© Shutterstock
© Shutterstock

Loin de la version fantasmée de l'anti-héros à l'âme torturée qui fait un usage éthique et/ou politique des technologies – oui c'est bien de toi qu'on parle Mr. Robot –, les hackers travaillent, pour très grande majorité dans une logique purement mercantile. Avec le gain personnel comme finalité, tous les moyens sont bons ; quelles sont leurs cibles et moyens privilégiés, nos réponses dans cet article.

Alors que nous subissons toujours les effets de la pandémie et la mutation de notre usage du web qu'elle a entraîné, les pirates informatiques travaillent eux aussi à exploiter les nouvelles opportunités qu'y s'offrent à eux dans cet environnement. Minage de cryptomonnaie, vol de données personnelles ou de numéro de carte bancaire : la menace pèse sur bien des aspects de notre vie numérique. Mais alors, comment se protéger ?

Utilisateur, vous êtes « le maillon faible ».

Aujourd'hui les failles logicielles, celles s'appuyant sur des vulnérabilités dans le système d'exploitation, le navigateur ou tout autre application, ne sont plus vraiment les portes d'entrées favorites des pirates en raison de leur raréfaction. Avec une pandémie ayant poussé de nombreux novices de la cybersécurité dans le télétravail et le tout-numérique, l'ingénierie sociale et phishing ont pris le pas pour devenir les méthodes les plus en vogues.

Phishing

Un dicton populaire dans les services informatiques veut que « la plus grande des failles de sécurité, c'est l’interface chaise-clavier » : à savoir, l'utilisateur. Car oui, en 2021, c'est l'Homme qui se trouve être la faille impatchable qui profite tant aux hackers.

À travers un mail bien élaboré, il est possible de se faire passer pour une entreprise ou une autorité et ainsi soutirer des informations intéressante comme un mail, un identifiant, un mot de passe voire pire, des données bancaires ou même une pièce d'identité. Avec les attaques dites « sans fichier », il suffit parfois même d'un clic sur un lien en apparence inoffensif pour ouvrir la voie à des attaques plus sérieuses. Discerner le vrai du faux devient alors une compétence clé pour naviguer dans sa boite de réception.

Où les pirates trouvent-ils les données ?

Une voire deux décennies en arrière, le manque de connaissance de la majorité des utilisateurs en faisait des cibles faciles. Les choses ont bien changé aujourd'hui. Les hackers n'ont aujourd'hui plus cet ascendant sur le reste des utilisateurs qui ont eu le temps d'apprendre à naviguer les eaux troubles du web et se protéger des entités malveillantes. C'est d'autant plus vraie avec la génération Z qui est née alors que le numérique était déjà bien installé dans la société.

Les attaques directes demandant trop d'efforts aux pirates pour le bénéfice apporté, ces derniers se tournent de plus en plus vers des entreprises et des institutions. Leur nouvelle cible ? Vos données. Après tout, pour recevoir un mail de phishing, il faut bien que le hacker ai obtenu votre adresse mail quelque part auparavant.

Le hacking à l'ère du Big Data

Les données sont souvent présentées comme le pétrole de la quatrième révolution industrielle que nous vivons actuellement, et pour cause : elles sont partout et disponible en quantité faramineuse… pour qui sait où creuser. Ça, les hackers l'ont bien compris, et c'est pourquoi ils délaissent peu à peu les attaques sur les individus pour s'attaquer aux entreprises qui stockent, achètent, vendent et manipulent des gros volumes de données. Qu'ils s'agissent d'annonceurs se rémunérant grâce à la publicité ciblée, de cabinet d'analyse et de conseil comme Cambridge Analytica ou d'e-commerçants, le précieux pétrole binaire est à portée de mains de ceux assez ingénieux pour trouver la fissure dans le système. N'oublions pas non plus les institutions qui sont également de vrais viviers souvent peu sécurisé… pas besoin de remonter à très loin pour trouver un exemple : en février 2021, l'hôpital de Villefranche-sur-Saône a été victime d'une cyber-attaque de grande ampleur qui a vu beaucoup de données être compromises, dont des numéros de sécurité sociale.

Mais une fois ces données extraites par centaines de milliers, parfois même par millions, à quoi servent-elles ? Eh bien tout dépend. Chez les pirates, des « spécialisations » existent et ceux qui volent des données ne sont pas forcément ceux qui s'en servent. Sur le dark web, de nombreux forums et market places existent pour monnayer ces volumes de données à qui sait mettre la main au portefeuille. Tout cela se fait hélas au nez et à la barbe des autorités et des entreprises qui ne peuvent intervenir sur ces plateformes aucunement régies par une quelconque législation.

Les cryptomonnaies ne vous mettent pas à l'abri de mauvaises surprises

Les cryptomonnaies ne sont pas non plus épargnées par ces attaques. On pourrait croire que leur nature dématérialisée dissuade les hackers, mais il n'en est rien. Une fois de plus, c'est du côté des utilisateurs et des institutions que les as du crime vont se tourner pour commettre leurs méfaits.

Un mail de phishing promettant du Bitcoin

Du côté des utilisateurs, en plus s'en prendre directement aux Wallets peu sécurisés, les hackers peuvent installer des logiciels qui utilisent une partie de la puissance de calcul de l'ordinateur de leur victime pour miner des crypto-devises. Pour ce qui est des institutions, les plateformes d'échanges ne sont pas étrangères aux attaques en tout genre, et de nombreuses ont réussi, même parmi les grands noms du marché. Au début du mois d'octobre, c'est Coinbase qui était victime d'une attaque touchant près de 6000 de ses clients.

Comment se protéger ?

Bien que les données soient plus souvent volées chez une entreprise, cela ne signifie pas pour autant que les particuliers ne sont plus ciblés par les logiciels malveillant ou par les attaques. Certes, les plus rentables sont celles tournées vers les entreprises mais n'oubliez pas que certains virus sont juste là pour nuire, gratuitement, ou que certains botnets sont capables de faire miner de la cryptomonnaie à des millions d'ordinateurs dans le monde; ce qui est, pour le coup, plutôt rémunérateur.


Il vous faudra donc vous protéger, au minimum avec une solution gratuite, ou mieux avec une suite de sécurité complète telle que celle de notre partenaire du jour : Avast Ultimate 2021.

Mieux vaut prévenir que guérir

La majorité des menaces viennent du web, c'est donc de ce côté qu'il faut se tourner pour mettre en place des bonnes habitudes et commencer à se protéger. Pour vos données, plusieurs bonnes habitudes sont à prendre dès maintenant. Premièrement, n'hésitez pas à activer l'authentification à deux facteurs. Mieux vaut deux méthodes pour se connecter plutôt qu'une seule, surtout quand la seconde est matérielle (smartphone, clé physique ou authentification biométrique). L'authentification à deux facteurs est souvent implémentée nativement dans beaucoup de sites et services par l'éditeur. Mais pour ceux où ce ne serait pas le cas, Google Authenticator et Authy existent.

L'utilisation d'un VPN est également recommandée pour limiter la collecte de données à l'aide de cookies tiers par les annonceurs. Couplé à des services comme « S'identifier avec Apple » offrant la possibilité de créer des adresses mail à la volée, ils rendent la navigation bien plus anonyme et aident à limiter le nombre de données personnelles atterrissants entre les mains d'entreprises pouvant compter des failles dans leur système.

Pour ce qui est de vos moyens de paiement, le meilleur moyen de se prémunir est tout simplement de ne pas enregistrer vos informations bancaires sur les e-commerces et de préférer PayPal… avec la double authentification d'activée bien entendu.

Le mal est fait, comment réagir ?

Si vous savez que vos données ont été compromises, la première chose est d'identifier lesquelles exactement. Un mot de passe compromis ? Un nouveau mot de passe et l'activation de l'authentification à deux facteurs devraient endiguer les futures attaques dans l'éventualité où vos données tomberaient entre de mauvaises mains. Dans le cas de vos données bancaires, prenez immédiatement contact avec votre banque pour les prévenir et bloquer temporairement votre carte bancaire ou tout autre moyen de paiement enregistré.

AVAST, votre partenaire dans la protection de vos données (et de vos deniers )

Notre partenaire du jour, Avast, est reconnu pour sa suite de sécurité, en plus de proposer un antivirus performant qui protège efficacement des attaques frontales. Une fonctionnalité anti-phishing analyse systèmatiquement les liens et fichiers en pièce jointe pour s'assurer que ceux-ci ne soient pas infectés. La suite propose également un module du nom de « BreachGuard » qui analyse en temps réel le dark web et les signalements de fuite de données pour y trouver les votre. Le module s'occupe également d'envoyer des requêtes de suppression de données aux annonceurs et autres courtiers de données.

Cerise sur le gâteau, Avast Ultimate propose le VPN SecureLine en illimité, de quoi surfer sur le web tout en se protégeant d'annonceurs aux cookies tiers gourmand en données.

  • Protection complète et efficace
  • VPN illimité
  • Logiciels additionnels de qualité
8 / 10