Reconnaître et éviter les cyberattaques courantes

Pour la plupart des gens, l’utilisation d’Internet d’une manière ou d’une autre est devenue aussi incontournable que conduire une voiture. Ces deux activités présentent des risques inhérents. Et selon la Cybersecurity and Infrastructure Security Agency des États-Unis, un foyer sur trois disposant d’un ordinateur est infecté par un logiciel malveillant. Et 65 % des Américains qui se connectent à Internet sont la cible d’au moins une escroquerie en ligne. Mais de la même manière que l’on peut apprendre la conduite défensive, l’on peut apprendre à identifier et éviter les cyberattaques pour se protéger, et protéger ses données, des acteurs malveillants. Bien que de nombreuses cybermenaces peuvent être bloquées automatiquement par des services antivirus, des pare-feu ou d’autres mesures de protection, les cybermenaces les plus dangereuses exploitent souvent le facteur humain pour contourner ces défenses automatisées. Certaines attaques peuvent prendre la forme d’une interaction directe avec la victime (dans le cadre de ce qu’on appelle l’ingénierie sociale), tandis que d’autres tendent des pièges et attendant qu’un utilisateur peu méfiant morde à l’hameçon (il peut s’agir par exemple de fausses applications provenant de sources non officielles). Nous allons aborder les deux types de menaces et la manière de les éviter. Nous allons également aborder la réutilisation des mots de passe, les risques qu’elle présente et la manière d’éviter cette erreur.

Ingénierie sociale

L’ingénierie sociale est une expression utilisée pour décrire un vaste éventail d’activités malveillantes, mais dont l’approche de base reste la même : interagir directement avec la victime (par e-mail, par SMS, par téléphone ou d’autres moyens) afin de leur soustraire des informations sensibles ou de les inciter à interagir avec un site web conçu pour installer un logiciel malveillant sur leur ordinateur. Si toutes ces méthodes exploitent le facteur humain, elles sont nombreuses et les signaux d’alerte varient tout autant. Alors découvrons les principaux types d’ingénierie sociale. Hameçonnage ou phishing Il s’agit de la forme de cyberattaque la plus courante, avec environ 3,4 milliards d’e-mails d’hameçonnage envoyés chaque jour. Ces e-mails conçus pour ressembler aux messages d’expéditeurs légitimes exploitent différents types de tactiques ou d’approches ou « d’appâts », afin de tromper le destinataire et l’inciter à interagir avec le message. Ces appâts peuvent exploiter des événements récents, comme des jours fériés ou des catastrophes naturelles, pour attirer l’attention, ou ils peuvent prétendre provenir d’une entreprise vous prévenant que votre compte a été piraté, ou inclure une fausse « facture » pour un achat important, vous indiquant qu’il ne vous reste que peu de temps pour le contester. Ces courriels sont conçus pour exercer une pression psychologique sur le destinataire afin qu’il réponde, soit par intérêt, soit pour s’assurer qu’il n’est pas victime d’une escroquerie tierce. Comment se protéger des attaques par hameçonnage Jusqu’ici, les fautes de grammaire et d’orthographe étaient un moyen simple de détecter les e-mails d’hameçonnage. Toutefois, avec l’essor de ChatGPT et d’autres grands modèles de langage, les acteurs malveillants peuvent désormais rédiger des courriels aussi convaincants que grammaticaux, et qui sont donc beaucoup plus difficiles à détecter. Il convient donc d’aborder tous les e-mails qui ne proviennent pas d’expéditeurs de confiance avec prudence, et d’adhérer aux meilleures pratiques suivantes :

• Vérifiez l’adresse d’expédition complète de tout e-mail qui vous demande de cliquer sur un lien ou d’appeler un centre de service clientèle. Par exemple, vous pouvez recevoir un e-mail d’une entreprise connue, mais en vérifiant l’adresse e-mail de l’expéditeur, vous apercevoir qu’il provient d’un autre domaine, comme dans l’exemple ci-dessous :
• Ne cliquez jamais sur un lien dans un e-mail qui provient d’un expéditeur inconnu.
• Dans le doute, contactez directement l’entreprise qui a prétendument envoyé le message, et utilisez des informations de contact disponibles sur le site web de l’entreprise pour confirmer que le message est légitime.
• Laissez votre gestionnaire de mots de passe vous aider. Si votre gestionnaire de mots de passe est réglé pour préremplir les identifiants mais qu’il ne le fait pas sur le site que vous visitez, il peut s’agir d’un site d’hameçonnage.

Hameçonnage vocal ou vishing Le vishing, contraction de « voice phishing », est l’équivalent vocal de l’hameçonnage. Un acteur malveillant appelle la victime en se faisant passer pour un représentant d’une entreprise connue, des forces de l’ordre ou d’une administration, afin de lui soustraire des informations sensibles, qu’il s’agisse d’un numéro de carte bancaire ou d’assuré social, d’un mot de passe ou encore d’informations financières. Comment se protéger des attaques par hameçonnage vocal

• Lorsque vous ne reconnaissez pas un numéro de téléphone, laissez l’appel aller à la messagerie.
• Contactez directement l’entreprise dont se réclame l’appelant pour vérifier que l’appel est légitime. Appelez un numéro publié sur le site de l’entreprise ou de l’organisation, pas un numéro fourni par l’escroc potentiel.

Hameçonnage par SMS ou smishing Le smishing est similaire au vishing et au phishing, sauf que l’acteur malveillant utilise cette fois-ci les SMS pour cibler les victimes. Certains SMS peuvent contenir des liens vers des sites malveillants, tandis que d’autres peuvent prétendre provenir d’une administration, d’un transporteur ou d’une entreprise connue. Ces messages peuvent vous avertir que votre compte a été piraté et vous demander de vous connecter (à un site d’hameçonnage) afin de récupérer vos identifiants. Une autre technique répandue consiste à envoyer un SMS en se faisant passer pour un membre de la direction de l’employeur de la victime afin de lui demander d’acheter une carte cadeau en son nom. Le n+1 prétendra par exemple qu’il est coincé en réunion, qu’il ne peut pas le faire lui-même et qu’il vous demande donc votre aide. Cette tactique est conçue pour créer un sentiment d’urgence chez le destinataire en espérant qu’il agira sans mesurer le danger potentiel. Comment éviter les tentatives d’hameçonnage par SMS

• Ne répondez pas et ne cliquez jamais sur les liens dans les SMS non sollicités
• Contactez l’expéditeur directement avant d’agir.
• Supprimez et si possible signalez les SMS frauduleux auprès de votre opérateur et/ou à l’entreprise dont le message prétend provenir.

Applications malveillantes

Certains acteurs malveillants développent des applications qui ressemblent à celles de marques connues et réputées pour tenter de dérober des informations et/ou d’installer un logiciel malveillant sur l’ordinateur ou l’appareil mobile de l’utilisateur. Ces applications sont souvent en apparence identiques aux applications officielles et peuvent être difficiles à détecter. Toutefois, voici quelques mesures qui permettent d’éviter de tomber pour un de ces clones :

• Utilisez uniquement les sites de téléchargement officiels, comme l’App Store d’Apple ou Google Play.
• Vérifiez le développeur de l’application. Par exemple pour LastPass, le développeur est LogMeIn, Inc. sur l’App Store d’Apple et GoTo Technologies sur Google Play. Tout autre développeur ou éditeur serait le signe que l’application est probablement frauduleuse.
• Consultez la description de l’application à la recherche de fautes d’orthographe et de grammaire.

Réutilisation des mots de passe

Selon le rapport LastPass sur la psychologie des mots de passe de 2022, près de 62 % des gens réutilisent un même mot de passe ou une variante, et parmi les gens qui ont été sensibilisés aux dangers de la réutilisation des mots de passe, ils ne sont que 31 % à avoir arrêté de les réutiliser, et que 25 % a avoir adopté un gestionnaire de mots de passe. Ce problème est particulièrement grave lorsque ces mots de passe sont piratés, car les acteurs malveillants les utilisent ensuite dans leurs attaques. Selon le rapport Verizon sur les failles de sécurité de 2023, 86 % des attaques contre les sites web ayant entraîné des fuites de données exploitaient des identifiants piratés. La meilleure chose que vous puissiez faire consiste à créer un mot de passe unique et complexe pour chaque compte, et vous pouvez exploiter un gestionnaire de mots de passe pour ce faire. Alors que le passage à l’authentification sans mot de passe commence à se démocratiser, il est également recommandé de choisir un gestionnaire de mots de passe capable de vous aider à adopter cette nouvelle technologie de façon transparente. Dans un environnement saturé de cybermenaces, connaître les types d’attaques les plus courantes et ces quelques étapes simples pour les éviter peut vous aider à vous protéger, vous, vos proches et votre entreprise, contre les fuites de données et d’autres types de cyberattaques.