Cybercriminalité: comment se protéger contre le piratage, le phishing, etc.

Les chiffres sur la cybercriminalité sont alarmants: l’Office fédéral de la statistique a recensé plus de 40 000 infractions numériques en 2023, soit une croissance d’environ 31,5% par rapport à l’année précédente. Ces délits ont fait perdre de l’argent ou des données importantes à bon nombre de Suisses et de Suissesses.

Qu’est-ce que la cybercriminalité?

Katrin Sprenger: Par cybercriminalité, on entend des activités illégales qui ont lieu en ligne. En font partie le phishing sous des formes les plus variées, le piratage, les rançongiciels ou encore le harcèlement ou l’usurpation d’identité.

Pourquoi la cybercriminalité gagne-t-elle en force?

Katrin Sprenger: Il est clair qu’en utilisant plus fréquemment Internet avec son ordinateur, sa tablette et son téléphone portable, on augmente aussi le risque d’être victime de la cybercriminalité. De plus, naviguer sur le Web, faire des achats en ligne et utiliser les réseaux sociaux sont des activités toujours plus prisées, qui font désormais partie du quotidien de bon nombre de personnes. Si, il y a encore quelques années, les consommatrices et consommateurs étaient très prudents lorsqu’il s’agissait de saisir en ligne leurs données personnelles ou des informations telles que leur numéro de téléphone ou le numéro de leur carte bancaire, ils les partagent aujourd’hui sans trop y réfléchir. Ainsi, l’augmentation des données divulguées est une aubaine pour les cybercriminels. C’est pourquoi il est conseillé de bien se renseigner sur le thème de la protection contre la cybercriminalité.

Ces derniers temps, on note une recrudescence des e-mails de phishing. Que se passe-t-il si j’ouvre un tel message, Lukas Keller?

Lukas Keller: Le fait d’ouvrir un mail de phishing ne constitue pas un problème en soi. C’est le fait de cliquer ensuite sur le lien que contient ce message et de saisir les données qui vous sont demandées qui vous expose à un danger. Les criminels ont alors atteint leur objectif: entrer en possession de vos identifiants personnels. Pour une meilleure protection, je vous conseille, si par exemple vous recevez un e-mail de votre banque, de ne pas cliquer sur le lien qui y figure, mais de taper manuellement l’URL de la banque dans la barre d’adresse.

Quelle est la différence entre les e-mails de phishing et ceux infectés par des malwares?

Lukas Keller: Ces deux méthodes empruntent la voie du courrier électronique pour toucher leurs cibles. Mais la principale différence tient au fait que les attaques de phishing visent à amener le destinataire à saisir ses données sur un site Internet afin qu’elles puissent être enregistrées et réutilisées à mauvais escient.

Les e-mails de malware, quant à eux, cherchent à infecter des systèmes et des terminaux, en général des ordinateurs. Généralement, l’e-mail qui vous est envoyé contient une pièce jointe d’apparence anodine, comme un document PDF ou Word, où se cache un logiciel malveillant. Si vous avez le malheur de cliquer sur cette pièce jointe, le logiciel s’installe en arrière-plan. Son objectif est soit l’effacement des données stockées sur l’appareil, soit leur extraction et leur envoi à des cybercriminels.

Doxing, Fuzzing, Spear-Phishing, Ransomware, Pharming? Notre glossaire sur la cybercriminalité présente les principales infractions dans ce domaine.

Vous recevez régulièrement des SMS vous demandant de payer de petits montants correspondant à des frais de douane pour que votre colis puisse être distribué?

Lukas Keller: Il s’agit d’un cas de smishing, une méthode d’hameçonnage désormais répandue dans le monde entier. Parfois, les clientes et les clients ne savent plus exactement quels colis ou commandes ils doivent recevoir. Les escrocs en profitent et envoient par SMS un lien qui renvoie vers une page sur laquelle de petits montants peuvent être payés par carte de crédit. Au final, le problème n’est pas tant la perte d’une petite somme, souvent inférieure à cinq francs, que le dommage causé par la saisie des données de la carte de crédit.

Avec ces données, en effet, les arnaqueurs disposent du nom du titulaire de la carte, du numéro de carte et du numéro CVV et peuvent, dans le pire des cas, vider le compte bancaire rattaché à la carte de crédit.

Comment savoir si le SMS reçu est authentique ou une tentative de smishing?

Lukas Keller: Souvent, ces textes ne se différencient pas d’autres messages authentiques. Il est donc presque impossible de vérifier leur authenticité avec le SMS seul. Cependant, les principaux services de livraison de colis comme DHL ou la Poste envoient généralement un e-mail pour annoncer l’arrivée d’un colis. Si l’on clique sur le lien contenu dans cet e-mail pour suivre l’envoi, on accède à son espace personnel indiquant les colis à recevoir. Les montants qui restent éventuellement à payer y sont également affichés.

Notre conseil: créez un compte client sur le site du transporteur. Dès que vous recevez un SMS, connectez-vous à votre compte et vérifiez s’il reste des montants à payer pour les colis que vous attendez. 

Quels sont les principaux dangers du numérique en télétravail?

Katrin Sprenger: Comme de plus en plus de personnes travaillent depuis chez elles, la cybercriminalité a fait un grand bond en avant. Les cybercriminels ont changé de méthode et ont suivi les gens chez eux. Ils essaient de plus en plus d’exploiter les failles informatiques, car il est pratiquement impossible de garantir à la maison le même niveau de sécurité élevé qu’en entreprise. Les dangers du numérique ne datent certes pas d’hier, mais ils se sont renforcés avec le passage aussi rapide que massif au télétravail.

Premier danger: les terminaux. 

Les entreprises qui ne sont pas en mesure de fournir un ordinateur portable par personne salariée fonctionnent souvent selon le principe «Use your own device». Dès lors, les pirates ont beau jeu de s’engouffrer dans les appareils et des environnements «anciens», dépourvus de systèmes de sécurité, de mises à jour logicielles ou d’antivirus, pour accéder de manière illicite aux données qu’ils contiennent.

Deuxième point faible: le WiFi. Pour travailler en home office, il faut une connexion Internet, et pour ce faire on utilise le réseau WiFi domestique.

Or nul n’ignore que les mots de passe utilisés pour les réseaux privés sont si simples que les pirater est un jeu d’enfant. Et c’est précisément là où les réseaux sont vulnérables que les pirates opèrent pour s’approprier des données confidentielles ou glisser des virus et autres chevaux de Troie.

Troisième risque: les e-mails

Les collaboratrices et les collaborateurs en télétravail en savent quelque chose, puisqu’ils sont régulièrement bombardés d’e-mails de phishing, généralement destinés à forcer l’accès à des données sécurisées au moyen de logiciels malveillants ou d’informations falsifiées. Les pirates ne reculent devant rien: citons notamment les liens vers des sites Internet frauduleux ou les e-mails portant une adresse d’expéditeur connue, par exemple celle du supérieur hiérarchique. En l’occurrence, la défaillance relève plus souvent de l’erreur humaine que du problème de sécurité. Car le facteur humain reste le point faible: les e-mails de phishing sont ouverts par ignorance, des pièces jointes dangereuses sont téléchargées et enregistrées sur l’ordinateur par naïveté, ou des mots de passe d’accès sont transmis en toute innocence à de prétendus prestataires informatiques.

À cela s’ajoute que les applications de messagerie, surtout sur des terminaux mobiles, sont souvent défaillantes en termes de sécurité et ouvrent grand la brèche aux cybercriminels.

Comment protéger son ordinateur et celui de l’entreprise contre les cybercriminels?

Katrin Sprenger: À domicile, en l’absence d’administrateurs informatiques, la responsabilité de chacun est plus engagée que jamais. Il est dès lors primordial de sensibiliser chaque collaboratrice et chaque collaborateur, et de prendre les mesures de cybersécurité qui s’imposent dans le nouvel environnement de travail.

Pour protéger votre terminal, le meilleur conseil reste d’installer un logiciel antivirus performant et complet. Ses fonctions de sécurité vous protègent contre bien des dangers cités plus haut, même si le risque zéro n’existe pas.

Enfin, il importe aussi de protéger les appareils à domicile contre les accès non autorisés: dans l’idéal, les ordinateurs et les téléphones mobiles de l’entreprise passent en mode veille avec une protection par mot de passe en cas de non-utilisation prolongée et sont mis hors de portée de toute personne extérieure.

Que me conseillez-vous de faire en cas d’utilisation abusive de ma carte de crédit?

Lukas Keller: La fraude à la carte de crédit sur Internet est comparable au vol physique d’une carte. Le premier réflexe doit donc être de demander le blocage de la carte en question. Or entre le vol des données de la carte de crédit et le moment où l’on commence à découvrir l’utilisation frauduleuse, il se peut qu’un certain temps se soit écoulé et que plusieurs retraits aient déjà été effectués. Épluchez donc soigneusement vos décomptes, et en cas d’irrégularité, rendez-vous sur le site concerné et essayez d’annuler les commandes qui ont été passées.

Sur certains sites, il est possible de voir l’adresse IP et le lieu à partir desquels ont été passées les commandes. Par exemple, si un prélèvement a eu lieu depuis le Brésil alors que vous pouvez prouver que vous étiez en Suisse, la plupart des exploitants de plates-formes se montrent conciliants. Si vous ne parvenez pas à faire annuler les opérations délictueuses, prenez contact avec l’organisme émetteur de votre carte de crédit. Dans la majorité des cas, le montant du préjudice vous sera remboursé.

À quelle fréquence dois-je changer mon mot de passe pour l’e-banking et ceux que j’utilise pour mes achats en ligne?

Lukas Keller: La première question à se poser ne concerne pas tant la fréquence de changement que la solidité du mot de passe.  La suite de chiffres 1234 est ainsi beaucoup plus rapide à pirater qu’un mot de passe composé d’au moins huit caractères, dont des caractères spéciaux. La plupart des systèmes proposent aujourd’hui directement ce type de mots de passe forts lors du paramétrage de nouveaux comptes. Il est en outre recommandé d’activer en plus l’authentification à deux facteurs, si elle est proposée.Et pour plus de sécurité, changez de mot de passe toutes les six à huit semaines, sur toutes les plates-formes que vous utilisez régulièrement.

Selon une étude de l’Office fédéral de la statistique (OFS), les Suisses et Suissesses sont très souvent victimes de cybercriminalité par rapport aux autres pays européens. Pourquoi?

Lukas Keller: Selon l’OFS, cela s’explique surtout par le laxisme des Suisses concernant la protection de leurs données. En 2019, seuls deux tiers des utilisateurs et utilisatrices avaient recours à des logiciels de sécurité, contre trois quarts en 2014.

Une autre explication tient, d’après moi, à la combinaison des trois facteurs suivants: la Suisse a été parmi les pionniers de la digitalisation et présente une grande surface d’attaque malgré son faible nombre d’habitants.De plus, le niveau de revenus comparativement élevé de la population en fait une cible intéressante pour les criminels de la Toile.

Enfin, on constate chez les utilisateurs et utilisatrices une perception de sécurité subjective qui les incite à une certaine négligence lorsqu’il s’agit de protéger leurs données en ligne. C’est cette somme de facteurs qui fait que les Suisses sont plus souvent frappés que les autres Européens par la cybercriminalité.

Le Web recèle-t-il à vos yeux des menaces qui sont sous-estimées, voire inconnues?

Katrin Sprenger: Je dirais que l’un des dangers les plus sous-estimés est l’usurpation d’identité. Pour ce faire, les criminels mettent la main sur des données personnelles, telles que la date de naissance et l’adresse, ou même sur une pièce d’identité ou un acte de naissance scanné. Ces documents sont assez faciles à obtenir après le piratage d’un compte e-mail. Qui d’entre nous n’a jamais été amené à en envoyer par e-mail? Il ne reste alors plus qu’à reconstituer l’identité de la victime et à la revendre sur le Darknet ou à l’utiliser pour conclure des contrats au nom de cette personne. Le but premier d’une usurpation d’identité est de générer de l’argent. Dans ce domaine de la cybercriminalité, une protection adéquate est donc indispensable.