Applis cloud, appareils mobiles, e-mails : le paradis des hackers

Barry Cutts

16/08/2017

En juin dernier, le système de messagerie électronique du Parlement britannique a été piraté. On aurait pu penser (ou espérer) que ce bastion de la démocratie serait une véritable forteresse en matière de cybersécurité… Mais si les Lords et les membres du Parlement peuvent être touchés, que pourrait-il bien advenir de nous, simples citoyens ?

La mère de toutes les attaques ?

En rôdant simplement sur Internet, les pirates peuvent cibler un réseau en sachant que, à force de persévérance, ils finiront par se frayer un chemin dans l’intimité de leur victime, quelle qu’elle soit. Ils auront plus à gagner en s’attaquant à une entreprise, mais les particuliers demeurent des cibles courantes. En effet, ces derniers constituent des cibles faciles, au vu des faibles niveaux de protection dont ils s’entourent en général.

La plupart des entreprises sont bel et bien conscientes des mesures de sécurité de base qu’elles sont censées mettre en œuvre. Les particuliers, quant à eux, ont tendance à être moins sensibles à ces questions. Et dans la mesure où une entreprise n’est finalement qu’un ensemble de personnes ordinaires, dès lors que des utilisateurs inconscients des dangers liés à la sécurité reportent au bureau ou sur leurs appareils professionnels leurs pratiques et habitudes d’internautes, cela ne peut que poser problème.

Selon un porte-parole du Parlement, les 90 comptes de messagerie ciblés lors de la cyberattaque commise à l’encontre de Westminster étaient protégés par des mots de passe trop faibles. C’est aussi cette protection insuffisante qui a été décriée au lendemain de l’attaque du rançongiciel WannaCry.

La prolifération des rançongiciels

Les rançongiciels se sont multipliés au cours des dernières années. Selon le National Cyber Security Centre, le nombre de variantes de rançongiciels aurait triplé au premier semestre 2016 par rapport à l’ensemble de l’année 2015. Comment ces pirates parviennent-ils à se frayer un chemin ? Avant de pouvoir exiger une rançon, ils doivent trouver un point d’entrée, et c’est à ce niveau que l’entreprise et les personnes qui la composent sont les plus exposées.

C’est là qu’entre en jeu le phishing (« hameçonnage »), une technique employée par les pirates pour amener leur victime à répondre à des messages alléchants en apparence, aussi bien par e-mail que par SMS et messagerie instantanée. Le centre de sécurité des applications web Imperva Incapsula présente deux exemples d’attaque par phishing :

  • Un e-mail frauduleux semblant provenir de myuniversity.edu est distribué en masse à un maximum de membres de l’université.
  • Cet e-mail prétend que le mot de passe de l’utilisateur est sur le point d’expirer, et invite la victime à se rendre sur le site myuniversity.edu/renewal pour renouveler son mot de passe sous 24

Il apparaît clairement que tous les utilisateurs, quel que soit le type d’ordinateur ou d’appareil connecté qu’ils utilisent, doivent avant tout faire preuve d’une certaine subtilité dans la gestion de leurs mots de passe. Pourtant, bon nombre de personnes traitent ce genre de conseils à la légère. Et cela est en partie imputable au caractère fastidieux du processus de création d’un mot de passe. Lorsque vous définissez un nouveau mot de passe, vous recevez souvent des instructions plutôt rédhibitoires, du type : « Utilisez une majuscule » ou « Insérez des caractères spéciaux et des chiffres ». Toutes ces contraintes tendent à produire des mots de passe qu’il est aisé d’oublier.

Soyez obscur, autant que possible

C’est précisément pour cette raison que la majorité d’entre nous a tendance à privilégier des mots de passe faciles à retenir. Une telle approche se révèle malheureusement encore plus problématique. En effet, les mots de passe faciles sont très simples à « craquer » pour les pirates. En matière de protection des mots de passe, mieux vaut donc suivre ce conseil donné par les pirates eux-mêmes.

Plus vous restez obscur quant au choix de vos mots de passe, autrement dit en évitant tout lien avec votre date de naissance, votre deuxième prénom, votre lieu de naissance ou n’importe quelle autre donnée personnelle qu’un pirate pourrait glaner auprès d’une autre source, plus ils seront difficiles à craquer. Les hackers sont moins disposés à passer du temps à déchiffrer un mot de passe complexe s’ils peuvent bien plus facilement traverser une ligne de défense insuffisamment protégée.

L’heure est à la vigilance

Voici cinq pratiques aussi simples qu’efficaces pour minimiser les risques tant pour les particuliers que pour les entreprises :

  1. Privilégiez les mots de passe obscurs et modifiez-les réguliè
  2. Utilisez différents mots de passe pour éviter qu’un seul d’entre eux ne livre les clés de l’ensemble de votre univers en ligne à un pirate.
  3. Méfiez-vous des offres qui semblent trop belles pour être vraies.
  4. Supprimez d’emblée les e-mails qui proviennent de personnes ou d’organisations inconnues, ou de pays où vous n’avez aucun contact.
  5. Protégez et sauvegardez tout ce que vous ne voulez pas perdre. Utilisez au moins deux appareils personnels (disque dur externe, clé USB, etc.) et une source tierce indépendante pour la sauvegarde (et la récupération) dans le cloud.

Il se peut que vous ayez énormément de chance, et que, si vous recevez un jour un e-mail d’un lointain pays étranger vous informant, dans une syntaxe plus que douteuse, qu’un bienfaiteur inconnu vous a légué 5 millions d’euros bloqués sur un compte, cela soit vrai… Mais d’un autre côté, c’est quand même peu probable !

VOUS POURRIEZ AUSSI VOUS INTÉRESSER À

Le SDDC pour répondre aux enjeux de l’hybridation de l’IT