Pendant le confinement, le nombre de cyberattaques a explosé. Cette fois-ci, les pirates ont ciblé les petites et moyennes entreprises et leurs salariés, précipités en télétravail en raison de l'urgence de la crise sanitaire. Beaucoup n'étaient pas préparés à cette révolution digitale.
Avec les confinements et l’obligation de télétravailler pour ceux qui le peuvent, notre société a vécu une transition digitale en accéléré.
Plusieurs millions de Français ont dû s’organiser rapidement, parfois dans la panique, pour poursuivre leurs tâches professionnelles à domicile à l’aide de leurs ordinateurs personnels ou ceux prêtés par leur entreprise.
Cette précipitation a été une véritable aubaine pour les hackers qui ne se sont pas privés de multiplier leurs attaques auprès des PME, TPE et de leurs salariés en télétravail.
Quelles sont les techniques des pirates ?
Il existe plusieurs techniques mises en place par les hackers. Celle qui vise particulièrement les personnes en télétravail est le phishing, ou hameçonnage.Il se pratique par le biais des adresses mail, et permet au pirate d'usurper votre identité, en récupérant vos mots de passe, votre liste de contacts, votre code bancaire...
Le phishing est parfois doublé d'un Vishing, c'est-à-dire d'un appel vocal.
"On vous envoie un mail pour vous hameçonner et on vous appelle dans la foulée", explique Thomas Kerjean, expert en cybersécurité, directeur général de la société marseillaise Mailinblack.
"Cela se pratiquait déjà auprès des grandes sociétés. La nouveauté, c'est que les pirates le pratiquent désormais aussi contre les PME et leurs salariés".
[#ContreLesArnaques] Avec le #télétravail, nous sommes amenés à utiliser davantage la #visioconférence. Or, il existe des pièges à éviter, comme le #phishing. Explications avec Catherine Chambon, sous-directrice de la lutte contre la cybercriminalité à la #PoliceJudiciaire. https://t.co/0TlnJMMYtk
— Police nationale (@PoliceNationale) May 28, 2020
De leur côté, les entreprises doivent faire face plus particulièrement au ransomware. Il s'agit d'une demande de rançon réclamée par l'arnaqueur.
Marseille Métropole en a été victime le 12 mars dernier, à la veille du premier tour des élections.
Le procédé consiste à bloquer et à crypter tout le système d’information jusqu'à l'obtention d'une rançon.
Ces différentes cyberattaques sont nombreuses et représentent un marché de l'ombre florissant.
En temps normal, un conseil régional ou un hôpital génèrent environ 3 millions et demi de mails entrants et sortants par mois. Sur ce volume, vous avez 24000 tentatives de phishing ou de ransomware.
Mais en temps de crise, les arnaques se sont démultipliées. Les hackers ont profité de l'épidémie.
En janvier, on constatait quelque 1 200 attaques informatiques liées au Covid-19. En avril, on en comptait 380 000. "Les pirates ont profité de la détresse circonstancielle des gens pour opérer du phishing, tenter des fraudes", indique Gwénaël Rouillec, directeur de la cybersécurité de Huawei France, à Francetvinfo. "Par exemple en prétextant d’offrir des masques pour se protéger du Covid, ou de donner de l’argent pour soutenir des hôpitaux."
Pourquoi les salariés en télétravail sont-ils une cible ?
Pour des millions de personnes, le télétravail a été une chose totalement nouvelle.Si les grands groupes étaient déjà équipés en système de protection informatique et avaient anticipé le télétravail, le changement en revanche, s'est avéré rude pour de nombreuses PME.
Les directeurs d'informatique (RSSI) se sont évertués à équiper en urgence les ordinateurs de technologie VPN, c'est-à-dire de réseaux privés virtuels afin de sécuriser les échanges et les données entre les employés en télétravail, et leur entreprise.
Des achats massifs de PC ont été effectués à la hâte. Faute de matériel, bon nombre de salariés ont poursuivi leur tâches depuis leur ordinateur personnel.
Vous êtes nombreux à travailler depuis chez vous en #teletravail. N'oubliez pas que vos données sont vulnérables : phishing, risques de piratage ou rançongiciels. Orange vous présente 5 technologies qui facilitent la protection de vos données ? https://t.co/mdOOZhXC6S
— Orange (@orange) March 19, 2020
Sans formation spécifique, ni matériel, des milliers d'employés se sont retrouvés chez eux sans être préparés au télétravail, ni en connaître les risques informatiques.
"Je pense que cette situation a été très anxiogène pour cette population de travail qui s’est retrouvée à domicile, pas organisée, sans espace dédié à cette nouvelle forme de travail", souligne Thomas Kerjean.
Ce stress, et ce manque de préparation ont fait la part belle aux pirates du cyberespace.
"Dans ce contexte là, votre cerveau est particulièrement réceptif à une tentative de phishing", poursuit le spécialiste. "L'inattention est la porte d'entrée."
Quels pièges pour la personne en télétravail ?
Par un faux mail, le hacker peut pénétrer votre intimité, et accéder à vos données confidentielles. En général, il sait trouver des subterfuges pour vous faire décliner votre mot de passe et votre login, en se faisant passer pour votre banque, votre opérateur téléphonique, le trésor public...#Phishing |⚠️Nous ne vous demanderons jamais de communiquer des informations sensibles par mail non sécurisé. En cas de doute, contactez votre conseiller par téléphone ou par messagerie sécurisée, accessible via un ordinateur?& l'application? #MaBanquehttps://t.co/DFp3VMSzbN pic.twitter.com/pff4HuaH8w
— Crédit Agricole AP (@CA_alp_prov) November 24, 2020
Combien d’entre nous utilisent le même mot de passe et le même login pour plusieurs applications?
Et combien encore stockent leurs mots de passe, par exemple de leur compte bancaire, quelque part dans leur boîte mail ?
Chacun de ces détails facilite la tâche du hacker pour accéder à toutes vos données personnelles. Et également à la liste de tous vos contacts, et à leurs adresses mails. L'arnaqueur réplique ainsi la même opération auprès de tous les agendas.
"Par ce biais, le pirate peut entrer dans le réseau informatique de l'entreprise pour laquelle travaille la personne en télétravail", poursuit Thomas Kerjean.
"Avec un ordinateur personnel, on peut contaminer toute l'entreprise s'il est connecté au réseau de la société. C'est une situation particulièrement dangereuse".
C'est la raison pour laquelle les PME essaient au maximum d'équiper leurs salariés, afin de sécuriser les réseaux.
Comment faire face au phishing ?
Bien sûr, il faut sécuriser son ordinateur personnel, vérifier ses connexions wifi, mettre en place des VPN, enregistrer ses dossiers importants sur des disques durs externes ou sur un cloud fiable...Mais pour Thomas Kerjean, la technologie est loin d'être suffisante.
"C'est comme si vous aviez créé une porte blindée pour sécuriser l'accès, mais que vous la laissiez ouverte. Il faut aussi éduquer les humains, comme cela se fait pour n'importe quelle technologie".
Et cela passe par l'apprentissage de la vigilance. Thomas Kerjean estime nécessaire de s'éduquer aux risques de phishing.
"C'est le conseil vraiment le plus concrêt, le plus pratique à nos yeux.Si vous ressentez une anxiété forte, un stress à la lecture d’un mail, ça n’est pas bon signe. Si ça provoque une impression nocive, c’est pas normal. Là vous arrêtez tout, vous devez lever les mains du clavier.
Car dans tous les cas de figure, le phishing ou le ransomware sont anxiogènes".
Pour tester le niveau de vigilance des utilisateurs, la société Mailinblack propose aux chefs d'entreprise de fausses campagnes de phishing au sein de leurs sociétés.
"On avait choisi un mail qui disait : "nous avons déployé une nouvelle solution, merci de cliquer sur ce lien et de saisir vos identifiants", explique Jonathan Lefebvre, directeur technique d'OpenClassrooms, une société de cours en ligne.
Une fois la vulnérabilité humaine démontrée, les spécialistes en cybersécurité proposent une formation pour apprendre à être vigilant face aux faux mails.On a eu 35 personnes sur 270 employés qui ont cliqué sans se méfier. Ce qui est intéressant, c'est que plusieurs salariés se sont doutés de quelque chose et ont pris sur eux d'avertir au plus vite le reste de leurs collègues
Les pirates nous abordent par "le registre de la peur et de l'appât du gain".
Une chose est sûre , précise Thomas Kerjean : "aucun organisme ne vous contacte par mail pour vous demander de l'argent : ni les impôts, pas même la banque, ni aucun commerce".
Que faire une fois hameçonné ?
"Il ne faut surtout pas avoir honte" ajoute Thomas Kerjean. "Si l'on se rend compte que l'on a "ouvert la porte à un phishing", il faut prévenir au plus vite par téléphone, le service informatique de la société".En fonction du niveau de gravité, le service avertira l'ANSSI (organisme gouvernemental chargé d’enquêter en France sur les piratages lorsqu’ils sont très graves).
Pour le reste qui pourrait relever du registre personnel, il faut appeler votre banque et demander à ce que vos comptes soient bloqués.
En France, 24% des salariés sont passés en télétravail lors du premier confinement. Ils repésentent encore 14% durant ce second confinement.
Après plusieurs semaines de négociations, un accord national sur le travail à distance a été conclu le 26 novembre dernier.