4 types de fraudes à surveiller pendant les Fêtes


En cette période de l’année, les arnaques en tous genres veulent profiter des fêtes pour se remplir leurs poches. Il est important de ne pas donner nos renseignements personnels a n’importe qui même si cela semble fiable.
Nuage

4 types de fraudes à surveiller pendant les Fêtes

Une jeune femme appuie sur l'écran de son téléphone cellulaire.

La période des Fêtes est un temps fort pour les activités frauduleuses.

PHOTO : ISTOCK9

Vous vous préparez à faire vos courses de Noël? Veillez également à prendre quelques précautions lors de vos achats, car la période des Fêtes est un temps fort pour les activités frauduleuses.

Plusieurs stratagèmes apparaissent à cette période-ci de l’année et les fraudeurs savent profiter de ceux et celles qui ne font pas assez attention, indique Jeff Thomson, analyste à l’unité antifraude la Gendarmerie royale du Canada (GRC).

Voici quelques-unes des principales arnaques, selon Jeff Thomson.

1. Arnaque à la carte SIM

La GRC observe une hausse récente de vols d’identité au moyen d’attaques visant la carte SIM des téléphones cellulaires.

La procédure est la suivante. Les escrocs envoient un courriel d’hameçonnage qui semble provenir de votre fournisseur de réseau cellulaire. Le courriel mentionne que vous avez gagné une quantité de données gratuites – ou quelque chose d’équivalent – et vous invite à cliquer sur un hyperlien pour réclamer votre « prix ».

Des informations personnelles sont ensuite demandées afin de supposément mettre à jour votre profil auprès du fournisseur. Les escrocs se servent alors de celles-ci pour le contacter et avoir accès à votre téléphone intelligent.

Si votre compte de banque, votre compte courriel ou vos comptes de réseaux sociaux sont liés à votre téléphone, les fraudeurs peuvent à présent y avoir accès, explique Thomson.

Si vous recevez une offre promotionnelle par courriel de votre fournisseur de réseau cellulaire, mieux vaut l’appeler pour vérifier si l’offre est réelle.

2. Hameçonnage téléphonique

Ce type de fraude est peut-être plus courant : une personne prétendant travailler pour l’Agence du revenu du Canada vous appelle pour vous demander un paiement dû et vous menace d’une arrestation si vous refusez de payer.

Une variation plus insidieuse de cette forme d’hameçonnage est apparue et connaît une hausse importante, selon la GRC.

La ruse employée cette fois pour convaincre les victimes est d’affirmer que leur numéro d’assurance sociale (NAS) est compromis. Après avoir obtenu ce NAS et d’autres informations personnelles, les escrocs prétendent qu’un suivi sera fait par les services de police ou des équipes d’enquête. Celui-ci se traduit bien souvent par une demande où les victimes sont incitées à transférer leur argent dans un compte « sécuritaire » afin d’éviter une fraude.

Jeff Thomson rappelle que le personnel des agences canadiennes n’appelle pas les individus pour leur demander des informations personnelles et qu’il faut conséquemment se méfier de ce type d’appels.

3. Fraudes liées au magasinage en ligne

Une autre fraude fréquente est l’ensemble de produits contrefaits ou de mauvaise qualité vendus sur Internet. Pour éviter de se faire berner, Jeff Thomson recommande de magasiner seulement sur des sites reconnus et d’utiliser seulement des méthodes de paiement qui offrent des protections pour les cartes de crédit.

Si votre achat vous semble trop beau pour être vrai, c’est que c’est probablement le cas, dit Thomson.

4. Prêts fallacieux

Les personnes à la recherche d’argent supplémentaire pour leurs achats de Noël sont particulièrement vulnérables à ce type d’arnaque. Les escrocs offrent alors un prêt, puis demandent immédiatement des informations personnelles ou des remboursements.

Jeff Thomson conseille de faire preuve de vigilance et d’emprunter de l’argent seulement auprès d’institutions reconnues.

https://ici.radio-canada.ca/

Les arnaques des fraudeurs par courriel sont de plus en plus sophistiquées


J’en reçois beaucoup de courriel bidons, je ne sais pas trop pourquoi j’ai beau les bloqués, ils reviennent en changeant quelque peu leur adresse courriel. J’ai eu la Caisse Populaire, des banques européennes, FedEx, des fausses factures, etc. … En tout cas, bien que bloqué, il est important de ne pas cliquer sur les liens qu’ils indiquent dans leur message et ne jamais donnés des informations confidentiels comme les mots de passe …
Nuage


Les arnaques des fraudeurs par courriel sont de plus en plus sophistiquées


Les arnaques des fraudeurs par courriel sont de plus en plus

DUSANPETKOVIC VIA GETTY IMAGES

David Paddon
La Presse Canadienne

Près de 100 campagnes de cybercriminalité ont visé le Canada entre le 1er janvier et le 1er mai de cette année.

TORONTO — Les fraudeurs se montrent de plus en plus créatifs dans l’enrobage de courriels contenant des liens et des pièces jointes dangereux, et les entreprises canadiennes semblent plus susceptibles de se laisser prendre au piège que celles d’autres pays.

«Nous avons tout vu, des faux papiers de divorce aux faux diagnostics médicaux, qui ne s’adressent parfois même pas au destinataire du courriel», a observé Ryan Kalember, vice-président principal de Proofpoint, lors d’une entrevue réalisée en marge d’une conférence sur la cybersécurité à Toronto.

«Les humains sont des créatures naturellement curieuses. Nous allons nous faire avoir jusqu’à un certain point.»

Une analyse récente de Proofpoint a révélé que près de 100 campagnes de cybercriminalité avaient visé le Canada entre le 1er janvier et le 1er mai de cette année, en plus de milliers de campagnes génériques ayant rejoint le Canada par l’entremise d’internet.

Un type de logiciel malveillant observé par Proofpoint était DanaBot, qui a été utilisé pour envoyer des leurres évoquant Postes Canada.

«Nous avons vu plusieurs campagnes s’appuyer sur l’image de marque de Postes Canada. Et ce n’est pas inhabituel. Les leurres de livraison de colis figurent toujours dans le top cinq en termes d’hameçonnage efficace pour les fraudeurs», a expliqué M. Kalember.

Pour les personnes qui reçoivent de tels courriels, le danger est de télécharger par inadvertance un logiciel susceptible de saisir des mots de passe, envoyer davantage de pourriels frauduleux pour atteindre d’autres victimes ou verrouiller l’accès aux fichiers système.

David Masson, directeur national de Darktrace au Canada, une entreprise spécialisée dans la cybersécurité, reconnaît que les escroqueries visant à détourner des marques connues sont assez courantes à travers le monde et que l’expérience du Canada est similaire.

Mais le spécialiste note aussi que, selon les résultats d’une analyse effectuée par Darktrace l’année dernière, ses clients canadiens étaient environ trois fois plus susceptibles de télécharger des logiciels malveillants que ses clients d’autres pays.

https://quebec.huffingtonpost.ca

Intelligence artificielle : les risques d’une utilisation malveillante


Cela ne prend pas un diplôme de génie pour comprendre que l’Intelligence artificielle a de bons et mauvais côtés. Comme dans toute chose, tout dépend ceux qui l’utilisent. Le problème est que plus ont avance en technologie pour de bonnes causes, plus les risques augmentent tout autant pour des mauvaises causes, que ce soit de la manipulation des élections que la politique en générale pouvant provoquer des guerres, des drônes tueurs, vols de données, tout ce qui est « intelligent » (par exemple l’auto), la cybersécurité se doit de vite évoluer pour contrer a la cybercriminalité
Nuage

 

Intelligence artificielle : les risques d’une utilisation malveillante

26 experts spécialisés en intelligence artificielle, cybersécurité et robotique ont rédigé un rapport alarmiste sur les dangers d’un dévoiement de ces technologies. Ils passent en revue divers scénarios inquiétants qui vont jusqu’à des attaques terroristes et des manipulations politiques à l’aide de fausses vidéos indétectables.

Des experts internationaux sonnent l’alarme sur les risques d’une utilisation malveillante de l’intelligence artificielle (IA) par « des États voyous, des criminels, des terroristes », dans un rapport publié mercredi. Selon eux, dans les dix prochaines années, l’efficacité croissante de l’IA risque de renforcer la cybercriminalité mais aussi de conduire à des utilisations de drones ou de robots à des fins terroristes. Celle-ci est aussi susceptible de faciliter la manipulation d’élections via les réseaux sociaux grâce à des comptes automatisés (bots).

Ce rapport de 100 pages intitulé The Malicious Use of Artificial Intelligence a été rédigé par 26 experts spécialistes en intelligence artificielle, cybersécurité et robotique. Ceux-ci travaillent pour des universités (Cambridge, Oxford, Yale, Stanford) et des organisations non gouvernementales (OpenAI, Center for a New American Security, Electronic Frontier Foundation). Ces experts appellent les gouvernements et les différents acteurs concernés à mettre en place des parades pour limiter les menaces potentielles liées à l’intelligence artificielle.

La cybercriminalité à grande échelle

« Nous pensons que les attaques qui seront permises par l’utilisation croissante de l’IA seront particulièrement efficaces, finement ciblées et difficiles à attribuer », souligne le rapport.

Pour illustrer leurs craintes, ces spécialistes évoquent plusieurs « scénarios hypothétiques » d’utilisation mal intentionnée de l’IA. Ils soulignent que des terroristes pourraient modifier des systèmes d’IA disponibles dans le commerce (drones, véhicules autonomes) pour provoquer des crashs, des collisions ou des explosions.

Les auteurs imaginent ainsi le cas d’un robot nettoyeur trafiqué qui se glisserait subrepticement parmi d’autres robots chargés de faire le ménage dans un ministère berlinois. Un jour, l’intrus passerait à l’attaque après avoir reconnu visuellement le ministre des Finances. Il se rapprocherait de lui et exploserait de façon autonome, tuant sa cible.

Par ailleurs, « la cybercriminalité, déjà fortement en hausse, risque de se renforcer avec les outils procurés par l’IA », déclare à l’AFP Seán Ó hÉigeartaigh, directeur du Centre for the Study of Existential Risk de l’université de Cambridge, un des auteurs du rapport.

Les attaques par hameçonnage ciblé (spear phishing) pourraient ainsi devenir beaucoup plus aisées à mener à une large échelle.

Un risque politique

Mais, pour lui, « le risque le plus sérieux, même s’il est moins probable, est le risque politique. Nous avons déjà vu comment des gens se servaient de la technologie pour essayer d’interférer dans les élections et la démocratie. Si l’IA permet à ces menaces de devenir plus fortes, plus difficiles à repérer et à attribuer, cela pourrait poser de gros problèmes de stabilité politique et contribuer peut-être à déclencher des guerres », estime Seán Ó hÉigeartaigh.

Avec l’IA, il devrait être possible de réaliser des fausses vidéos très réalistes et cela pourrait être utilisé pour discréditer des responsables politiques, avertit le rapport. Les États autoritaires vont aussi pouvoir s’appuyer sur l’IA pour renforcer la surveillance de leurs citoyens, ajoute-t-il. Ce n’est pas la première fois que des inquiétudes s’expriment concernant l’IA. Dès 2014, l’astrophysicien Stephen Hawking lançait une mise en garde sur les risques qu’elle pourrait faire courir à l’humanité, en dépassant l’intelligence humaine. L’entrepreneur Elon Musk et d’autres ont aussi tiré la sonnette d’alarme.

Des rapports spécifiques sur l’utilisation de drones tueurs ou sur la façon dont l’IA pourrait affecter la sécurité des États-Unis ont également été publiés.

Ce nouveau rapport apporte « une vue d’ensemble sur la façon dont l’IA crée de nouvelles menaces ou change la nature des menaces existantes dans les domaines de la sécurité numérique, physique et politique », explique Seán Ó hÉigeartaigh.

Appel à l’action

Apparue dès les années 1950, l’intelligence artificielle correspond à des algorithmes sophistiqués qui permettent de résoudre des problèmes pour lesquels les humains utilisent leurs capacités cognitives. Ces dernières années, elle a fait des progrès substantiels notamment dans les domaines liés à la perception, comme la reconnaissance vocale et l’analyse d’images.

« Actuellement, il y a encore un écart important entre les avancées de la recherche et ses applications possibles. Il est temps d’agir », déclare à l’AFP Miles Brundage, chargé de recherche au Future of Humanity Institute de l’université d’Oxford.

Cet expert a animé en février 2017 à Oxford un atelier sur les risques d’un usage malveillant de l’IA, qui a donné naissance à ce rapport.

« Les chercheurs en IA, les concepteurs de robots, les compagnies, les régulateurs, les politiques doivent à présent collaborer pour tenter de prévenir [ces risques] », conclut Seán Ó hÉigeartaigh.

https://www.futura-sciences.com

Hameçonnage : pourquoi mordons-nous ?


Tout le monde doit sûrement avoir reçu des tentatives d’harponnages de compagnies connues comme les banques (même étrangères) compagnie d’électricité, de télévision etc … Comme s’il y avait une urgence a répondre pour avoir nos coordonnées pour vérification ou pour nous faire gagner de gros pris. Il y a des indices qui peuvent nous donner un son de cloche. Surtout ne pas partager sous aucun prétexte ces tentatives d’harponnage
Nuage

 
Hameçonnage : pourquoi mordons-nous ?

 

Hameconnage-graphique-desjardins-fraude-internet-courriels-indices

En règle générale, on se dit : mais qui peut bien mordre à ces messages ? Comme le souligne Desjardins dans ce graphique représentatif, ce n’est pas moins de 10% de la population qui mordent à l’hameçonnage.

Tous ces messages ont en commun le fait qu’ils font générer un sentiment d’urgence. Que l’on doit répondre au problème dit dans le message. Ou bien qu’on a la chance de gagner quelque chose de gros si l’on répond rapidement.

Puisqu’on se croit sous pression, c’est dans ces moments d’urgences que l’on est le plus vulnérable.

Des vérifications simples pour se prémunir de l’hameçonnage

Il faut savoir garder la tête froide dans ces situations. La meilleure des réactions à avoir est de ne faire absolument rien. Prenez un recul et analysez bien le message qui vous a été transmis selon ces points :

  1. Est-ce que l’adresse de courriel de l’expéditeur nous semble conforme aux standards habituels ?
  2. S’agit-il d’une adresse courriel d’entreprise ou personnelle ?
  3. Analyser bien tous les caractères, bien souvent la modification est subtile justement pour nous tromper.
  4. En déplaçant votre souris sur l’hyperlien proposé, sans jamais cliquer dessus, est-ce que cela correspond au site internet de l’entreprise ? Vous verrez vers quelle page le lien souhaite vous diriger.
  5. Pour quelle raison vous sollicite-t-on à répondre si rapidement ? Est-ce crédible que l’on nous presse de la sorte ?
  6. Vérifiez bien l’orthographe du message, bien souvent il y a des petites erreurs révélatrices. Une entreprise ne se permettrait pas de faire ce type d’erreur dans leurs communications.

Dans le doute, il demeure préférable de communiquer auprès de l’entreprise pour valider s’il y a véritablement un problème à régler. Allez toutefois chercher les coordonnées directement sur le site de l’entreprise et non dans le courriel.

Enfin, si vous deviez malgré tout être victime d’une tentative d’hameçonnage dites-vous qu’il existe des ressources pour vous aider dans cette situation.

https://www.francoischarron.com

3 fraudes fréquentes sur le web, et comment s’en protéger


Malheureusement, aller sur le web n’est pas sans risque. Il est important de faire attention, ne pas cliquer sur des liens demandant des informations personnelles comme un mot de passe …
Nuage

 

3 fraudes fréquentes sur le web, et comment s’en protéger

 

Un homme au visage caché sous le capuchon de son chandail noir s'affaire sur un ordinateur portable.

Il est important de toujours rester vigilant lorsqu’on navigue sur Internet. Photo : iStock/iStock

Les personnes mal intentionnées ne manquent pas d’ingéniosité pour soutirer de l’argent ou des informations personnelles au public. La vague d’appels frauduleux en provenance du Vanuatu en est un bon exemple. Quelles sont les fraudes et les attaques informatiques les plus courantes, et comment s’en protéger? Un expert répond.

Un texte de Karl-Philip Vallée

Nous avons posé la question à l’organisme spécialisé en sécurité informatique Crypto.Québec. Jean-Philippe Décarie-Mathieu, directeur général et secrétaire-trésorier, nous présente trois fraudes et attaques fréquentes sur Internet.


1. L’hameçonnage

 

Vous recevez un courriel de votre institution bancaire vous informant que des opérations inhabituelles ont été détectées sur votre compte bancaire. Le courriel vous invite à vous connecter sur votre compte en passant par un hyperlien afin d’éviter l’interruption de vos services bancaires.

Si vous avez déjà reçu un courriel de ce genre, vous avez déjà été ciblé par une attaque d’hameçonnage. Ce type d’attaque est souvent simple à réaliser et est donc très répandu. Il consiste à soutirer des renseignements personnels (souvent des informations bancaires ou des mots de passe) par le biais d’une fausse page d’accès à une institution reconnue.

Méfiez-vous donc toujours des courriels non sollicités que vous recevez de la part d’une institution bancaire ou d’un grand site web, surtout si ces courriels vous invitent à cliquer sur un hyperlien pour vous rendre sur le site en question. Tâchez aussi de vérifier la provenance de ces courriels. Proviennent-ils d’une adresse qui semble fiable, avec le bon nom de domaine après le symbole « @ »?

« L’hameçonnage peut aussi se faire par téléphone, prévient Jean-Philippe Décarie-Mathieu. Dans ce cas, ne tombez pas dans le piège des appels entrants d’inconnus qui vous offrent un service de dépannage à distance. »

Si vous recevez un appel suspect, raccrochez et appelez vous-même l’entreprise pour laquelle se faisait passer votre interlocuteur en utilisant le numéro de téléphone affiché sur le site officiel de la compagnie.

Lorsque vient le temps de communiquer des informations personnelles, tant sur Internet qu’au téléphone, il est primordial de rester alerte et sceptique.


2. Les rançongiciels

Vous êtes devant votre ordinateur quand soudainement tout se bloque et un message s’affiche vous demandant de verser une rançon pour avoir accès à vos données. Votre ordinateur est sans doute infecté par un rançongiciel.

En mai dernier, des milliers d’ordinateurs à travers le monde ont ainsi été paralysés pendant la cyberattaque « WannaCry ». Il s’agissait en réalité d’un logiciel qui profitait d’une faille de sécurité dans le système d’exploitation Windows pour s’installer sur les ordinateurs touchés.

Les rançongiciels ne bloquent pas toujours des ordinateurs entiers. Certains ciblent des types de fichiers spécifiques, comme des documents Word, des photos ou des bases de données, explique Jean-Philippe Décarie-Mathieu, directeur général et secrétaire-trésorier de Crypto.Québec. Mais ils ont tous en commun d’exiger une rançon.

« Il ne faut pas payer la rançon, puisque rien n’indique que l’attaquant honorera sa parole et donnera les clés de déchiffrement à la victime, explique ce spécialiste en cybersécurité. Faites des sauvegardes de vos fichiers importants de façon régulière et stockez le tout sur un hôte externe, comme sur une clé USB ou dans le nuage. »

M. Décarie ajoute qu’il est essentiel de toujours mettre à jour son système d’exploitation pour réduire les risques d’attaques de ce genre.


3. Les fuites de base de données

 

Si vous vous êtes déjà inscrit à un service appartenant à Yahoo, comme Yahoo Mail, Flickr ou Tumblr, il se pourrait que vos informations personnelles et votre mot de passe soient entre les mains de pirates. Un milliard de comptes d’utilisateurs de Yahoo ont été compromis en 2013, touchant plus d’un internaute sur quatre, selon les statistiques de l’Union internationale des télécommunications. Et ce piratage n’a été découvert qu’en 2016!

Cette méthode est une tendance relativement nouvelle, selon M. Décarie-Mathieu. Comme les bases de données piratées contiennent souvent les mots de passe des utilisateurs inscrits et même parfois d’autres informations personnelles, les pirates vont parfois vendre ces informations à des personnes mal intentionnées. Une fois entre leurs mains, ces informations peuvent leur permettre de se connecter à vos comptes un peu partout sur le web, d’usurper votre identité ou de vous voler de l’argent.

La façon de se prémunir de ce type d’attaque est relativement simple et connue de tous : ne pas utiliser le même mot de passe pour différents comptes. Jean-Philippe Décarie-Mathieu recommande pour ce faire d’utiliser un gestionnaire de mots de passe, tels que LastPass ou KeePassX.

« Vérifiez aussi régulièrement sur Have I Been Pwned si votre adresse courriel se retrouve dans une fuite de données publique, conseille M. Décarie-Mathieu. Si c’est le cas, modifiez immédiatement le mot de passe associé à cette adresse. »

Et si vous utilisez ce mot de passe sur d’autres comptes, profitez-en pour les modifier du même souffle.

 

http://ici.radio-canada.ca/

Comment éviter de se faire avoir par des e-mails de phishing (hameçonnage)


Il y a certaines précautions à prendre quand on ouvre votre boite courriel. Parmi eux, ce sont des hameçonnage (phishing) qui peuvent vous faire de grosses misères. Il y a quelques points à savoir pour éviter de cliquer sur n’importe quoi
Nuage

Comment éviter de se faire avoir par des e-mails de phishing

 

Phone security | Ervins Strauhmanis via Flickr CC License by

Phone security | Ervins Strauhmanis via Flickr CC License by

Repéré par Grégor Brandy

Repéré sur Wired

Toujours, toujours être sur ses gardes.

Ça n’arrive qu’aux autres, à ceux qui ne font pas attention, qui n’y connaissent rien, qui font n’importe quoi sur internet. Jusqu’au jour où ça nous arrive à nous. Ça, c’est se faire avoir par du phishing (du hameçonnage, en français), cette technique qui consiste à vous envoyer un e-e-mail en se faisant passer pour quelqu’un dans le seul but de vous faire cliquer sur un lien, et vous faire rentrer identifiants et mots de passe dans une nouvelle page vous les demandant.

À l’été 2014, on avait ainsi découvert que de nombreuses stars américaines s’étaient ainsi fait voler leur identifiant iCloud de cette façon, permettant aux pirates de collecter leurs photos privées, dont certaines ont ensuite fini par être partagées sur des forums. Même chose avec le piratage de l’adresse e-e-mail de John Podesta, l’ancien chef de campagne d’Hillary Clinton, lors de la dernière présidentielle américaine.

Le phishing marche, souligne ainsi Wired, qui explique que 100.000 nouvelles attaques ont lieu chaque jour, et que quelques milliers réussissent. En septembre 2016, une étude allemande montrait qu’un étudiant interrogé sur deux pouvait se faire avoir par le message d’un inconnu. Alors pour éviter de se faire avoir, le magazine américain propose trois solutions.

Tout d’abord, toujours réfléchir avant de cliquer.

«Si quelque chose a l’air bizarre, c’est que ça l’est probablement», et «vous devriez toujours être réticents à l’idée de télécharger les pièces jointes et de cliquer sur les liens, peu importe s’ils ont l’air innocent, ou la personne qui les a envoyés».

En clair, toujours regarder l’origine de l’e-e-mail, et si quelque chose semble louche, ne pensez même pas à télécharger ou cliquer sur quoi que ce soit.

Ensuite, scruter la source. L’étape basique mais qu’on oublie si souvent. Pour être sûr que ce e-mail provient bien de Google, Yahoo!, ou de votre banque, vous devriez vraiment vérifier l’adresse qui vient de vous l’envoyer. Cela veut dire regarder dans l’URL de l’adresse si rien n’a l’air louche, ou si des caractères n’ont pas été remplacés par d’autres pour vous tromper (sur cette image par exemple, l’émetteur a ajouté un deuxième «l» à «paypal»). Si l’adresse e-e-mail est bien la bonne, mais que le test semble bizarre, vérifiez que c’est bien la bonne personne qui vient de vous l’envoyer, en tentant de la joindre par un autre canal.

Enfin, préparer ses arrières. En clair, faites comme si vous alliez vous faire avoir un jour ou un autre, et assurez-vous de limiter déjà les dégâts. 

«Cela veut dire prendre des précautions de cybersécurité standards, comme mettre en place une authentification à plusieurs facteurs (on vous a fait un tuto ici), utiliser un gestionnaire de mots de passe ou un autre système pour créer des mots de passe unique et aléatoires, et sauvegardez vos données.»

Parce qu’au fond, le vrai e-maillon faible dans toutes ces histoires se trouve entre la chaise et le clavier.

http://www.slate.fr

5 raisons qui vont vous donner envie de protéger vos données sur Internet en 2017


Internet, les technologies connectées, intelligences artificielles sont tous susceptible d’être piratés pour avoir des renseignements sur des personnes, des sociétés, des hôpitaux, le gouvernement tout.
Nuage

 

5 raisons qui vont vous donner envie de protéger vos données sur Internet en 2017

 

Emmanuel Mériot

Directeur France chez Darktrace

Les cyberattaques qui ont fait la une des journaux cette année, tels que le vol d’argent à la Bangladesh Bank et le piratage des comptes Yahoo !, n’offrent qu’un aperçu de la cyberguerre que se livrent chaque jour, à grande échelle, les hackers et les spécialistes de la sécurité. Cette année nous a montré, plus que jamais, que si quelqu’un entend réellement forcer votre réseau, il y parviendra.

Voici les prévisions en matière de cybersécurité pour l’année 2017.

1. Les pirates ne se contenteront plus de voler les données, ils les modifieront

Aujourd’hui, les hackers les plus compétents ne s’arrêtent pas au simple vol de données, ils se fixent un objectif plus subtil: l’intégrité des données.

Ce scénario est particulièrement inquiétant pour les secteurs qui s’appuient fortement sur une relation de confiance avec le public. Un laboratoire qui ne peut plus garantir la fidélité des résultats de ses essais cliniques, ou une banque dont les soldes de comptes ont été falsifiés, constituent les exemples les plus évidents d’entreprises présentant un risque majeur. Les pouvoirs publics pourraient également faire les frais de ce type d’attaques, engendrant une défiance croissante des citoyens à l’égard des institutions nationales.

Ces «attaques de réputation» pourraient également être déployées pour perturber les marchés financiers. Nous avons déjà eu un aperçu de ce risque potentiel de cyberattaques lors d’opérations de fusion-acquisition. Est-ce une coïncidence si le hack de Yahoo! est survenu alors que Verizon s’apprêtait à racheter la société?

Ces attaques ont également la faculté d’influencer l’opinion publique. Une nation ou tout autre groupe possédant une technologie avancée pourrait non seulement divulguer des courriels, mais les manipuler pour donner l’impression trompeuse qu’un candidat a commis une action illégale ou malhonnête.

2. Les attaques (et les menaces latentes) proviendront davantage de l’intérieur

Les initiés représentent souvent la source des attaques les plus dangereuses. Ils sont plus difficiles à détecter, car ils utilisent des identifiants utilisateurs valables. Ils peuvent provoquer un maximum de dommages du fait qu’ils connaissent les informations nécessaires à leur mission et sont autorisés à y accéder; ils peuvent ainsi circuler entre les segments des réseaux.

Mais les menaces intérieures ne proviennent pas seulement de salariés remontés contre une institution. Des initiés n’ayant aucune intention malveillante peuvent tout à fait constituer une faille, au même titre que des saboteurs réfléchis. Combien de fois avez-vous cliqué sur un lien sans revérifier l’adresse courriel de l’envoyeur?

Pour la seule année passée, les techniques de défense des systèmes immunitaires en entreprise ont capté une multitude de menaces intérieures, notamment un employé exfiltrant délibérément une base de données client une semaine avant l’échéance de son contrat; un développeur de jeu transmettant le code source à son adresse courriel personnelle afin de pouvoir travailler de chez lui le week-end… Cette liste n’est pas exhaustive.

3. L’Internet des objets va devenir l’Internet des failles

En 2016, certains des piratages les plus sophistiqués contre des entreprises impliquaient des objets connectés. Lors de la brèche dans le service DNS Dyn en octobre, un malware s’est rapidement répandu dans un nombre inédit d’appareils. Mais la plupart des piratages d’IdO survenus dans l’année n’ont pas été divulgués; ils incluent des imprimantes, des unités d’air conditionné, des caméras de vidéoconférence, et même des machines à café.

Parmi ces attaques, nombre d’entre elles ont utilisé les appareils IdO comme porte d’entrée pour atteindre des périmètres du réseau plus intéressants. Cette année, l’une des menaces les plus marquantes que nous avons connues portait sur le scanner d’empreintes digitales contrôlant l’accès à une importante usine. Cette menace a été déjouée, les pirates ayant été attrapés alors qu’ils s’apprêtaient à remplacer certaines données biométriques par leur propres empreintes afin d’obtenir un accès physique au site.

4. Les appareils des utilisateurs serviront à demander des (cyber-) rançons

Les ransomware, ces logiciels de rançon malveillants, ont mis à mal de nombreuses sociétés à travers le monde. Ces malwares sont utilisés pour crypter des fichiers à une vitesse telle qu’il est virtuellement impossible de suivre le rythme, et forcent les sociétés à payer des rançons élevées pour s’en libérer.

Les hôpitaux constituent aujourd’hui des cibles de choix, étant devenus de véritables jungles numériques particulièrement bien garnies, depuis les équipements médicaux vitaux et les fichiers patients essentiels, jusqu’aux appareils des patients et aux ordinateurs des employés. Cette année, le Hollywood Presbyterian Medical Center de Los Angeles a payé l’équivalent de 17 000 $US en Bitcoin à des maîtres chanteurs, après que ses ordinateurs aient été mis hors service pendant une semaine.

En 2017 et au-delà, nous allons assister au début d’un nouveau type d’extorsion au niveau micro, avec des utilisateurs pris pour cible via un large choix d’objets connectés. Imaginez: si le nouveau GPS installé dans votre voiture était piraté alors que vous êtes déjà en retard pour un rendez-vous, combien seriez-vous prêt à débourser pour le rendre de nouveau utilisable?

5. L’intelligence artificielle deviendra malveillante

L’intelligence artificielle est formidable dans bien des domaines: voitures autonomes, assistants virtuels, amélioration des prévisions météorologiques, la liste est longue. Mais l’intelligence artificielle peut également être utilisée par des pirates pour mener des attaques hautement sophistiquées et persistantes, qui se perdent dans le bruit des réseaux.

En 2017, il faut s’attendre à ce que l’IA soit utilisée à tous les niveaux d’une cyberattaque. Cela inclut la faculté de mener des campagnes d’hameçonnage sophistiquées et sur mesure qui parviendront à tromper même le plus méfiant des employés.

Les pirates de l’année prochaine en savent plus sur vous que ce que dit votre profil sur les réseaux sociaux. Ils savent que votre rendez-vous de 10h00 avec votre fournisseur aura lieu à son nouveau siège social. À 9h15, un courriel dont l’objet sera: «Adresse de nos nouveaux locaux» arrivera dans votre boîte aux lettres, apparemment en provenance de la personne avec qui vous avez rendez-vous, alors même que vous descendez du train. Question: cliquez-vous sur le lien avec le plan qui figure dans le message?

http://quebec.huffingtonpost.ca/