De bons réflexes pour éviter les risques de phishing/ransonware (2024)

1Les attaques informatiques sont d’autant plus inquiétantes que via un simple mail contenant une pièce jointe ou via un site infecté, nous sommes tous visés. Il faut se souvenir, en effet, que la première des failles reste humaine. Les élections présidentielles aux États-Unis et en France nous l’ont confirmé. La technique du phishing[1], dont on a beaucoup parlé après la spectaculaire attaque de ransonware[2] du logiciel WannaCry [3] qui a ciblé une faille de Windows en mai2017, puis celle de Petya fin juin, est extrêmement répandue.

2S’il reste nécessaire et essentiel de sécuriser et de changer régulièrement ses mots de passe, le phishing permet aussi de tromper l’utilisateur pour récupérer son identifiant et son mot de passe à son insu, ce qui est bien plus simple et efficace que de les pirater. La fuite des mails du directeur de campagne d’Hillary Clinton qui a défrayé la chronique aux États-Unis n’est, en effet, pas le fait d’un piratage complexe de la part de hackers mais seulement une action de phishing bien ciblée qui a piégé l’équipe de John Podesta [4]. C’est vraisemblablement ce qui est arrivé également à l’équipe de campagne d’Emmanuel Macron à la veille du second tour des présidentielles [5].

3Travailler sur des données que l’on considère comme étant non sensibles (issues d’une veille média, par exemple) ou non stratégiques ne permet pas d’être à l’abri: ce ne sont pas vos concurrents qui vont poser problème. La majorité de ces attaques relèvent soit de la malveillance pure (supprimer des données pour tester la capacité d’un logiciel de piratage), soit de la recherche de profits comme le montre le développement croissant des ransonwares, ces logiciels de cryptage complexes qui vous incitent à ouvrir un lien ou une pièce jointe piégée pour ensuite crypter votre ordinateur et vous faire payer très cher le fait de retrouver l’accès à vos données (avec un résultat aléatoire puisqu’il s’agit d’une démarche criminelle) [6].

4Moins d’actualité mais toujours actifs, le fait que par le même procédé on puisse installer desspywares (logiciels espions) sur un ordinateur qui collecteront des données personnelles, parfois à de simples fins de marketing, ce qui se traduit par des publicités qui s’affichent de façon intempestive sur votre ordinateur [7].

5La manière la plus simple de contrer ces risques est d’adopter de bonnes pratiques et de les diffuser autour de soi. De la même façon que l’on va fermer la porte de sa maison dès qu’on la quitte, que l’on ne va pas laisser entrer chez soi n’importe qui, et que, au bureau, on aura tendance à détruire et/ou sécuriser des documents sensibles, il faut avoir la même démarche dans sa navigation internet. Ces conseils [8] sont valables aussi bien pour nos pratiques personnelles que professionnelles, d’autant plus qu’une faille sur une adresse mail personnelle peut ensuite, via le carnet d’adresses, se propager à tous nos contacts professionnels.

6Si les logiciels, qu’il s’agisse des navigateurs Internet, des systèmes d’exploitation ou d’outils de documentation se mettent à jour très régulièrement, c’est pour en améliorer la sécurité. Les systèmes d’exploitation Windows et Mac sont les plus attaqués car les plus utilisés (il en est de même pour iOS et Android), et les pirates cherchent constamment des failles à exploiter. Ce sont ces failles qui permettront ensuite de vous attaquer. Les mises à jour sont donc indispensables: ne les négligez pas. Ne gardez pas non plus de versions trop anciennes de vos logiciels: Windows10 et Windows8.1 par exemple n’avaient pas la faille ciblée par le ransonware WannaCry.

7De la même façon, la Suite Office, Adobe Acrobat Reader, Skype ou des logiciels d’infographies pourront présenter des failles de sécurité critiques s’ils ne sont pas mis à jour ou s’il s’agit de vieilles versions. Les pirates et hackers savent que beaucoup d’utilisateurs utilisent de vieilles versions, notamment ceux qui ne sont plus à jour comme Windows XP. Si c’est le cas dans votre organisation, il faut se poser la question du coût de la mise à jour face aux risques réels de sécurité.

8Tout le monde a reçu à un moment ou à un autre un mail écrit dans un français approximatif demandant d’envoyer de l’argent en échange d’un gain futur espéré. Si cette démarche peut faire sourire, la récurrence de ces envois suggère que de nombreuses personnes ont été assez crédules pour donner leurs informations bancaires de cette façon…

9Aujourd’hui, malheureusem*nt, les techniques se sont perfectionnées. En utilisant les failles logicielles, à partir des mails captés via des fuites de données massives (voire achetés à des services «gratuits» auxquels on pourra s’être inscrit), des pirates vont envoyer des mails très bien rédigés et crédibles, reprenant la charte graphique voire même tous les éléments présents dans un message similaire que vous auriez déjà reçu de votre banque, de votre service de téléphonie, voire des impôts (une arnaque il y a quelques années consistait à créer une boîte aux lettres à quelques numéros dans la même rue qu’un centre d’impôts réel). Ils n’ont aucune prise, en revanche, sur un élément essentiel, le mail d’origine, qui ne sera PAS celui de votre banque ou d’un autre service: il s’agira par exemple d’une adresse de type securite.laposte.net@yahoo.fr– mais le nom du destinataire sera affiché comme étant «Sécurité Laposte.net» puisque les boites mails permettent de choisir son alias (illustration 1).

10On notera que c’est le fait de cliquer sur le lien proposé ou d’ouvrir une pièce jointe, si elle est présente, qui va initier l’installation de la charge malveillante. En cas de doute, ne faites pas comme l’équipe de John. Podesta: changez votre mot de passe ou connectez-vous à votre service depuis la page Internet officielle, pas depuis le lien indiqué dans le mail. Et effacez les mails dont l’origine n’est pas certaine.

11En 2017, Google, suivi par d’autres acteurs d’Internet comme Firefox, a initié une démarche très pertinente: le fait d’indiquer via son navigateur Chrome si une connexion login/mot de passe est sécurisée ou non. Par extension, il est possible via la barre du navigateur d’identifier si un site est sécurisé ou non (illustration 2, p.46).

12Cette sécurisation s’effectue via le protocole HTTPS [9] (Hypertext Transfer Protocol Secure), basé sur un système de certificats émis par des tiers qui permettent de s’assurer lors d’une connexion à un site Internet de votre identité, de celle du site concerné, tout en chiffrant les informations transmises. C’est, par exemple, un service utilisé par les sites bancaires et a priori par les sites marchands pour sécuriser les transactions.

13En conséquence, un prestataire qui n’utiliserait pas ce service (qui est plus ou moins fiable selon la nature des certificats), dans ce nouveau contexte où Google pénalise de fait les sites ne l’utilisant pas (tout en améliorant le référencement des sites HTTPS [10]), pose question en termes de sécurité informatique. Par extension, un site qui se fait passer pour votre banque ou votre messagerie mais qui ne serait pas en HTTPS est forcément un faux qui vise à récupérer vos données de connexion.

Illustration 2

De bons réflexes pour éviter les risques de phishing/ransonware (2)

14On notera que si la très grande majorité des sites de phishing sont aujourd’hui non sécurisés, le nombre de ceux qui utilisent HTTPS a fortement augmenté– ce n’est donc pas une garantie de sûreté [11]. Comme toujours, en cas de doute, il faut privilégier l’accès directement sur le site du service que dans le lien d’un mail.

L’Agence nationale de la sécurité des systèmes d’informations met en place plusieurs démarches pour aller plus loin que les différents guides proposés sur la sécurité numérique. Une web série sur le hacking notamment a été réalisée en partenariat avec plusieurs grands groupes [1]. Sur la thématique de la malveillance et donc en lien avec le phishing et les ransonwares une nouvelle plateforme est en test jusqu’en octobre2017 [2] afin d’aider les victimes de cybermalveillance et de se former à ces nouveaux risques.

15Une variante encore plus problématique du phishing est l’usurpation d’identité numérique d’une personne «de confiance» qui, via un piratage par exemple, va envoyer un mail crédible depuis une adresse professionnelle (par exemple un directeur à ses collaborateurs) demandant à consulter un document en pièce jointe [12]. Si vous travaillez sur des sujets sensibles, vous pouvez être la cible de cette pratique: en cas de doute vérifiez auprès de votre interlocuteur qu’il vous a bien fait cette demande (surtout si le document ne semble pas correspondre pas à vos projets).

16Pour bien comprendre à quel point tout le monde peut être visé, prenez compte de tous les profils que vous avez pu créer sur des sites Internet de commerce, d’échange, de rencontres, de crowdfunding. Pensez au nombre de dirigeants ciblés suite à la fuite de données du site Ashley Madison par des pirates qui pouvaient se faire passer pour des contacts légitimes [13].

  • [1]

    Voir Glossaire p.68-69 de ce dossier.

  • [2]

    Ibid. 1.

  • [3]

    É. COHEN. «WannaCry: la cyber-sécurité, le talon d’Achille de l’entreprise», Cercle Les Echos, 16mai2017.

  • [4]

    J. GARAY. «L’e-mail de phishing qui a dupé le président de la campagne d’Hillary Clinton», Génération-NT, 2novembre2016.

  • [5]

    «En marche! dénonce un piratage “massif et coordonné” de la campagne de Macron», Le Monde avec AFP, Le Monde, 6mai2017.

  • [6]

    G. CHAMPEAU. «Ransomware: un hôpital paye la rançon mais n’obtient rien en échange», Numerama, 25mai2016.

  • [7]

    Comme le logiciel Adware «Superfish» installé sur les ordinateurs Lenovo à l’insu des utilisateurs. Voir: C. JOSSET. «Superfish, le logiciel espion préinstallé par Lenovo sur votre PC», L’Express, 20février2015.

  • [8]

    Conseils du NHS britannique à ce sujet: I.JOHNSTON, «NHS Cyber Attack: How To Protect Yourself Against Ransonware», Independent, 13May2017.

  • [9]

    Protocole de transfert hypertexte sécurité qui combine à une adresse HTTP une couche de chiffrement des données transmises et permet de vérifier l’identité du site web.

  • [10]

    J. ROBILLARD. HTTPS et SEO: Quels effets pour votre référencement?», 22novembre2016, Powertrafic.fr.

  • [11]

    E. KOVACS. Number of Phishing Sites Using HTTPS Soars, 19May2017, securityweek.com.

  • [12]

    C’est ce qu’on appelle le Spear Phishing, https://www.kaspersky.co.uk/resource-center/definitions/spear-phishing.

  • [13]

    D. LELOUP. «Piratage d’Ashley Madison: qui sont les vraies victimes?», Le Monde, 20août2015.

De bons réflexes pour éviter les risques de phishing/ransonware (2024)
Top Articles
Latest Posts
Article information

Author: Prof. An Powlowski

Last Updated:

Views: 5923

Rating: 4.3 / 5 (44 voted)

Reviews: 91% of readers found this page helpful

Author information

Name: Prof. An Powlowski

Birthday: 1992-09-29

Address: Apt. 994 8891 Orval Hill, Brittnyburgh, AZ 41023-0398

Phone: +26417467956738

Job: District Marketing Strategist

Hobby: Embroidery, Bodybuilding, Motor sports, Amateur radio, Wood carving, Whittling, Air sports

Introduction: My name is Prof. An Powlowski, I am a charming, helpful, attractive, good, graceful, thoughtful, vast person who loves writing and wants to share my knowledge and understanding with you.