Loin d’effrayer les hackers, le Covid-19 serait plutôt source d’inspiration. Création de faux sites de vente ou d’emails frauduleux, les hackers multiplient leurs attaques. Depuis le début de la pandémie, la France a enregistré une augmentation de 30 000% des cyberattaques soit environ près de 400 000 cyberattaques depuis début avril.
Parmi les techniques utilisées, le phishing a, en cette période de crise sanitaire, le vent en poupe car elle joue sur les peurs des individus. Et quoi de plus facile que d’activer ce levier lorsque l’on est face à une situation inédite et anxiogène. L’ampleur du phénomène est tel que l’Organisation Mondiale de la Santé (OMS) a récemment mis en garde les internautes sur l’existence de ces emails frauduleux basés sur les angoisses des internautes pour accéder à leurs données personnelles.
Eprouvées depuis cinq ou six ans, ces techniques de phishing, ne datent pas d’hier, et bien que connues des internautes, nombreux continuent de se faire piéger. Comment alors identifier une menace ? Quels sont les cas les plus communs ?
Le covid-19 : facteur de prédilection pour les attaques
Aujourd’hui on recense deux types de piratages : l’un émanant des communications internes, l’autre des communications externes. Sous l’effet de la pandémie, les communications internes entre directions d’entreprises et collaborateurs ont été accrues afin de faire parvenir un certain nombre de recommandations liées au Covid-19. N’ayant aucune raison de se méfier d’un message émanant de leur entreprise, les collaborateurs confiants ouvrent les mails, cliquent sur les liens et/ou ouvrent les documents attachés. Dans ce type d’attaques, les hackers misent sur l’urgence de la situation et la nécessité pour le collaborateur de prendre connaissance d’une information. En cette période particulière, de nombreux collaborateurs aguerris et sensibilisés aux techniques de phishing s’y sont laissés prendre.
En matière de communications externes, les escrocs utilisent les mails concernant les déclarations d’impôts en ligne, l’augmentation des plafonds de cartes de Tickets restaurant ou encore les attestations numériques changeant régulièrement. Ils se rabattent aussi sur les communications des organisations publiques type OMS, ONG, ou mouvements de solidarité pour le personnel soignant (cagnottes, appels aux dons, etc.) pour récupérer des données des utilisateurs. Les mails tirant partie de la situation économique actuelle devraient redoubler dans les prochaines semaines !
Un rappel des règles – toujours nécessaire- en matière de phishing
On ne le rappellera jamais assez mais les hackers exploitent les failles de notre quotidien, là où nous pouvons baisser la garde. Quelques conseils clés connus, mais qu’il est nécessaire de rappeler. Premier réflexe : vérifier la source de l’email et des pièces jointes non identifiées ou d’expéditeurs inconnus. Ensuite, il est important de prendre le temps de lire le mail afin de relever les erreurs. Les hackers ne perdent pas de temps en relecture pour vérifier l’orthographe ou les erreurs de syntaxe. Enfin, il faut analyser le ton du mail pour repérer les injonctions. Les mails frauduleux ont tendance à employer un vocabulaire directif, sous forme « d’obligation ».
Pour sensibiliser les collaborateurs à ces bonnes pratiques, les employeurs ne doivent pas hésiter à rappeler les consignes de sécurité en matière de phishing voire, à faire eux-mêmes, des mails frauduleux pour tester leurs équipes.
La gestion des mots de passe : un casse-tête pour les entreprises et les collaborateurs
Il existe de nombreux gestionnaires de mot de passe tous performants et offrant les mêmes garanties. Mais est-ce à l’entreprise ou au collaborateur de se doter d’un gestionnaire de mot de passe ? Si au sein d’une vie professionnelle, nous sommes tous amenés plus ou moins fréquemment à changer d’entreprises, nous conservons bien souvent nos mots de passe, qui, généralement, sont faciles à trouver pour les hackers. En effet, nous sommes trop souvent tentés d’utiliser des mots de passe qui nous caractérisent comme la date de naissance ou le nom de l’animal de compagnie.
Pour éviter ces désagréments, les entreprises ont donc tout intérêt à proposer à leurs collaborateurs, un gestionnaire de mot de passe permettant de stocker les données entreprises et données personnelles. Afin que le collaborateur puisse conserver son gestionnaire s’il quitte l’entreprise, celle-ci peut révoquer ses accès professionnels via un système SSO – active directory – associé au gestionnaire de mot de passe. En supprimant le collaborateur de l’active directory de l’entreprise, celui-ci perd l’accès aux données de cette dernière et conserve alors uniquement ses mots de passe et accès personnels. Simple et efficace pour une sécurité maximale.
De la même manière, attention à ne pas divulguer vos mots de passe – même en famille – la confiance est une chose, la sécurisation des tierces personnes en est une autre. Chaque personne a son propre niveau de sécurité sur ses appareils. Vous pouvez donc être totalement sécurisé mais pas la personne tierce à qui vous décidez de confier votre mot de passe. Cela peut commencer par son mot de passe Netflix – qui pendant le confinement a été le mot de passe le plus partagé – qui ouvre alors une porte au hacker pour se faufiler sur votre session.
Depuis quelques années maintenant, l’authentification à double facteur à fait son apparition et malgré son implémentation de plus en plus fréquente, peu d’utilisateurs l’utilisent. Il s’agit pourtant d’un élément de sécurité complémentaire qui rend le travail des hackers beaucoup plus complexe. Cette technologie n’est pas infaillible mais elle poussera la majeure partie des attaquants à choisir une autre cible.
En conclusion, le phishing est la technique la plus simple à mettre en place pour des hackers amateurs ! Mais elle est également facilement démasquable quand on y accorde un peu d’attention. On ne le répétera jamais assez c’est l’attention qui fait toute la différence en matière de sécurité et la sensibilisation permanente de tous et chacun.
Par Lionel Doumeng, expert cybersécurité chez F-Secure