Module 3, Unité 1 du cours SecNum Académie proposé par l'ANSSI.

Internet est dès le commencement un réseau, un moyen pour les machines de communiquer. Développer à l'origine dans un objectif militaire, il s'étend rapidement au milieu universitaire et adopte au milieu des années 80 le protocole TCP/IP qui aujourd'hui encore est à la base de la plupart des réseaux informatiques.

Ce réseau est rapidement assimilé aux usages les plus communs qui en sont faits notamment la messagerie et le World Wide Web ou internet.

Le premier site internet a été créé au CERN en 1989, il décrivait les principales caractéristiques du web et était constitué de texte et de liens hypertexte permettant de passer d'un document à un autre.

A ces deux usages connus s'ajoutent rapidement d'autres applications telle que la téléphonie, la télévision ou les réseau sociaux.

Tout cela est possible grâce au protocole TCP/IP qui permet d'établir facilement des communications entre les machines.

Cette standardisation associée à une gouvernance mondialisée ont permis d'avoir une durabilité et une évolutivité d'Internet.

La toile se tisse à grande vitesse et prend aujourd'hui un espace considérable dans notre quotidien.

La navigation internet est tout d'abord devenu un moyen central de recherche d'information grâce aux moteurs de recherche. La messagerie électronique quant à elle à transformer notre méthodes de communication, remplaçant désormais de nombreux courriers postaux.

Ensuite le réseau téléphonique à permis de connecter une part croissante de la population à Internet (technologies xDSL) avant que la fibre ne s'installe peu à peu en ville permettant des échanges de plus en plus volumineux et de plus en plus rapides.

Les communications téléphoniques elles même ont été intégrée au réseau Internet avec la voix sur IP et l'utilisation de visioconférence dans de nombreux foyers.

Un autre usage concerne la télévision désormais transmise par la plupart des opérateurs via la ligne Internet.

Et que dire des réseaux sociaux aujourd'hui dans nos modes de communication et d'accès à l'actualité?

Comme évoqué dans le premier module, Internet apparaît également de plus en plus dans les objets du quotidien avec l'IoT et la domotique. Les serrures intelligentes, badgeuses ou caméra de surveillance connectées sont aujourd'hui présentes dans de nombreux foyers.

Les balances connectées qui enregistrent et stockent des données telles que l'IMC ou le pourcentage d'eau sont une réalité désormais commercialisée.

Nous voyons aux travers de ces différents exemples qu'Internet prend un espace croissant dans notre quotidien et avec ses nouveaux usages sont rapidement arrivés de nouveaux risques aggravés par le fait qu'Internet n'ait pas été conçu au départ pour gérer des utilisateurs malveillant mais pour faciliter la communication entre des participants de confiance au sein des forces armées ou des universités.

Nous avons déjà abordé certains risques dans le module précédent, d'autre vous sont peut être encore inconnus. Cette unité permettra de décrire ce qu'est Internet ainsi que les principales cybermalveillances dont vous pourriez être victime.

Parce que la sécurité passe avant tout par la connaissance et la compréhension des risques liés à l’utilisation du Web, il est indispensable de s’intéresser à ce qu’est Internet :

• Comment fonctionne-t-il ?
• Quelles sont les cyber-malveillances qui menacent vos usages quotidiens ?
• Comment déjouer les ruses des attaquants ?

Avant de nous intéresser aux différentes cyber-malveillances auxquelles chacun peut être confronté dans ses usages d’Internet, étudions son fonctionnement.

Afficher les résultats d’un moteur de recherche, jouer en ligne en réseau, envoyer un email ou encore discuter en VOIP (transmission de la voix via Internet) avec votre meilleur ami en Australie, vos usages d’Internet sont nombreux et variés.

Internet ne repose pas sur de la magie et nous allons voir en détail comment il rend toutes ces activités possibles.

La navigation sur Internet repose sur une architecture appelée client/serveur.

Il s’agit du mode de fonctionnement le plus courant en informatique de nos jours.

Les clients envoient leurs demandes au serveur qui envoie à son tour une réponse à ces demandes.

Ils sont tour à tour émetteurs et récepteurs de messages.

Un utilisateur, le client, se sert d’un navigateur… Exemple : Chrome, Firefox, Safari, Internet Explorer, Edge, Opera …pour demander un service à un serveur (une page web, l’envoi ou la réception d’un message, etc.).

Notez que votre ordinateur est capable d’interroger simultanément de nombreux serveurs.

C’est ce qui se passe lorsque vous êtes connecté sur le web et que vous consultez simultanément Skype ou votre messagerie qui sont des services hébergés sur Internet.

En effet, sur Internet différents services vous sont proposés dont le World Wide Web qui permet de naviguer de site en site.

Pour assurer le transit des données entre l’émetteur et le récepteur, celles-ci sont découpées en paquets.

Ces paquets se composent d’une partie de la donnée que l’émetteur souhaite transmettre, à laquelle sont ajoutées des informations relatives à son transport, telles que l’adresse IP du destinataire (numéro d’identification de son ordinateur sur un réseau).

Pour illustrer ce fonctionnement, prenons l’exemple de l’affichage d’une page web, et comparons-là au transport d’un courrier postal sur un réseau routier.

Le point de départ est la box ADSL du domicile, et le point d'arrivée est le serveur hébergeant les éléments du site à afficher.

Lors d'un clic sur le lien hypertexte menant à la page web, une requête est envoyée sur le réseau, sous la forme de paquets.

Cette requête part de la box vers le réseau de l'opérateur, et circule à travers de nombreux routeurs appartenant à différents opérateurs.

Les routeurs se basent sur l’adresse IP du serveur web, comparable à une adresse postale, pour acheminer les paquets jusqu’au lieu physique où est hébergé le serveur de destination.

Une fois que le serveur web reçoit le paquet, il le lit et renvoie le contenu demandé (textes, images et liens du site web).

Tout comme le courrier postal, la réponse du serveur web peut suivre un tout autre chemin que la demande initiale.

Et, tout comme sur la route, il y a des règles à suivre pour circuler. Ces règles correspondent aux protocoles, notamment la suite de protocoles TCP/IP que nous évoquions dans la vidéo d’introduction.

Protocole = code de la route

Bien que fréquemment confondus, Internet et le Web ne désignent pas la même chose.

• Internet désigne le réseau informatique qui relie par le biais du protocole de communication IP (Internet Protocol) des millions d’ordinateurs à l’échelle mondiale.
• Le World Wide Web ou Web désigne une des utilisations possibles d’Internet. Il a été inventé plusieurs années après Internet et désigne un système hypertexte public qui fonctionne sur Internet et permet de consulter des pages web et de naviguer entre elles via des hyperliens.

Nous l’avons vu en introduction, Internet prend un espace croissant dans notre quotidien. Et avec ces nouveaux usages, sont rapidement arrivés de nouveaux risques.

Nous avons tous entendu parler de grandes attaques informatiques ciblées, comme l'attaque Stuxnet contre l'industrie nucléaire iranienne en 2010, ou celle d’un grand producteur de cinéma autour du film « L'interview qui tue » en 2014.

Mais l'impact dans notre quotidien de ce genre d'attaque est relativement mineur, ce qui peut contribuer à se demander :

« Qui pourrait vouloir me pirater ? »

Une des fausses idées les plus répandues est en effet que les attaques informatiques ne concernent que les États, les administrations, et les grandes entreprises.

Internet a aussi donné les moyens à de nombreux escrocs, travaillant souvent en groupes organisés, d'obtenir de nouveaux revenus, à des curieux des nouvelles technologies de tester des attaques sur des personnes de leur entourage, à des grandes entreprises d'aller toujours plus loin dans le marketing agressif en espérant accroître leurs revenus, etc.

Nous allons ici donner quelques exemples, qui, sans porter un regard pessimiste sur notre capacité à résister à la cybercriminalité, ont pour objectif de prouver que la possibilité d'être victime de cybermalveillance est une éventualité qu'il ne faut pas négliger.

Bien qu'il ne s'agisse pas vraiment de réelle malveillance et que les publicités soient nécessaires au bon fonctionnement de nombreux sites web, la gêne qu'elles provoquent sur l'usage de nombreux utilisateurs peut être notable.

Nous connaissons généralement bien les spams (ou « pourriels » en français), désormais illégaux s'ils sont envoyés sans consentement de l'utilisateur, mais il existe d'autres problématiques.

Par exemple, le tracking (ou suivi de l'activité en ligne de l'utilisateur) permet une publicité beaucoup plus ciblée et donc plus efficace et rentable pour l'annonceur.

Elle peut se faire par le simple suivi de vos commandes, de votre profil de connexion (empreinte unique), de vos cookies (fichiers témoins de votre passage sur le site et éventuellement de votre authentification) ou bien encore par des « barres de recherche » partenaires greffées à votre navigateur.

Tous ces outils sont autant de moyens pour les commerçants en ligne d'adapter leur offre à votre navigation et vous proposer les offres de la manière la plus ciblée possible, dans leur intérêt.

D'après plusieurs enquêtes des médias, un exemple d'abus de ces techniques concerne le suivi de l’adresse IP (IP tracking) pratiqué par certaines compagnies aériennes à bas coûts, consistant à augmenter le prix du billet d'avion pendant le temps que vous consacrez à la décision de l'acheter.

Avec la mise en réseau de toujours plus de composantes de notre environnement, les opportunités des pirates sont chaque jour plus nombreuses.

La plupart des attaques nécessitent de passer par un malware (programme malveillant), tel qu’un spyware qui visera à analyser vos habitudes ou un keylogger qui interceptera vos frappes claviers afin d’intercepter votre mot de passe (confère un monde à hauts risques).

Ces derniers peuvent être reçus par mail, téléchargés sur le web, ou partagés par périphérique USB ; de façon visible ou au contraire sans que vous ne vous en rendiez compte.

Dans la très large majorité des cas, ces attaques se font par le biais d'Internet, qui permet alors à un attaquant de toucher un public mondial, bien au-delà de son entourage immédiat.

Au départ plutôt créés par des curieux en vue de prouver leurs compétences, de dénoncer des faiblesses techniques, ces programmes sont désormais majoritairement créés avec des objectifs financiers par des équipes de développement structurées et professionnelles.

Ils sont ensuite revendus à leurs utilisateurs finaux, qui n'ont parfois aucune réelle compétence technique mais sauront les utiliser pour en tirer des revenus. L'image de l'étudiant dans son garage qui pirate une entité connue pour la gloire a laissé la place à des groupes mafieux très organisés.

Pour certains types d'attaques, les pirates peuvent avoir besoin de puissance de calcul, d'un débit important et de possibilités de contournements des systèmes de détection.

À titre d'exemple, des attaques contre les entités connues (organismes gouvernementaux, grandes entreprises, etc.) qui sont ciblées et ont vocation à faire le « buzz », sont souvent des attaques en déni de service distribué qui consistent à rendre indisponibles des sites Web ou services en ligne, en les submergeant sous de très nombreuses requêtes venant de partout dans le monde, parfois impossibles à distinguer de requêtes classiques.

Pour les pirates, la stratégie consiste donc à infecter un grand nombre d'ordinateurs peu sécurisés et à les utiliser ensuite selon leurs besoins : envoi de pourriels, déni de service, etc. en constituant un réseau de machines compromises, un « botnet » (« réseau de zombies » en français).

Notez que certains botnets peuvent même être loués à l’heure !

Bien que vous ne soyez pas directement la cible de l'attaque finale et qu'elle soit le plus souvent invisible pour vous, si votre ordinateur est infecté et participe à un réseau de zombies, vous courez un risque légal en plus de subir un ralentissement de votre ordinateur et de votre connexion Internet.

Les ordinateurs sont certes une proie de choix pour ce type d'attaques, mais d'autres types de matériel connecté le sont également, tels que les caméras IP, les ordiphones et les objets connectés.

Pour exemple, fin 2016, le site internet d’un chercheur en sécurité a été victime d’une attaque produite par un botnet constitué d’ordinateurs infectés par un malware dénommé Mirai.

Plus de 600Go/sec de trafic inutile ont été produits par ce réseau de machines zombies, qui se compose principalement d’une vaste gamme d’objets connectés de faible puissance, comme des routeurs domestiques et des webcams.

En 2016 encore, un hébergeur français a fait face à une attaque d’ampleur de ce type. À l’origine de l’offensive, se trouvait un botnet de près de 150.000 caméras de sécurité infectées par les cybercriminels.

Ces exemples illustrent la possibilité pour les attaquants d’utiliser également des botnets d’objets connectés pour attaquer une société.

Les dénis de service dont sont victimes les entreprises suite à une infection utilisant les botnets, coupent leurs communications avec l'extérieur et rendent impossible leur bon fonctionnement commercial (notamment la vente ou la fourniture de services en ligne).

Les pirates demandent alors une rançon en contrepartie d'un arrêt de l'attaque. Rappelez-vous cette technique d’attaque appelée « rançonnement » est basée sur l’utilisation d’un « rançongiciel » ou « ransomware » en anglais.

Le rançonnement peut prendre également une autre forme qui consiste à infecter le poste d'un particulier, d'une administration ou d'une entreprise à l'aide d'un fichier malveillant. Une fois ouvert par l'utilisateur, ce fichier bloque ou chiffre les données du poste piraté et exige un paiement en contrepartie d’une promesse de déblocage.

Vous avez probablement entendu parler des attaques Locky (Février 2016), Wannacry (Mai 2017) et Notpetya (Juin 2017) ? Les particuliers, administrations et entreprises touchés par ces attaques ont été victimes d’un rançongiciel. Le mode opératoire classique consiste à envoyer par courrier électronique une pièce jointe contenant le fichier malveillant.

Une fois la pièce jointe ouverte, tous les fichiers du destinataire, périphériques éventuellement branchés, ainsi que répertoires partagés sur un réseau, sont chiffrés et sont donc rendus inaccessibles par le logiciel malveillant.

Les victimes dont les données ont été prises en otage, se sont vues alors exiger un paiement en bitcoins en contrepartie d'une promesse de fournir la clé de déchiffrement qui permet le déblocage. Il s'agit tout simplement de chantage.

La défiguration de site (aussi parfois vu sous le terme « défacement » par anglicisme de defacement) consiste à modifier une partie d'un site web, affichant alors des éléments choisis par le pirate.

Les motivations sont là encore très variables, mais sont dans la majeure partie des cas de l'ordre du défi technique ou utilisées afin de porter des revendications (souvent politiques).

Parfois, le pirate intégrera du contenu malveillant sur des fausses publicités en ligne pour essayer de piéger les visiteurs de sites web sans passer par le propriétaire du site en question.

Fin 2016, une attaque baptisée « Stegano », en référence au terme stéganographie qui signifie l'art de la dissimulation, a diffusé des bannières publicitaires malveillantes sur de nombreux sites. Lorsque l’internaute cliquait sur une bannière, celle-ci installait des codes malveillants capables de voler ses identifiants et mots de passe grâce à un enregistreur de frappes ou de prendre des captures de ses écrans.

De célèbres médias américains ont également été touchés par ce type d’attaque en 2016. Quand les internautes cliquaient sur les publicités de leur diffuseur, ils étaient redirigés vers un serveur qui hébergeait un code malveillant. Le code tentait alors de chiffrer le disque dur de l’utilisateur et exigeait un paiement en bitcoins en contrepartie d'une promesse de fournir la clé de déchiffrement qui permet le déblocage.

Comme nous l'avons vu au travers du module 2 de ce MOOC sur l'authentification, l'ingénierie sociale (plus connue sous son nom anglais « social engineering ») désigne l'ensemble des attaques informatiques mettant l'accent sur les vulnérabilités humaines.

À la frontière de la technique et de la psychologie, elle mérite de s'y attarder car, si renforcer la sécurité nécessite souvent des compétences techniques, l'aspect humain ne peut être de la seule responsabilité des experts, mais bien de tous les acteurs impliqués.

Ces attaques constituent le plus souvent le point d'entrée des attaquants dans le système informatique ciblé. Elles sont aussi de plus en plus utilisées dans les actes de malveillance en ligne.

En effet, bien que les mécanismes de sécurité des équipements informatiques se soient considérablement améliorés ces dernières années, les utilisateurs derrière ces équipements sont encore peu sensibilisés au rôle central qu'ils peuvent avoir dans les attaques dont ils sont victimes et constituent bien souvent de nos jours le point faible des mécanismes de sécurité.

Nous allons dans cette partie présenter quelques exemples. Les possibilités sont nombreuses, la seule limite étant l'imagination toujours plus débordante des attaquants. Les scénarios présentés ci-après ne doivent donc être pris que comme des exemples illustrant la menace.

Nous verrons ensuite les bonnes pratiques qui peuvent être mises en place pour se protéger contre ces attaques.

Les attaques par ingénierie sociale reposent souvent sur la ruse. Le pirate joue avec vos émotions (peur, confiance, envie d’aider, etc.) et vos habitudes, pour vous mettre en confiance, vous inquiéter, endormir votre vigilance, etc.

Indiquer notre identité dans la vie réelle est un acte qui nous paraît simple. Parfois il est nécessaire de montrer sa carte d'identité, et d'autre fois la confiance prévaut et l'on donne simplement notre nom.

Cela peut bien souvent être insuffisant, mais nous nous contentons généralement de peu, ce que l'on peut qualifier d'authentification faible.

Des individus malveillants peuvent alors facilement utiliser la ruse et se faire passer pour quelqu'un d'inoffensif en donnant des indications minimales d'une identité qui n'est pas la leur.

Illustrons par un exemple :

Vous êtes au travail à Paris et Sophie, votre correspondante habituelle basée à Toulouse, vous a annoncé qu'elle serait en congés pour les prochaines semaines.

Vous recevez un appel de François Martin, qui annonce qu'en son absence, il la remplace sur le dossier sur lequel vous travailliez ensemble, mais qu'il n'a pas eu le compte-rendu de la dernière réunion dont il vous donne la date et vous demande de lui transférer par mail, ce que vous faites sans attendre.

Ici il est facile de se laisser tromper, l'attaquant connaît le nom de votre collègue, le fait qu'elle est en vacances, le dossier sur lequel elle travaillait, le fait que vous soyez également concerné par le dossier et votre numéro de téléphone professionnel…

Toutes ces données, qui n’ont pas vocation à être rendues publiques, peuvent potentiellement être trouvées par des personnes extérieures.

Dans notre exemple, l’attaquant a pu obtenir plus ou moins facilement ces informations, réserver un nom de domaine très similaire au nom de domaine légitime de votre entreprise (typosquatting), et se faire passer pour le collègue de Sophie sans que vous ne vous posiez de questions.

Rappelez-vous ce que nous avons vu dans les précédents modules. L’hameçonnage (ou phishing) qui tire son nom de la pêche en anglais, consiste à tendre un hameçon, sous la forme d'un mail, d'un message de forum, d’un sms, d’une fausse pub, etc. Il suffit ensuite d'attendre que nous autres, petits poissons, mordions à l'hameçon et donnions à l'attaquant ce qu'il veut.

Vous recevez un courrier électronique de votre banque qui vous demande des informations complémentaires pour vous fournir un service plus sécurisé.

Vous devez remplir un formulaire afin de confirmer vos coordonnées bancaires.

Si vous ne le faites pas dans les 24 heures, votre compte sera suspendu.

Ce dernier exemple s'applique à quiconque, mais lorsque c'est une entreprise privée ou une administration publique qui est visée, l'attaque peut être beaucoup plus ciblée et donc redoutablement efficace : utilisation des adresses électroniques du support informatique, signature avec l'adresse d'un collègue de confiance, envoi de plusieurs mails coordonnés, etc.

Bien connue des voleurs plus classiques, cette stratégie consiste à attirer l'attention de la cible sur des points qui n'ont rien à voir avec l'attaque, éteignant par-là la méfiance naturelle que peut déclencher le fait de s'intéresser à une information sensible.

Exemple :

Vous êtes au travail et une alerte incendie se déclenche. Vous vous regroupez avec l’ensemble des collaborateurs de l’entreprise au point d’évacuation et discutez de façon anodine avec des collaborateurs que vous ne connaissez pas.

Un pirate peut avoir provoqué un incident de sécurité (forcer une serrure, briser une vitre, etc.) et profiter du regroupement pour récupérer des informations.

Autre exemple :

Une panne informatique a eu lieu dans la nuit, pas de soucis, un dépanneur informatique vous a contacté quelques jours auparavant pour vous offrir ses services. Il se présente rapidement à votre bureau et pendant qu’il répare, soi-disant, votre ordinateur, il en profite pour récupérer des données auxquelles il ne pouvait accéder à distance.

Ici, le pirate a créé une situation dans laquelle c’est la victime qui a besoin de l’attaquant.

Il s'agit ici de limiter la capacité de réflexion de la cible par divers moyens impliquant par exemple une urgence, une occasion à ne pas rater, une récompense…

Ici l'illusion d'une récompense bienvenue associée à des délais courts retire à l'utilisateur sa capacité à prendre le temps de réfléchir, il s'empresse d'appeler le numéro indiqué et ne se rend pas compte qu'il s'agit d'une tentative d'escroquerie.

Le rançongiciel, par exemple, est basé sur une situation de forte pression générée par le fait que vous ayez perdu l'accès à vos données ou que les services rendus à vos clients ne soient plus opérationnels.

Lorsque la cible de l'attaque se croit en sécurité, elle baisse son niveau de vigilance. L'illusion de sécurité est souvent due à une méconnaissance des mécanismes techniques.

Un individu malveillant peut utiliser comme adresse électronique d'expéditeur celle qu'utilise habituellement votre opérateur de télécommunications ou des services administratifs de l'état.

Pour une victime potentielle, l'adresse mail d'expéditeur constitue à tort une garantie d'authenticité de l'origine du mail et elle sera donc plus encline à coopérer.

Nous reviendrons plus en détails sur ce type d’attaque lors de l’unité 3 de ce module dédié à la messagerie électronique.

De nombreuses informations sont diffusées à l'extérieur par des biais auxquels nous ne prêtons pas naturellement attention. Un écran posé devant une fenêtre, donc visible de l'extérieur, un voisin de train lorgnant sur un rapport de réunion, des documents hébergés en ligne sans contrôle d'accès, des ordinateurs portables volés, des documents mis à la poubelle, des employés trop bavards sur les réseaux sociaux ou du personnel d'entretien corrompu… les fuites potentielles sont nombreuses !

L'évolution des techniques et l'apparition de nouvelles technologies rendent certaines attaques plus complexes tout en offrant de nouvelles possibilités aux attaquants. Il est cependant possible de lutter efficacement contre l'ingénierie sociale en suivant quelques règles de bonnes pratiques, que nous allons découvrir.

L'ingénierie sociale se base en grande partie sur le manque de connaissance et de méfiance des acteurs humains.

Il est donc fondamental d'informer les acteurs ayant accès à de l'information potentiellement sensible des mécanismes de sécurité qui les concernent, mais aussi de leur fonctionnement et des raisons qui justifient les choix de sécurité qui ont été faits.

Il est souvent plus efficace d'avoir une sécurité simple, comprise et maîtrisée qu'une sécurité complexe mais mal comprise par les différents acteurs.

Il est également important de présenter à chacun les risques auxquels ils peuvent faire face ainsi que les attaques dont ils peuvent être victimes.

En milieu professionnel, cela peut passer par des sessions d'information voire des campagnes de simulation d'attaques par ingénierie sociale.

Dans la sphère privée, cette sensibilisation passe par l'auto-formation et bien souvent par la discussion entre proches.

L'information et la sensibilisation des utilisateurs restent la pierre angulaire de la défense contre l'ingénierie sociale.

Il s'agit là de grandes notions qui peuvent facilement se résumer en quelques mots : demander des preuves de l'identité de vos interlocuteurs lorsque cela est pertinent et garder à l'esprit qu'un message peut être modifié entre son envoi et sa réception.

Si vous avez des doutes, confirmez par un autre moyen, appelez votre collègue, son voisin de bureau, son supérieur, vérifiez les informations dans l’annuaire interne, demandez à rappeler la personne en cas de doute, etc.

Obtenir une certaine forme de garantie concernant l'authenticité d'un interlocuteur ou le message qui nous est transmis peut parfois être complexe et nécessiter d'y consacrer du temps de réflexion.

Si la situation intervient de manière régulière, il est pertinent de définir des habitudes et des protocoles permettant de les gérer rapidement.

Exemple :

Un comptable reçoit un mail d'un fournisseur indiquant qu'ils ont changé d'établissement bancaire, et le remerciant de bien vouloir effectuer le prochain paiement en utilisant le nouveau RIB joint.

Toute opération sensible (virement bancaire, paiement de fournisseurs, etc.) devrait faire l'objet d'une procédure de double vérification systématique (avec utilisation de la messagerie sécurisée mise à disposition par les banques, appel des fournisseurs via leur numéro habituel pour confirmation des messages reçus, vérification des RIB et destinataires de télépaiements avant virements, etc.).

Autre exemple issu d'un fait réel :

Un poste des ressources humaines d'une entreprise a été piraté. Par rebond le serveur de gestion des télépaiements utilisé pour envoyer des ordres de virement des salaires a également été piraté. L'attaquant a ajouté un ordre de virement mensuel qui est passé inaperçu pendant plusieurs années.

Dans de nombreux cas, transmettre une information (par mail, téléphone ou tout autre moyen) ne pose pas problème car l'information est publiquement accessible.

A contrario, des informations qui pourraient sembler inoffensives, comme le fait qu'un collègue travaille sur un projet ou que l'entreprise travaille avec tel client ou fournisseur, peuvent permettre à un attaquant potentiel y ayant accès d'être plus convaincant avec la prochaine personne qu'il contactera.

Il est donc important d'être toujours vigilant et de prêter attention à la sensibilité de l'information manipulée et transmise.

Si une information n'est pas publiquement accessible (via sites web, communiqués de presse, articles, etc.) elle n'a sans doute pas vocation à être transmise à un inconnu de quelque manière que ce soit.

Il n'est pas facile d'avoir une vue d'ensemble sur l'activité d'une entreprise et il est pourtant indispensable d'avoir ce recul pour contrer de nombreuses attaques. Faire remonter l'information à des responsables préalablement choisis sort la victime de la situation d'isolement. Il faut donc prévoir des mécanismes de validation dès qu'il y a suspicion.

Dans la sphère privée, cela peut simplement consister à demander leur avis à des personnes de son entourage.

En environnement professionnel, on contactera les référents en sécurité des systèmes d'informations, le responsable informatique ou la personne qui aura été définie au préalable. Bien que ces recommandations ne soient pas toujours facilement adaptables au cadre familial ou celui des petites entreprises, dans lesquels le bon sens et la réflexion restent les meilleures armes contre les attaques par ingénierie sociale, elles donnent un premier aperçu des mesures à mettre en place.

Comme dans toute réflexion de sécurité, il est cependant primordial de veiller à ce que les mesures organisationnelles et techniques décidées soient comprises et acceptées par tous les acteurs. Dans le cas contraire, elles seront probablement inutiles car ignorées.

Il est important de noter que toutes les actions ou messages suspects doivent être signalés. En effet, informer son responsable que l'on a reçu un appel étrange aujourd'hui peut sembler inutile, mais devenir utile si vous êtes plusieurs à l’avoir reçu.

L'ingénierie sociale est souvent utilisée par les pirates pour arriver à leurs fins en parallèle d'attaques plus techniques.

Ils ont recours à de nombreuses ruses qu'il convient de savoir déjouer autant que possible.

Différents services et organismes étatiques existent pour vous accompagner en cas d'incident, que ce soit :

• Un acte de cybercriminalité;
• La découverte de contenu publique illicite (interdit et puni par une loi française) sur Internet
• Une fraude aux technologies de l'information
• Etc.

Suivez les instructions disponibles sur le site de l'ANSSI pour vous rediriger vers les bons services et organismes : https://www.ssi.gouv.fr/en-cas-dincident/.

En cas de problèmes liés à la protection des données personnelles ou des libertés individuelles sur Internet, contactez la Commission Nationale Informatique et Libertés (CNIL) : https://www.cnil.fr/.

L’usage des réseaux sociaux fait aujourd’hui partie intégrante du quotidien de nombreux Français.

Les réseaux sociaux sont de formidables outils pour rester en contact avec ses connaissances et amis, exprimer ses idées et opinions, ou encore dans un cadre professionnel faire son auto-promotion ou accroître son réseau.

Leur usage exponentiel offre néanmoins aux personnes malveillantes un terrain idéal pour diffuser les différentes cybermalveillances que nous avons présentées dans ce module.

Les réseaux sociaux étant aujourd’hui des cibles privilégiées des cybercriminels, il est nécessaire de connaître les risques potentiels liés à leur utilisation et de les manipuler avec vigilance pour se protéger.

Les services offerts par les réseaux sociaux sur internet sont généralement gratuits.

Cette gratuité n’est possible qu’avec une contrepartie, celle d’une utilisation commerciale de vos données personnelles, de leurs métadonnées (ex : coordonnées GPS où a été prise une photo, date à laquelle vous avez publié un message, etc.) ou encore de vos statistiques (fréquentation, nombre d’amis, etc.).

Sans que vous en soyez toujours conscient, vos actions et les données que vous diffusez sur les réseaux sociaux sont de l’or pour les sites commerciaux.

Elles peuvent être revendues à des commerçants en ligne qui s’en servent pour adapter leur offre à votre navigation et vous proposer des produits ou services les plus ciblés possibles, toujours dans leur intérêt. Nous retrouvons ici les pratiques de marketing agressif que nous avions évoquées au début de cette unité.

Un autre risque réside dans les dégâts que peuvent causer les réseaux sociaux à la réputation d'une personne ou d’une marque employeur.

Le danger peut provenir de différentes sources :

• Un client insatisfait ou un employé revanchard, qui expriment leurs récriminations.
• Des concurrents qui diffusent de faux avis sur vos produits ou services.
• Un employé imprudent qui dévoile des informations secrètes ou confidentielles sur votre entreprise.
• Diffusion accidentelle d’un message à visée privée sous forme de message public.

Les pirates utilisent également les réseaux sociaux pour récupérer des informations qui leurs seront utiles lors d’attaques de type ingénierie sociale.

Les données personnelles et confidentielles que vous partagez sur les réseaux sociaux : nom, prénom, date de naissance, photos, réseau d'amis, adresse de messagerie électronique, loisirs, voire dates de départ en congés sont autant d'indications pouvant faciliter la tâche d’un fraudeur pour déduire vos mots de passe, usurper votre identité ou vous manipuler pour préparer une attaque technique.

Comment garder vos informations confidentielles sur les réseaux sociaux ?

Ayez en tête ces quelques bonnes pratiques lorsque vous souhaitez partager des informations sur ces outils.

• Lisez les politiques de confidentialité
• Vérifiez dans vos paramètres les informations partagées.
• Invitez et n’acceptez que des personnes que vous connaissez (particulièrement sur les réseaux qui ne permettent pas de limiter la visibilité de vos publications à des listes de contacts que vous aurez définies).
• Déterminez auprès de qui vous rendez visibles vos informations et vérifiez la vue que les autres utilisateurs ont de votre profil.
• Paramétrez une validation des identifications (« tags ») qui sont faites sur vous, avant leur publication.

Comment éviter les arnaques ?

Restez prudent vis-à-vis des vidéos promotionnelles aux titres sensationnels.

Soyez vigilant avec les publications qui demandent un ajout en ami ou un « pouce levé », avant de pouvoir vous donner accès à davantage de contenu.

Une des principales idées reçues par les utilisateurs, tant dans la sphère privée qu'en entreprise, consiste à penser que les cybermalveillances ne les concernent pas.

Si dans les débuts de l'informatique, le seul risque encouru était de voir son ordinateur dysfonctionner à cause d'un virus, les attaques peuvent désormais avoir de bien plus fâcheuses conséquences.

• Mon authentification est-elle assez forte ?
• Cherche-t-on à faire diversion ?
• Est-ce une personne de confiance ?
• Est-ce du hameçonnage ?
• Pourquoi suis-je mis sous pression ?
• Fais-je fuir des informations confidentielles ?

Sans pour autant se décourager d'utiliser les nombreuses possibilités offertes par le développement d'Internet, il est au contraire important de démystifier les attaques informatiques qui touchent notre quotidien et de présenter des moyens simples et efficaces d'éviter d'en être victime. La sécurité passe avant tout par la connaissance et la compréhension des risques.

Nous allons donc voir dans les parties suivantes comment utiliser Internet de manière plus sécurisée afin d'éviter d'être victime d'actes de malveillance.