30 Aout 2022
CYBERSECURITE – menaces en réseaux : Et si vous étiez concerné ?
CYBERSECURITE - menaces en réseaux : Et si vous étiez concerné ?
Le 8 décembre 2020, les ingénieurs de la société américaine de cybersécurité FireEye déclarent avoir découvert une attaque sur leurs serveurs. 4 jours plus tard, la même entreprise annonce que cette attaque était en fait bien plus complexe qu’envisagé et qu’elle ciblait des organisations publiques et privées dans le monde entier. Pire : l’attaque aurait commencé 10 mois auparavant et serait toujours en cours.
Celle qu’on appellera le Solarwinds hack vient d’être découverte. C’est la plus grosse cyberattaque jamais identifiée à ce jour. En installant un malware nommé Sunburst au sein d’un logiciel de gestion informatique baptisé Orion, utilisé par plus de 18 000 organisations privées et publiques aux Etats-Unis, les pirates ont eu accès à des quantités colossales d’informations, compromettant des secrets d’Etat et exposant les données personnelles et professionnelles de dizaines de millions d’utilisateurs.
Cette attaque d’une ampleur et d’une complexité inédites ciblant des institutions réputées solides révélait, en creux, la vulnérabilité de nos environnements numériques.
La santé : une cible de choix
Les pirates n’ont pas de scrupules. Seul compte le gain potentiel. C’est pourquoi les attaques sont souvent associées à des opportunités de gains. Plutôt que kidnapper des gens, les pirates digitaux capturent les données sensibles et exigent une rançon en retour, avec parfois des conséquences potentielles dramatiques.
Ainsi, on a vu récemment plusieurs hôpitaux être victimes de piratages informatiques appelés Ransomware*. Le principe est aussi simple que glaçant : les pirates pénètrent le réseau informatique de l’hôpital et cryptent l’ensemble des données. Pour pouvoir les récupérer, il faut une clé de décryptage… Que les pirates monnayent. La chose est arrivée au Centre hospitalier de Corbeil-Essonnes au mois d’août dernier, avec une rançon exigée de 10 millions d’euros.
En 2019, ce ne sont pas moins de 120 hôpitaux qui avaient été impactés de la même manière et l’on sait que ces attaques, qui perturbent fortement le fonctionnement des institutions, augmentent de plus de 20% le taux de mortalité des hôpitaux attaqués.
Plus spectaculaire que les institutions publiques ou les entreprises, la santé est ainsi un secteur privilégié par les pirates, car
- la digitalisation rapide du secteur a souvent négligé les questions de sécurité,
- Les données santé des patients se revendent très cher au marché noir
- Les dispositifs médicaux sont nombreux, variés et très peu protégés
- Les personnels de santé ne sont pas formés (et ils ont autre chose à faire) à ces questions de sécurité
Ces groupes de pirates, bien organisés, constituent une nouvelle pègre, même si elle est parfois étonnante (le leader d’un groupe baptisé Lapsus$, qui s’était attaqué à Microsoft ou Oracle, n’avait que 16 ans lorsqu’il a été arrêté…), et tout le monde est potentiellement concerné.
Le côté obscur de la force
Mais s’il existe des pirates, c’est qu’il y a aussi des corsaires. Plusieurs entreprises de cybersecurité exploitent les mêmes techniques que les pirates pour satisfaire la demande de particuliers un peu trop curieux, d’entreprises peu regardantes sur les règles de la concurrence ou même d’Etats… On a ainsi vu récemment éclater le scandale Pegasus . Ce logiciel, développé par une entreprise israélienne, utilisait ce que l’on appelle une Vulnérabilité Zero day** pour infecter les téléphones de dirigeants d’entreprise, de journalistes, de ministres ou de chefs d’Etat pour capter leurs conversations, leurs contacts et leurs messages… Et pas moins de 5 pays européens l’ont utilisé pour espionner leurs voisins…
Les Etats utilisent donc eux aussi l’arme cyber pour servir leurs intérêts géopolitiques, comme on pu le voir récemment quelques jours avant l’invasion russe en Ukraine, quand les sites gouvernementaux ont été brièvement piratés pour afficher un message disant « craignez le pire ».
Le trésor de Rackham le cyberpirate
Nous avons tous dans nos poches des smartphones. Nos maisons sont équipées de tablettes, d’ordinateurs, d’appareils connectés, animés par des systèmes ultra performants et sophistiqués (imaginez que la NASA a envoyé des hommes sur la Lune avec la puissance de calcul d’un iPhone 1 !). Mais qui dit sophistiqué dit complexe. Or on sait que le diable peut se nicher dans les détails et, en l’occurrence, ouvrir grandes les portes de nos vies digitales à des individus aux intentions douteuses, gourmands de données personnelles qu’ils peuvent échanger contre des espèces sonnantes et trébuchantes. Pour l’anecdote, on estime qu’en 2030, les dommages causés par les pirates informatiques s’élèveront à plus de 250 milliards de dollars.
On a vu par le passé de grands acteurs comme Yahoo! se faire dérober des milliards d’identifiants et de données associées (oui vous avez bien lu, ce sont 3 milliards de comptes qui ont été piratés. Mais la menace s’est aujourd’hui déplacée au plus près de la population. Nos données valent de l’or car elles peuvent être revendues et servir :
- à des fins commerciales à travers des publicités ciblées et non sollicitées (car vous imaginez bien que la RGPD n’est pas dans le cahier des charges des pirates) ;
- à vous envoyer des masses colossales de spams ;
- à exploiter vos données bancaires pour effectuer des achats en ligne
- à pirater vos réseaux sociaux pour, par exemple, tenter d’escroquer vos contacts
Avec l’arrivée et le développement probable des Métavers dont nous vous parlions dans un précédent article où l’usage des cryptomonnaies sera privilégié (on vous en a parlé aussi), l’explosion du nombre des objets connectés (18 milliards actuellement, et une croissance exponentielle), et de ce que l’on appelle donc l’IOT (Internet of Objects), les risques de piratage vont se démultiplier et s’en prémunir sera de plus en plus complexe.
Si l’Etat commence à prendre la mesure du problème et commence à proposer des solutions, il est ainsi indispensable de mettre en place des mesures pour améliorer la sécurisation de nos données personnelles.
cybersécurité Nos conseils pour vie 2.0 plus sûre
Le risque zéro n’existe pas, mais on peut cependant s’en approcher en mettant en place quelques mesures simples pour protéger nos données, qu’elles soient sur nos ordinateurs ou dans notre poche, bien au chaud sous la coque de notre smartphone.
- Changez et sécurisez vos mots de passe
De la même manière que de très nombreux piratages sont rendus possibles par ce que l’on appelle l’ingénierie sociale, nos mots de passe sont souvent faciles à deviner. On raconte même que pendant longtemps le mot de passe du directeur de la banque de France était 123456 ! Changez vos mots de passe pour des clés aléatoires mêlant chiffres, lettres et caractères, qui peuvent prendre des milliards d’années à décoder (contre quelques secondes pour un mot de passe composé uniquement de chiffres) et utilisez un gestionnaire de mot de passe pour les conserver.
- Être attentif aux permissions que l’on accorde aux applications
Une application de chatons mignons n’a pas besoin d’accéder à vos contacts ou à votre appareil photo… Il est difficile de surveiller les millions d’applications disponibles sur les stores IOS ou Android et certains en profitent pour ouvrir des grandes portes dans nos smartphones. Il est donc essentiel de bien vérifier ce à quoi l’application que l’on installe a accès. - Evitez les wifi publics non sécurisés
Vous ne laisseriez pas la porte et les fenêtres de votre domicile ouvertes pendant que vous êtes en balade. C’est exactement pareil avec les wifi publics. Mieux vaut utiliser votre forfait data, le partage de connexion ou un VPN qui chiffre toutes les données sortant de votre téléphone ou de votre ordinateur. - Limiter l’usage des réseaux sociaux.
Il y a quelques mois le scandale Cambridge Analytica a mis en lumière la disponibilité de nos données personnelles, et les actions malveillantes ciblées qui en découlaient sur Facebook. Nous donnons chaque jour énormément d’informations sur nous-mêmes. Localisation, personnes proches, opinions politiques, goûts vestimentaires ou culinaires nous appartiennent. Plus on les partage, plus nous serons ciblés. - Evitez les cookies
Pas question ici de vous parler régime minceur et summer body ! Il s’agit des petits fichiers que les sites déposent sur votre ordinateur et qui conservent des informations plus ou moins indiscrètes sur vos habitudes de navigation. Historique de recherches, pages visitées, images cliquées… Autant d’informations qui ne regardent que nous et qu’il faut donc protéger en vidant les cookies régulièrement.
Les pirates vont là où l’effort est le moins coûteux. Ces quelques conseils, même s’ils ne sont pas exhaustifs, vous rendront moins appétissants aux yeux des hackers, que vous soyez un particulier ou une entreprise, une association ou un grand groupe.
En conclusion
Quoi qu’il en soit, l’univers digital n’est pas cette riante prairie numérique où l’on peut évoluer sans risques. Là aussi le danger rôde, et il est bon de le savoir avant de s’y aventurer, en prenant quelques précautions assez simples.
Au-delà, c’est dans le professionnalisme et l’expertise que réside la meilleure des sécurités.
Vous avez un projet de présence digitale, que ce soit un site web, e-commerce ou une application mobile ? Contactez les équipes digitale de l’agence Karma Communication à Nice ou Paris !
* Ransomware : françisé en Rançongiciel, un ransomware est un logiciel qui, une fois installé sur un réseau, en crypte toutes les données, les rendant illisibles à qui n’a pas la clef pour les décoder.
** Vulnérabilité Zero Day : se dit d’une faille informatique n’ayant jamais été documentée ni corrigée.
Suivez l’actualité des réseaux sociaux avec l’agence Karma Communication Globale et Digitale.
