Les hackers ne sont pas les seuls à s’intéresser à vos données personnelles.
Campagne UFC Que choisir
Une campagne est actuellement en cours ayant pour but de faire prendre conscience aux internautes et donc aux citoyens, de l’importance du contrôle de leurs données personnelles.
Lorsque je parle R.G.P.D. avec des clients de PME et TPE, j’entends souvent : « Je n’ai rien à cacher » et « Pour ce que je fais sur Internet ».
Un constat qui doit être généralisé vu le peu de relais que trouve cette campagne d’information dans les médias et le faible soutien de la classe politique.
Un article et des solutions de protection
Les plus curieux vont pouvoir comprendre l’étendu de ce piratage de données à grande echelle en suivant les liens ci-dessous :
Voici une bonne initiative, des aides pour que les entreprises portent de l’attention à leur sécurité informatique.
Un chèque de 5 000 euros que la région Ile de France accorde au PME pour financer :
Les audits techniques (diagnostics des équipements, tests de vulnérabilité et d’intrusion…)
Les audits d’architecture
Les audits de conformité interne et/ou sectorielle
Les audits organisationnels (évaluation de la gouvernance Cyber, des règles d’authentification, de sauvegarde, des politiques de mise à jour, des dispositifs de gestion de crise…)
Les exercices de crise (uniquement en complémentarité avec d’autres activités d’audit décrites parmi la présente liste).
Le « Chèque investissement Cyber »
Les PME francilienne vont pouvoir investir, après le diagnostique sans doute, dans les équipements nécéssaires à leur protection cyber.
Le montant est, cette fois, de 10 000 euros pour couvrir, je cite :
Les mesures de protection réseau : antivirus, pare-feu, systèmes de détection d’intrusion etc.,
Les mesures de mise en conformité aux règlements RGPD, RGS,
Les solutions de protection des sites et applications web,
Les solutions de Cyber veille,
Les scanners de vulnérabilité,
Les évolutions technologiques de l’environnement informatique, les mises à jour logicielles et systèmes,
Les investissements matériels : caméra, matériel de protection,
La protection de l’administration technique des SI.
L’Étât a pris conscience des dangers que représentent les réseaux sociaux ( Facebook, Tiktok, Waze…) Il existe maintenant un âge de majorité pour les activités sur ces plateformes : 15 ans.
L’enquête de la CNIL prouve que 82% des enfants de 10 à 14 ans vont fréquemment sur le Web sans leurs parents. Des parents qui souvent ignorent l’activité de leur progéniture sur Internet. Pourtant ces connexions sont raremment anodines.
Notre activité de sécurité numérique, nous amène à rencontrer des familles paniquées et démunies lorsque leur pré-adolescent est confronté à des problèmes d’addiction aux écrans, de cyberharcèlement ou découvre des vidéos pornographiques violentes.
S’en suivent les troubles psychologiques et physiques, dont le manque de sommeil, qui vont perturber leurs études, leurs relations sociales, voir conduire au pire.
Comment sera fait le contrôle de cette majorité ?
La loi laisse les acteurs des forums et des réseaux sociaux trouver la solution. D’où ma question en titre « un début de réponse ? » car si l’on se réfère aux systèmes mis en place pour le contrôle de la majorité sur les sites pornographiques, nous sommes loin du compte. Dans la plupart des cas, un simple clic suffit pour déclarer avoir plus de 18 ans.
Il est prévu : « [de] mettre en place une solution technique, conforme à un référentiel que doit élaborer l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom), après consultation de la Commission nationale de l’informatique et des libertés (CNIL)« .
De plus les plateformes disposent d’un an pour mettre en place cette obligation. On peut imaginer qu’à cette vitesse, les jeunes de 14/15 ans seront devenus majeurs lors de l’application effective de la loi.
Photo de Matthew Henry pour Unspslash
Bien sûr, garantir la sécurité de l’accès revient à la question de notre précédent billet : Comment faire de l’identification et non pas de l’authentification ?
Photo de Mika Baumeister
Le cyberharcèlement
Tout est bon à prendre si cela peut protéger les enfants et autres victimes de conjoint, du chantage moral, du harcelement et de l’espionnage de la vie privée de l’autre ; la loi va imposer aux réseaux sociaux la diffusion de messages préventifs et d’information sur le numéro vert 3018…
Les diffuseurs de contenus électroniques, comme des vidéos et images, devront agir après réquisitions judiciaires sous 10 jours, voir en moins de 8 heures pour les risques imminents.
Une amélioration puisque aujourd’hui, il n’y a aucun délai défini !
Et si la solution était l’éducation ?
Nous parlons bien d’éducation et pas d’instruction scolaire.
Face à la difficulté de contrôler les accès aux excès et comme il y aura toujours des malins pour contourner les règles, la solution est moins dans la Loi que dans l’Éducation.
Responsabiliser les enfants et les parents, apprendre le respect d’autrui, c’est la mission de chaque père et mère, voir de chacun de nous.
Photo de Vitolda Klein
LOI n° 2023-566 du 7 juillet 2023 visant à instaurer une majorité numérique et à lutter contre la haine en ligne. Cliquez pour lire le texte de loi sur légifrance ici
Encore ce matin, j’ai reçu la demande d’une personne qui a eu son compte Snapchat piraté. C’est à dire que le hacker a trouvé son mot de passe. Ensuite, il s’est connecté et a changé les identifiants de la victime ainsi que les données de récupération de sorte que le propriétaire légitime ne puisse plus accèder à son compte.
Ici, il s’agit de Snapchat, mais il en va de même pour Facebook, Tweeter et l’ensemble des réseaux sociaux, comptes clients (leboncoin…) et des comptes mails.
La victime souhaite que nous récupèrions son compte et donc son mot de passe. Pour schématiser, on peut dire qu’il y a deux façons de voir comment faire :
légale
illégale
Quelle possibilité légale s’offre à nous ?
Le point délicat, c’est l’identification. Comment prouvez que vous êtes l’auteur de votre blog, votre boite mail…
Même la carte d’identité française, apparu il y a moins de 100 ans, ne peut répondre à cette question. Aucun réseau social ne vous demande une identification lors de la création de votre compte.
Attention, je parle bien d’identification et pas d’authentification. L’authentification, c’est votre mot de passe, l’adresse mail ou le numéro de téléphone, autant d’éléments qui ne prouvent pas qui vous êtes mais juste que vous êtes à l’origine de cette création.
C’est là que les hackers, pirates, ex-conjoint, vont profiter du relatif anonymat de l’Internet pour prendre le contrôle de vos comptes. Ils vont s’authentifier à votre place.
Et ensuite, et ceux qui ont fait la démarche le confirmeront, aucun réseau social, entreprise, client… ne vous redonnera l’accès à vos comptes puisqu’ils ne peuvent pas vous identifier.
Seuls les FAI (fournisseur d’accès à Internet), services de l’État, qui ont votre identité pourront vous rendre votre accès à leurs services.
Alors, les possibilités illégales ?
Comme le proposait la victime du jour :
« Puisque un pirate à hacker mon compte, on peut bien le hacker lui et ainsi récupérer mon accès ! »
Ne pouvons-nous pas le faire ?
Photo Ulvi Safari pour Unsplash
Premier écueil, la loi. Article 323-1 alinéa 1 du Code pénal : Deux ans d’emprisonnement et de 60 000 € d’amende pour toute personne qui cherche à accéder frauduleusement à un système informatique. On ne fait pas justice soi-même.
Second écueil, l’identité. Qui me dit que vous êtes le propriétaire légitime du compte ? Rien. Nous n’avons pas plus de certitude que les réseaux et autres entreprises qui ont ouvert le compte.
Troisième écueil, le temps. On peut penser que le pirate est malin et lui, il a mis un mot de passe fort, pas le nom du chien ou la date de naissance du petit dernier. Cela peut demander des heures voir des années avant de casser un vrai mot de passe.
Alors que faire ?
Les victimes font appel à nos services, en très grande majorité, après l’incident. Mais nous sommes comme le pompier qui va éteindre l’incendie de fôret, mais qui ne fait pas repousser les arbres.
Comme dit le proverbe ; « mieux vaut prévenir que guérir »
Les mesures préventives sont donc essentielles pour que ça n’arrive pas, car cela ne devrait pas vous arriver.
Photo libre Unsplash
Des conséquences qui peuvent être dramatiques.
Le piratage de comptes en ligne est la première étape qui peut mener les pirates à des actions plus graves.
Par la lecture des informations contenues dans vos comptes, ils apprendront : – le nom de votre banque et de votre conseiller financier, – son numéro de téléphone, qu’ils peuvent pirater, – votre numéro de sécurité sociale, vos bulletins de salaire et vos factures, – les identités des personnes de votre famille et de vos amis, – vos habitudes de déplacement et la durée de vos absences, – le nom du comptable, la liste des clients…
Ensuite viendront les attaques : – usurpation d’identité (article 226-4-1 du Code pénal 1 an de prison et 15 000 euros d’amende), – ouverture de crédit renouvellable, virement et vol sur vos comptes bancaires, – chantage aux vidéos intimes et photos compromettantes (vraies ou fausses), – harcelements, – faux support technique, – diffusion de fausses informations.
Des délits qui peuvent être punis par 5 ans de prison et 150 000 euros d’amende.
Cheval de Troie sur les côtes de La Manche, le Calvados et l’Ille-et-Vilaine
Photo Thom Bradley pour Unsplash
Comment se débarrasser d’un trojan MoqHao ?
L’analyse de McAfee démontre la sophistication croissante des attaques malveillantes avec ici des pages de Phishing hébergées par un serveur local pour capturer les identifiants, lancer des demandes d’autorisations etc. Et bien sûr envoyer tout cela vers les hackers.
Ce Trojan semble vouloir persister, au moins en partie, après un nettoyage antivirus. Seule la sauvegarde locale de données pourra vous permettre de ne pas perdre vos fichiers puisque la sauvegarde Google Cloud risque d’être compromise, la seconde cible des pirates étant, après les applications bancaires, le compte Google. Certainement pour préparer d’autres attaques.
Granville et La Manche sont bien loin de la Corée du Sud et on pourrait se croire à l’abri des virus des pirates chinois. Pourtant, il semble bien que la France soit touchée par une nouvelle attaque de hackers sur les smartphones Android et iPhone.
La campagne d’infection initiale a débuté mi-2017 en Corée du sud mais fait maintenant des victimes jusque dans la Manche comme le confirme une demande de dépannage que l’on a traité cette semaine ( Saint Valentin 2023).
Tout commencer par la réception d’un SMS, principalement sous la forme d’un Phishing au faux colis. Si vous avez le mauvais réflexe et ouvrez le lien, le processus d’infection débute.
Sans être trop technique informatique, le lien conduit vers un serveur qui déclenche la demande de mise à jour du navigateur Chrome. La fausse mise à jour du logiciel sollicite ensuite les autorisations vers les contacts, les appels téléphoniques… Une speudo icone Chrome est visible puis, dans la majorité des cas, elle est cachée.
Cette application nommée MoqHao, va ainsi pouvoir accéder à des serveurs distants pour récupérer les charges les virales et envoyer les données de vos appareils. En particulier les applications bancaires que vous utilisez et vos identifiants de compte Google.
Ces informations vont servir à installé, toujours selon le même schéma, des mises à jour de votre application bancaire afin d’accéder à votre compte, avec tous les risques que l’on peut imaginer.
MoqHao va aussi utilisé votre smartphone pour envoyer des SMS piégés vers vos contacts et se propager.
Les ingénieurs sécurité informatique de McAfee ont détaillé les différents processus mise en oeuvre lors de cette attaque. Les plus accrocs au développement peuvent suivre ce lien :
Nous rencontrons hélas beaucoup trop de victimes qui ne prennent pas au sérieux ce type d’attaque. Enfin jusqu’au moment où les comptes bancaires sont vidés et que le conseiller annonce que la banque ne remboursera pas par faute de négligence du client.
Le remplacement des mots de passe hackés devient d’autant plus problèmatique que les mails sont interceptés par le pirate.
Nous recommandons toujours :
des mots de passe forts et uniques, pas le même mot avec une variance en ajoutant un chiffre à la fin comme cela devient courant,
de NE PAS enregistrer ses mots de passe,
de vrais logiciels de gestion des mails en protocole POP,
l’abandon des mails généralistes où tout à chacun peut créer en 5 minutes une adresse mails.
Avec une augmentation de + 140%, le piratage des comptes en ligne et en particulier des comptes mails a connu une folle progression et se place désormais en tête des actions des hackers.
La mauvaise habitude qui consiste à laisser tous les mails reçus sur le serveur de mail en protocole IMAP comme les webmails Orange, Gmail, SFR … s’est généralisée avec les smartphones.
Ainsi la lecture des mails et autres messages de ces comptes permet d’avoir accès à une large majorité d’informations personnelles. Non seulement la victime risque le piratage de ses informations bancaires mais aussi l’usurpation d’identité, un fléau dramatique pour ceux qui y sont confrontés.
Les équipes de TRend Micro au Japon, auraient découvert que le groupe de pirates « Earth Preta » utilise les services en ligne de Google Drive et Dropbox pour diffuser leurs virus et voler vos données.
Tout commence classiquement par un mail de phishing. Celui-ci contient un lien vers les services en ligne et en cliquant, vous vous retrouvez à charger en tache de fond, sans le voir, la charge virale qui aspirer vos documents et vos données.
En utilisant un lien Google ou dropbox, les pirates passent sous les radars des antivirus.
Pour le moment, les attaques semblent viser les organisations de l’Asie / Pacifique mais on peut imaginer que la technique se généralise aux autres continents.
État de la répartition des menaces par type de structures en 2021
Le 9 mars 2022, est certes le jour de l’ouverture de la pêche à la truite mais, et surtout pour nous, il s’agit de la date de publication du dernier rapport de l’Agence Nationale de la Sécurité des Systèmes d’Information.
On y fait le point sur les offensifs, les méthodes et les faiblesses des systèmes. Rien de très réjouissant en particulier lorsque l’on arrive sur ces deux graphiques.
Les TPE / PME sont les principales victimes du rançonnage.
Graphiques du rapport consultable et téléchargeable dans son intégralité ici :
Lors d’une réunion, j’ai entendu un intervenant dire qu’il n’avait rien à craindre pour son identification sur l’Internet car il utilisait un VPN (virtual Private Network).
Il est vrai qu’un réseau privé virtuel permet une certaine confidentialité de l’IP de votre connexion. Votre géolocalisation étant cachée, vous pouvez voir des sites non autorisés et faire du streaming sur Netflix, HBO et autres pour voir vos séries favorites en avance.
Le télétravail et la téléconférence sont devenus des actes quotidiens avec la crise Covid. Pour être « protégé », on utilise des VPN. Idem pour se connecter au réseau interne de l’entreprise.
La fausse confidentialité des VPN purs
Cependant, croire que l’on n’est pas identifiable par l’usage d’un VPN est une erreur. Votre fournisseur de VPN peut vous identifier.
Les « fingerprint », les empreintes numériques.
Conscient que les IP ne permettent pas une identification précise des internautes, les régies publicitaires et autres utilisent ce petit bout de code.
On le génère par un savant calcul de données provenant des numéros de serie de vos logiciels et matériels comme votre adresse MAC.
Les « fingerprint » fonctionnent même si vous refusez les cookies.
C’est le discret business-plan des sites fonctionnant grace au régies publicitaires et des VPN gratuits.
C’est grâce aux empreintes numériques que s’affiche un message vous demandant si vous êtes bien l’auteur d’une connexion à un compte client lorsque vous n’utilisez pas votre ordinateur habituel.
Attention, cela ne signifie pas qu’un VPN ne sert à rien, sinon les autorités chinoises ne les interdiraient pas. Mais ne pensez pas être anonyme sur Internet.
