Chez soi

Cybercriminalité: se protéger contre le piratage, le phishing, etc.

Partager sur Facebook Partager sur Twitter Partager sur LinkedIn Partager sur Xing Partager par e-mail

Les chiffres de l’Office fédéral de la statistique (OFS) sont alarmants: 350 000 Suisses ont été victimes de fraudes en ligne à la carte de crédit ces douze derniers mois. Ils sont également nombreux à avoir perdu des documents personnels par suite d’attaques de virus. Sur les réseaux sociaux, enfin, les «données suisses»  sont nettement plus souvent piratées que la moyenne européenne.

Nous avons demandé à Katrin Sprenger et à Lukas Keller, de la start-up zurichoise Silenccio, comment identifier les risques sur Internet et déjouer les stratagèmes des escrocs du Web. Silenccio est partenaire de coopération d’AXA depuis 2019: la start-up propose aux particuliers et aux entreprises une aide pour se prémunir contre le harcèlement en ligne, le piratage, le phishing (ou hameçonnage) et les risques liés aux achats sur Internet.

Pourquoi la cybercriminalité gagne-t-elle du terrain?

Katrin Sprenger: On peut partir du principe qu’une utilisation accrue d’Internet augmente aussi le risque d’être victime de la cybercriminalité. De plus, naviguer sur le Web, faire des achats en ligne et utiliser les réseaux sociaux font désormais partie du quotidien de bon nombre de personnes. Si, il y a encore quelques années, les consommateurs hésitaient à saisir en ligne le numéro de leur carte bancaire, ils le font aujourd’hui sans trop y réfléchir. Ces deux aspects profitent aux cybercriminels.

D’après une étude de l’OFS, la cybercriminalité fait plus de ravages en Suisse que dans le reste de l’Europe. Pourquoi?

Lukas Keller: Pour l’Office fédéral de la statistique, ce phénomène est surtout dû à la nonchalance dont font preuve les Suisses lorsqu’il s’agit de protéger leurs données. En 2019, les utilisateurs n’étaient plus que deux tiers à utiliser un logiciel de sécurité, contre trois quart en 2014.

Une autre explication tient, d’après moi, à la combinaison des trois facteurs suivants: la Suisse a été parmi les pionniers de la digitalisation et présente une grande surface d’attaque malgré son faible nombre d’habitants. De plus, le niveau de revenus comparativement élevé de la population en fait une cible intéressante pour les criminels de la Toile.

Enfin, on constate chez les utilisateurs une perception de sécurité subjective qui les incite à une certaine négligence lorsqu’il s’agit de protéger leurs données en ligne. C’est cette somme de facteurs qui fait que les Suisses sont plus souvent frappés que les autres Européens par la cybercriminalité. 

À quelle fréquence dois-je changer mon mot de passe pour l’e-banking et ceux que j’utilise pour mes achats en ligne?

Lukas Keller: La première question à se poser ne concerne pas tant la fréquence de changement que la solidité du mot de passe. La suite de chiffres 1234 est ainsi beaucoup plus rapide à pirater qu’un mot de passe composé d’au moins huit caractères, dont des caractères spéciaux. La plupart des systèmes proposent aujourd’hui directement ce type de mots de passe forts lors du paramétrage de nouveaux comptes. Il est par ailleurs recommandé d’activer, si elle existe, la double authentification (deux preuves d’identité distinctes). Et si, en plus de ces précautions, vous changez toutes les 6 à 8 semaines le mot de passe que vous utilisez sur les sites que vous fréquentez le plus, vous mettrez toutes les chances de votre côté. 

  • Teaser Image
    Katrin Sprenger et Lukas Keller

    Katrin Sprenger est CEO de la start-up zurichoise Silenccio depuis l’été 2019. Cette spécialiste du monde digital a acquis son expertise auprès de diverses agences numériques «full-service» durant plus d’une décennie. Lukas Keller a co-fondé Silenccio et en est le CTO. Il a créé il y a quelques années sa propre agence web et a travaillé dans le domaine du développement commercial pour la Banque Migros.

Le Web recèle-t-il à vos yeux des menaces qui sont sous-estimées, voire inconnues?

Katrin Sprenger: Je dirais que l’un des dangers les plus sous-estimés est l’usurpation d’identité. Pour ce faire, les criminels mettent la main sur des données personnelles, telles que la date de naissance et l’adresse, ou même sur une pièce d’identité ou un acte de naissance scanné. Ces documents sont assez faciles à obtenir après le piratage d’un compte e-mail. Qui d’entre nous n’a jamais été amené à en envoyer par e-mail? Il ne reste alors plus qu’à reconstituer l’identité de la victime et à la revendre sur le Darknet ou à l’utiliser pour conclure des contrats au nom de cette personne. Le but premier d’une usurpation d’identité est toujours de générer de l’argent. 

Ce sont toutefois les risques directement liés aux mouvements d’argent, comme le piratage de comptes bancaires, qui sont à l’origine des pertes financières les plus lourdes.

Katrin Sprenger, CEO de Silenccio

Que me conseillez-vous de faire en cas d’utilisation abusive de ma carte de crédit?

Lukas Keller: La fraude à la carte de crédit sur Internet est comparable au vol physique d’une carte. Le premier réflexe doit donc être de demander le blocage de la carte en question. La différence étant que sur Internet, on ne s’aperçoit pas tout de suite que les données relatives à la carte ont été volées, ce qui peut laisser aux escrocs le temps d’effectuer plusieurs opérations frauduleuses. Épluchez donc soigneusement vos décomptes, et en cas d’irrégularité, rendez-vous sur le site concerné et essayez d’annuler les commandes qui ont été passées.

Sur certains sites, il est possible de voir l’adresse IP et le lieu à partir desquels ont été passées les commandes. Admettons par exemple qu’une opération ait été réalisée depuis le Brésil et que vous puissiez prouver que vous étiez en Suisse à cette date: dans ce genre de situation, la plupart des sites se montrent conciliants. Si vous ne parvenez pas à faire annuler les opérations délictueuses, prenez contact avec l’organisme émetteur de votre carte de crédit. Dans la majorité des cas, le montant du préjudice vous sera remboursé. 

N’oubliez jamais que les enseignes en ligne sérieuses – et notamment les banques – ne vous demanderont jamais par e-mail de leur communiquer vos codes d’accès à un site Internet.

Lukas Keller, co-fondateur et CTO de Silenccio

Ces derniers temps, on note une recrudescence des e-mails de phishing. Que se passe-t-il si j’ouvre un tel message, Lukas Keller?

Lukas Keller: Le fait d’ouvrir un mail de phishing ne constitue pas encore un problème. Vous êtes en danger si vous cliquez ensuite sur le lien qu’il contient et si vous saisissez les données qui vous sont demandées. Les criminels seront alors parvenus à leurs fins: entrer en possession de vos identifiants personnels. Pour ne courir aucun risque, je vous conseille, si par exemple vous recevez un e-mail de votre banque, de ne pas cliquer sur le lien qui y figure, mais de taper manuellement l’URL de la banque dans la barre d’adresse.

Les indices qui trahissent un e-mail de phishing: 

  • Bien souvent, l’orthographe du nom de l’entreprise dans le lien se rapproche beaucoup de l’original, sans être totalement identique. Il s’agit parfois d’une simple inversion de lettres, comme Swissocm.ch au lieu de Swisscom.ch.
  • Le lien vous conduit sur un site Web qui paraît authentique au premier abord, mais dont les menus ne fonctionnent pas tous.
  • L’e-mail contient des fautes d’orthographe.
  • Le nom de l’expéditeur semble normal, mais l’adresse e-mail est suspecte.
  • L’e-mail n’est pas rédigé dans la langue que l’entreprise utilise habituellement dans ses communications par e-mail. Si par exemple les échanges avec votre banque se font d’ordinaire en français, il n’y a aucune raison pour qu’elle se mette soudainement à vous écrire en anglais. 
  • L’e-mail ne contient pas de formule d’appel personnalisée.
  • L’e-mail vous somme d’appliquer ses instructions le plus rapidement possible.

Quelle est la différence entre les e-mails de phishing et ceux infectés par des malwares?

Lukas Keller: Ces deux attaques empruntent la voie du courrier électronique pour toucher leurs cibles. Mais la principale différence tient au fait que le phishing vise à amener le destinataire à saisir ses données sur un site Internet afin qu’elles puissent être enregistrées et utilisées à mauvais escient. les attaques de malwares, quant à elles, ont pour but d’infecter un appareil. Le plus souvent, l’e-mail qui vous est envoyé contient une pièce jointe d’apparence anodine, comme un document PDF ou Word, où se cache un logiciel malveillant. Si vous avez le malheur de cliquer sur cette pièce jointe, le logiciel s’installe en arrière-plan. Son objectif est soit l’effacement des données stockées sur l’appareil, soit leur extraction et leur envoi à des cybercriminels.  

Une étude d’AXA montre que nos clients considèrent les risques en ligne, tels que les virus, l’utilisation abusive des données ou le piratage, comme une réelle menace. Votre expérience confirme-t-elle cette perception? 

Katrin Sprenger: Il faut se garder des jugements à l’emporte-pièce. D’après notre expérience, il y a souvent un fossé entre les risques perçus par les utilisateurs et les scénarios catastrophes qui se produisent dans les faits. L’une des raisons à cela est que les utilisateurs se protègent en priorité contre les menaces qu’ils perçoivent comme réelles. Ainsi, si j’ai peur de me faire voler les données de ma carte de crédit, je vais être extrêmement prudent lorsque je me servirai de ma carte sur Internet, mais peut-être me laisserai-je piéger par une faux site de commerce en ligne. 

Autre exemple: nous sommes pratiquement tous à même de supporter la perte de 100 francs. C’est un risque que nous pouvons mesurer et qui nous apparaît donc réel. En revanche, nous avons du mal à nous imaginer en victimes de harcèlement, et nous avons tendance à sous-estimer les conséquences financières et psychologiques que cela implique: c’est un risque abstrait, que nous ne percevons pas comme réel.  Et pourtant, notre expérience montre qu’une affaire de harcèlement peut avoir des répercussions bien plus lourdes qu’une perte d’argent.  

Glossaire de cybercriminalité

  • Phishing (hameçonnage): tentative d’obtenir, via un e-mail ou un site falsifié, les données personnelles d’une personne et d’usurper son identité afin de lui dérober de l’argent.
  • Piratage: intrusion, par un ou plusieurs pirates, dans un système informatique tiers en mettant à profit une faille de sécurité, dans le but de modifier, supprimer ou subtiliser des données.
  • Malware (maliciel): logiciel malveillant conçu afin d’exécuter des fonctions nuisibles dans le système informatique d’un utilisateur, sans le consentement et à l’insu de ce dernier.
  • Cheval de Troie: type de malware  dissimulé dans une application utile mais exécutant une fonction nuisible en arrière-plan, à l’insu de l’utilisateur.
  • Cyberharcèlement: utilisation des réseaux sociaux, des sites Internet, des salles de chat, des messageries instantanées ou des téléphones mobiles afin d’insulter, de diffamer ou de menacer autrui, d’exercer une contrainte sur lui ou de lui nuire.
  • Faux site de commerce en ligne: site de commerce en ligne falsifié par des escrocs dans le but d’y attirer des acheteurs.
  • Usurpation d’identité: utilisation abusive des données personnelles, c’est-à-dire de l’identité, d’un individu par des tiers malintentionnés.

Articles apparentés

AXA et vous

Contact Déclarer sinistre Postes à pourvoir Médias Courtiers myAXA Commentaires de clients Portail des garagistes S'abonner à la newsletter

AXA dans le monde

AXA dans le monde

Rester en contact

DE FR IT EN Conditions d’utilisation Protection des données © {YEAR} AXA Assurances SA

Nous utilisons des cookies et des outils d'analyse pour améliorer la convivialité du site Internet et personnaliser la publicité d'AXA et des partenaires publicitaires. Plus d'infos: Protection des données