Vous utilisez un navigateur obsolète, qui risque d’engendrer des problèmes techniques ou d’affichage.
OK, FERMER
En 2022, plus de 33 000 infractions dans le domaine de la cybercriminalité ont été signalées en Suisse. Près de 7000 infractions, soit 23% de plus qu’en 2021, concernent des sites de petites annonces: les internautes commandent des articles, mais ne les reçoivent jamais. De plus, les escroqueries concernant les investissements en ligne ont augmenté de près de 30% par rapport à l’année dernière: les pirates leurrent leurs victimes en faisant miroiter de gros bénéfices sur des sites frauduleux et empochent les sommes versées.
Pourquoi la cybercriminalité gagne-t-elle du terrain?
Katrin Sprenger: On peut partir du principe qu’une utilisation accrue d’Internet augmente aussi le risque d’être victime de la cybercriminalité. De plus, naviguer sur le Web, faire des achats en ligne et utiliser les réseaux sociaux font désormais partie du quotidien de bon nombre de personnes. Si, il y a encore quelques années, les consommateurs étaient très prudents lorsqu’il s’agissait de saisir en ligne leurs données personnelles, leur numéro de téléphone ou le numéro de leur carte bancaire, ils les partagent aujourd’hui sans trop y réfléchir. Ainsi, les cybercriminels ont beau jeu de l’augmentation des données divulguées.
Ces derniers temps, on note une recrudescence des e-mails de phishing. Que se passe-t-il si j’ouvre un tel message, Lukas Keller?
Lukas Keller: Le fait d’ouvrir un mail de phishing ne constitue pas encore un problème. Vous êtes en danger si vous cliquez ensuite sur le lien qu’il contient et si vous saisissez les données qui vous sont demandées. Les criminels seront alors parvenus à leurs fins: entrer en possession de vos identifiants personnels. Pour ne courir aucun risque, je vous conseille, si par exemple vous recevez un e-mail de votre banque, de ne pas cliquer sur le lien qui y figure, mais de taper manuellement l’URL de la banque dans la barre d’adresse.
Quelle est la différence entre les e-mails de phishing et ceux infectés par des malwares?
Lukas Keller: Ces deux attaques empruntent la voie du courrier électronique pour toucher leurs cibles. Mais la principale différence tient au fait que le phishing vise à amener le destinataire à saisir ses données sur un site Internet afin qu’elles puissent être enregistrées et utilisées à mauvais escient. les attaques de malwares, quant à elles, ont pour but d’infecter un appareil. Le plus souvent, l’e-mail qui vous est envoyé contient une pièce jointe d’apparence anodine, comme un document PDF ou Word, où se cache un logiciel malveillant. Si vous avez le malheur de cliquer sur cette pièce jointe, le logiciel s’installe en arrière-plan. Son objectif est soit l’effacement des données stockées sur l’appareil, soit leur extraction et leur envoi à des cybercriminels.
Doxing, fuzzing, pharming ? Dans notre glossaire de la cybercriminalité, nous expliquons les principales infractions dans le domaine de la cybercriminalité.
«N’oubliez jamais que les enseignes en ligne sérieuses – et notamment les banques – ne vous demanderont jamais par e-mail de leur communiquer vos codes d’accès à un site Internet.»
Vous recevez régulièrement des SMS vous demandant de payer de petits montants correspondant à des frais de douane pour que votre colis puisse être distribué?
Il s’agit d’un cas de smishing, une méthode d’hameçonnage désormais répandue dans le monde entier. Souvent, les clientes et les clients ne savent plus exactement quels colis ou commandes ils doivent recevoir. Les escrocs en profitent et envoient par SMS un lien qui renvoie vers une page sur laquelle de petits montants peuvent être payés par carte de crédit. Le risque pour le client ou la cliente n’est pas d’effectuer le paiement demandé, dont le montant est généralement inférieur à 5 francs, mais de saisir ses données de carte bancaire.
Avec ces données, les arnaqueurs disposent du nom du titulaire ou de la titulaire de la carte, du numéro de carte et du numéro CVV et peuvent, dans le pire des cas, vider le compte bancaire rattaché à la carte de crédit.
Comment savoir si le SMS reçu est authentique ou frauduleux?
Souvent, ces SMS ne se différencient pas des messages authentiques. Il est donc presque impossible de vérifier l’authenticité du message avec le SMS seul. Cependant, les principaux services de livraison de colis comme DHL ou la Poste envoient généralement un e-mail pour annoncer l’arrivée d’un colis. Si l’on clique sur le lien contenu dans l’e-mail pour suivre l’envoi, on accède à son espace personnel indiquant les colis à recevoir. En principe, les éventuels montants qui restent à payer sont également affichés.
Notre conseil: créez un compte client sur le site du transporteur. Dès que vous recevez un SMS, connectez-vous à votre compte et vérifiez s’il reste des montants à payer pour les colis que vous attendez.
Quels sont les principaux dangers du numérique en télétravail?
Les personnes salariées sont toujours plus nombreuses à travailler à la maison, si bien que les cybercriminels ont changé de tactique et prennent désormais pour cible les systèmes informatiques utilisés à domicile. Or chez soi, il est pour ainsi dire impossible de garantir des standards de sécurité aussi élevés qu’au lieu de travail. Les dangers du numérique ne datent certes pas d’hier, mais ils se sont renforcés avec le passage aussi rapide que massif au télétravail.
Le premier danger réside dans les terminaux: les entreprises qui ne sont pas en mesure de fournir un ordinateur portable par personne salariée fonctionnent souvent selon le principe «Use your own device». En conséquence, les pirates ont beau jeu de s’engouffrer dans les appareils «anciens», dépourvus de systèmes de sécurité, de mises à jour logicielles ou d’antivirus, pour accéder de manière illicite aux données qu’ils contiennent.
Le deuxième danger, c’est le réseau WiFi domestique, puisque pour travailler en home office, il faut une connexion Internet. Nul n’ignore que les mots de passe utilisés pour les réseaux privés sont si simples que les pirater est un jeu d’enfant. Et c’est précisément là où les réseaux sont vulnérables que les pirates opèrent pour s’approprier des données confidentielles ou glisser des virus et autres chevaux de Troie.
Le troisième grand danger réside dans les e-mails. Les collaboratrices et les collaborateurs en télétravail en savent quelque chose, puisqu’ils sont régulièrement bombardés d’e-mails de phishing généralement destinés à forcer l’accès à des données sécurisées au moyen de logiciels malveillants ou d’informations falsifiées. Les pirates ne reculent devant rien: citons notamment les liens vers des sites Internet frauduleux ou les e-mails portant une adresse d’expéditeur connue, par exemple celle du supérieur hiérarchique. En l’occurrence, la défaillance relève plus souvent de l’erreur humaine que du problème de sécurité. Car le facteur humain reste le point faible: les e-mails de phishing sont ouverts par ignorance, des pièces jointes dangereuses sont téléchargées et enregistrées sur l’ordinateur par naïveté, ou des mots de passe d’accès sont transmis en toute innocence à de prétendus prestataires informatiques.
À cela s’ajoute que les applications de messagerie, surtout sur des terminaux mobiles, sont souvent défaillantes en termes de sécurité et ouvrent grand la brèche aux cybercriminels.
Comment protéger son ordinateur et celui de l’entreprise contre les cybercriminels?
À domicile, en l’absence d’administrateurs informatiques, la responsabilité de chacun est plus engagée que jamais. Il est dès lors primordial de sensibiliser chaque collaboratrice et chaque collaborateur, et de prendre les mesures de sécurité qui s’imposent dans le nouvel environnement de travail.
Pour protéger votre terminal, le meilleur conseil reste d’installer un logiciel antivirus performant et complet. Ses fonctions de sécurité vous protègent contre bien des dangers cités plus haut, même si le risque zéro n’existe pas.
Enfin, il importe aussi de protéger les appareils à domicile contre les accès non autorisés: dans l’idéal, les ordinateurs et les téléphones mobiles de l’entreprise passent en mode veille avec une protection par mot de passe en cas de non-utilisation prolongée et sont mis hors de portée de toute personne extérieure.
Que me conseillez-vous de faire en cas d’utilisation abusive de ma carte de crédit?
Lukas Keller: La fraude à la carte de crédit sur Internet est comparable au vol physique d’une carte. Le premier réflexe doit donc être de demander le blocage de la carte en question. La différence étant que sur Internet, on ne s’aperçoit pas tout de suite que les données relatives à la carte ont été volées, ce qui peut laisser aux escrocs le temps d’effectuer plusieurs opérations frauduleuses. Épluchez donc soigneusement vos décomptes, et en cas d’irrégularité, rendez-vous sur le site concerné et essayez d’annuler les commandes qui ont été passées.
Sur certains sites, il est possible de voir l’adresse IP et le lieu à partir desquels ont été passées les commandes. Admettons par exemple qu’une opération ait été réalisée depuis le Brésil et que vous puissiez prouver que vous étiez en Suisse à cette date: dans ce genre de situation, la plupart des sites se montrent conciliants. Si vous ne parvenez pas à faire annuler les opérations délictueuses, prenez contact avec l’organisme émetteur de votre carte de crédit. Dans la majorité des cas, le montant du préjudice vous sera remboursé.
À quelle fréquence dois-je changer mon mot de passe pour l’e-banking et ceux que j’utilise pour mes achats en ligne?
Lukas Keller: La première question à se poser ne concerne pas tant la fréquence de changement que la solidité du mot de passe. La suite de chiffres 1234 est ainsi beaucoup plus rapide à pirater qu’un mot de passe composé d’au moins huit caractères, dont des caractères spéciaux. La plupart des systèmes proposent aujourd’hui directement ce type de mots de passe forts lors du paramétrage de nouveaux comptes. Il est par ailleurs recommandé d’activer, si elle existe, la double authentification (deux preuves d’identité distinctes). Et si, en plus de ces précautions, vous changez toutes les 6 à 8 semaines le mot de passe que vous utilisez sur les sites que vous fréquentez le plus, vous mettrez toutes les chances de votre côté.
D’après une étude de l’OFS, la cybercriminalité fait plus de ravages en Suisse que dans le reste de l’Europe. Pourquoi?
Lukas Keller: Pour l’Office fédéral de la statistique, ce phénomène est surtout dû à la nonchalance dont font preuve les Suisses lorsqu’il s’agit de protéger leurs données. En 2019, les utilisateurs n’étaient plus que deux tiers à utiliser un logiciel de sécurité, contre trois quart en 2014.
Une autre explication tient, d’après moi, à la combinaison des trois facteurs suivants: la Suisse a été parmi les pionniers de la digitalisation et présente une grande surface d’attaque malgré son faible nombre d’habitants. De plus, le niveau de revenus comparativement élevé de la population en fait une cible intéressante pour les criminels de la Toile.
Enfin, on constate chez les utilisateurs une perception de sécurité subjective qui les incite à une certaine négligence lorsqu’il s’agit de protéger leurs données en ligne. C’est cette somme de facteurs qui fait que les Suisses sont plus souvent frappés que les autres Européens par la cybercriminalité.
Le Web recèle-t-il à vos yeux des menaces qui sont sous-estimées, voire inconnues?
Katrin Sprenger: Je dirais que l’un des dangers les plus sous-estimés est l’usurpation d’identité. Pour ce faire, les criminels mettent la main sur des données personnelles, telles que la date de naissance et l’adresse, ou même sur une pièce d’identité ou un acte de naissance scanné. Ces documents sont assez faciles à obtenir après le piratage d’un compte e-mail. Qui d’entre nous n’a jamais été amené à en envoyer par e-mail? Il ne reste alors plus qu’à reconstituer l’identité de la victime et à la revendre sur le Darknet ou à l’utiliser pour conclure des contrats au nom de cette personne. Le but premier d’une usurpation d’identité est toujours de générer de l’argent.
Heike Gross est Content Manager. Elle mène ses activités dans le domaine de cybersecurité, du logement, de la mobilité et bien d’autres sujets intéressants.
