Le mois d’octobre est désormais consacré mois européen de la cybersécurité. Cette médiatisation permet de sensibiliser le public, particuliers comme entreprises. Une nécessité absolue dans la mesure où l’humain est le maillon faible dans la plupart des attaques informatiques.
Cette médiatisation permet aussi de faire le point sur les différentes menaces informatiques. Elles évoluent en permanence avec l’apparition de nouveaux logiciels malveillants chaque jour. Cette évolution rapide est à l’origine de ce que l’on appelle les vulnérabilités zero-day. En résumé, il s’agit des menaces inconnues pour lesquelles il n’existe pas encore de correctif.
Evolution des menaces
La sensibilisation du grand public aux fraudes informatiques permet indubitablement une meilleure prévention. Elles poussent toutefois les hackers et les fraudeurs 2.0 à recourir à de nouvelles techniques. Les attaques de type hameçonnage (phishing) en masse par mail, du type ” vous êtes l’heureux gagnant d’un bon de 500 euros”, ont tendance à faire moins de victimes que par le passé.
Depuis quelque temps que les hackeurs privilégient le recours aux SMS et à d’autres plateformes de conversation telles que WhatsApp ou Messenger. Ces dernières années, on assiste aussi à une recrudescence des attaques plus ciblées. Les fraudeurs sont ainsi passés au harponnage, de l’anglais spearphishing ou whaling. Concrètement, le pirate cible une victime précise sur laquelle il a pris soin de se renseigner préalablement. Une tâche facilitée par la numérisation de nos vies, Internet regorgeant d’informations sur les organisations et les individus. Sans même parler du darknet, cet autre Internet sans foi, ni loi.
Les fraudeurs se sont également adaptés à la sécurisation des systèmes d’exploitation. Par le passé, ils laissaient traîner -?voire distribuaient?- des clés USB sur lesquelles étaient hébergés des programmes en exécution automatique qui installaient un logiciel malveillant. Les systèmes d’exploitation ont remédié à cette faille. Les fraudeurs ont alors adapté leur approche pour que les clés USB ne soient plus reconnues comme des espaces de stockage mais comme des claviers ou autres périphériques. Ce qui leur permet de déjouer les nouvelles technologies de sécurité et de continuer à introduire des logiciels espions comme auparavant.
Internet des objets
Alors que de plus en plus d’objets de notre quotidien sont connectés, les vulnérabilités de l’Internet des objets sont largement sous-estimées par les utilisateurs. Il n’est pas rare qu’une caméra de surveillance d’un magasin ou une installation domotique ne soit pas dotée de paramètres de sécurité ou que le mot de passe par défaut du fournisseur soit maintenu par le propriétaire.
Quant aux smartphones, plusieurs centaines d’applications présentes sur les plateformes reconnues contien-nent des logiciels malveillants. Fort heureusement, il s’agit principalement d’adware dont la principale nuisance est d’afficher des publicités intempestives. Le téléchargement en dehors de ces plateformes présente d’ailleurs davantage de risques. Un pirate peut alors parvenir à lire vos conversations ou consulter vos fichiers et même à envoyer des messages depuis votre téléphone.
Ne pas scanner n’importe quoi
Depuis des années, les campagnes insistent sur la prudence nécessaire avant d’ouvrir la pièce jointe d’un mail ou un lien internet. Mais la même précaution est nécessaire vis-à-vis des codes QR qui fleurissent un peu partout. Ils permettent aussi aux fraudeurs de rediriger les utilisateurs vers des sites falsifiés et malveillants.
