , le réceptionniste est susceptible de s’exécuter.
Il pourrait même fournir un laissez-passer pour les visiteurs !
L’ingénierie sociale est profondément ancrée dans les traits psychologiques des humains qui peuvent être exploités. Un certain Robert Cialdini a exploré ces traits et les a appelés les « 6 principes de l’influence ».
Les 6 principes de l’influence
- Réciprocité : Les gens ont tendance à retourner une faveur, d’où l’omniprésence des échantillons gratuits dans le marketing. La stratégie du bon et du mauvais flic est également basée sur ce principe.
- Engagement et cohérence : Si les gens s’engagent, oralement ou par écrit, en faveur d’une idée ou d’un objectif, ils sont plus susceptibles d’honorer cet engagement parce que cette idée ou cet objectif correspond à l’image qu’ils ont d’eux-mêmes.
- Preuve sociale : Les gens feront des choses qu’ils voient d’autres personnes faire.
- Autorité : Les gens auront tendance à obéir aux figures d’autorité, même si on leur demande d’accomplir des actes répréhensibles.
- L’amour : Les gens sont facilement persuadés par d’autres personnes qu’ils apprécient.
- La rareté : La perception d’une pénurie générera une demande. Par exemple, dire que les offres ne sont disponibles que pour un « temps limité » encourage les ventes.
Comment se protéger de l’ingénierie sociale
Voici ce qu’il en est de l’ingénierie sociale. Ces faiblesses sont littéralement intégrées à notre psyché humaine et nous sommes tous vulnérables !
Une façon d’atténuer le risque d’être exploité consiste à « externaliser » notre prise de décision vers les ordinateurs. Certains centres d’appels en sont un bon exemple.
Pour pouvoir consulter les données personnelles d’un client, le représentant du service clientèle doit passer par un écran de vérification où il demande au client de s’identifier. Le représentant du service clientèle ne peut pas voir les données du client tant que l’identité de ce dernier n’a pas été identifiée.
Ainsi, même si la personne au téléphone est un ingénieur social compétent qui tente de contraindre le représentant du service clientèle à divulguer des informations sans fournir la vérification nécessaire, elle ne peut pas le faire. La décision est laissée à l’ordinateur, pas à l’humain.
Le seul autre moyen d’éviter d’être exploité par un ingénieur social est la formation
Vous devez vous former (ainsi que votre personnel) aux risques que présentent les ingénieurs sociaux, et leur apprendre à considérer les informations comme précieuses et secrètes.
La décision de divulguer ou non une information doit être prise sans émotion et doit suivre strictement les protocoles de sécurité, quel que soit le charme et le caractère convaincant de la personne !
En savoir plus sur l’ingénierie sociale ➟ 7 techniques pour pirater Facebook en 2022
Attaques de type « Man-in-the-middle » (MiTM)
Chaque fois que vous faites quelque chose sur internet, les données que vous envoyez passent par un tas d’ordinateurs différents avant d’arriver à destination.
Si un pirate souhaite voir tout ce que vous faites sur internet, il lui suffit de se placer entre vous et internet. C’est ce qu’on appelle une attaque de type « man in the middle » .
Laissez-moi vous montrer comment cela peut fonctionner.
Voici une histoire purement fictive
Joe est administrateur informatique dans une installation de recherche nucléaire très secrète. Ce centre de recherche nucléaire a attiré l’attention d’un pays ennemi, qui a envoyé Hahn (un de ses agents secrets) pour enquêter.
Ce centre de recherche est situé dans une petite ville de campagne, essentiellement composée de terres agricoles, mais il y a un excellent café non loin du centre.
Hahn arpente la ville depuis quelques jours et a remarqué un homme qui entre dans le café à l’heure du déjeuner tous les jours avec une étiquette RFID sur une lanière autour du cou, commande un double expresso, s’assoit à la même table et utilise pleinement le wifi gratuit sur son ordinateur portable pendant une heure environ avant de repartir dans sa nouvelle Mercedes.
Cet homme, c’est Joe. Ce genre de comportement serait tout à fait normal dans une ville, mais nous sommes dans une ville de campagne. Hahn devient curieux.
Le lendemain, Hahn attend dans le café avec son ordinateur portable équipé d’une large gamme d’outils de piratage
Dès que Joe s’assied, Hahn utilise ses connaissances en matière de piratage pour rediriger tout le trafic internet de Joe vers son propre ordinateur portable.
Hahn peut maintenant voir tout ce que fait Joe, il surveille les URL visitées et est particulièrement attentif aux informations pertinentes pour son objectif ultime. Accéder à l’infrastructure technique de l’installation nucléaire.
Joe passe la plupart de son temps à parcourir Reddit, mais son téléphone sonne. Mécontent, il répond. C’est un collègue de travail qui ne parvient pas à accéder au wiki de l’installation.
Joe se rend sur le wiki et se connecte pour le tester.
« Ça marche bien, c’est probablement une erreur de l’utilisateur » .
Il marmonne et retourne joyeusement naviguer sur le web.
Souvenez-vous : tout le trafic internet de Joe est surveillé par Hahn
Cela signifie qu’il vient de révéler à Hahn l’emplacement du wiki de l’installation nucléaire, ainsi que ses identifiants de connexion.
Hahn utilise ces informations pour s’introduire dans le réseau de l’installation nucléaire et faire toutes sortes de choses désagréables.
Se protéger contre les attaques de type Man-in-the-Middle
Si vous utilisez un internet public, par exemple dans un café, un hôtel ou un aéroport, il est préférable d’utiliser un dispositif appelé VPN (réseau privé virtuel).
Ils sont très faciles à mettre en place et coûtent un café par mois. Cela permet de créer un tunnel sûr et chiffré entre vous et les sites que vous visitez.
Lorsque vous êtes connecté à un VPN, même si quelqu’un effectue une attaque de type « man in the middle » , les données qu’il voit seront chiffrées et vous serez en sécurité.
Bonjour, merci pour ces informations
C’est avec plaisir Hector.