Tranquillement assis chez vous ou au travail dans une ambiance sereine, vous vous sentez en sécurité. Ce n’est pas forcément le cas dans des lieux touristiques bondés ou à l'inverse, dans des petites ruelles mal éclairées où vous vous demandez, si vous vous en sortirez sans dommage. Mais attention ! Car votre ordinateur ou votre smartphone est connecté au monde entier, et vous ne vous doutez pas que quelqu'un pourrait vous nuire, là où vous vous sentez en sécurité. Pourtant, certains ont de bonnes motivations, lesquelles ?
Les motivations
En général, les motivations sont les mêmes que celles de la rue. Des personnes mal intentionnées essayent de faire du profit en volant vos informations: mots de passe, données bancaires, photos ou secrets. Pour une entreprise, il est intéressant de voler les données clients, les secrets industriels, et d’en profiter pour effacer ou changer des données, effacer leurs traces, leurs dettes ou encore enlever des données compromettantes. Elles bloquent des services: serveur, site internet, messagerie. Elles usurpent votre identité, afin de profiter de vos services, d'attaquer quelqu'un d'autre ou de ruiner votre réputation. Vous n'êtes donc pas si tranquille que cela!
Quelles sont les différents moyens pour y parvenir ?
- Les moyens physiques
Cela peut être tout simplement de manière physique. Il est étonnamment facile d'accéder à des endroits "sensibles", souvent par manque de vigilance. Une personne serviable vous tient la porte, pour vous rendre service lorsque vous transportez un objet volumineux et entrez à la réception. Pendant que la personne à l’accueil vous annonce ou effectue une autre tâche, elle vous laisse seul, proche de son PC, car elle ne se rend pas compte des dangers potentiels. Il est alors possible, pour une personne mal intentionnée, de voler des éléments, tels que disques durs, PC, téléphones, clés USB ou de débrancher une prise d'alimentation, une fibre optique, des liens routeurs, des passerelles. Une autre possibilité consiste à vandaliser : casser, mettre le feu ou inonder peut infliger d'énormes dégâts. De petits appareils très discrets peuvent être cachés. Après avoir récolté de nombreuses données, ce derniers seront récupérés pour être analysés. La technologie en perpétuel progrès offre de bons téléobjectifs, paires de jumelles, micros directionnel, qui permettent d'obtenir des informations à distance.
De plus, l'humain n'est pas toujours fiable. La maladresse n'est pas une attaque en soi, mais quand nous constatons les dégâts, cela revient au même. Imaginez qu'une personne efface par mégarde toutes les données clients d'une société. Le vendeur sera perdu, incapable de travailler efficacement sans aucun contact et le comptable n'aura plus aucune trace des transactions.
Le grand public est souvent ignorant ou inconscient des risques qu'il prend. Cela peut impliquer d'autres personnes, d'autres sociétés, voire la société elle-même. Une des très belles portes d'entrée dans une entreprise reste le collaborateur. Il peut devenir un complice à son insu, sa motivation peut aller du profit à la vengeance suite à son mécontentement. Il peut également se faire piéger comme Hollywood aime nous le montrer dans ses films et ses séries.
- Les moyens pseudo-informatiques
Quel est le plus simple moyen d'avoir votre mot de passe ? Le plus simple est de vous le demander !
Un des moyens très connu s'appelle le phishing (hameçonnage). C'est une technique qui consiste à vous demander vos données personnelles ou confidentielles, en se faisant passer pour quelqu'un de confiance: une banque, une administration, un magasin. Cela peut se faire par messagerie, sur un faux site internet ou autre. Il est aussi possible d'usurper l'identité de quelqu'un. Après avoir récolté quelques données, il sera facile pour un tiers de se faire passer pour quelqu'un de confiance et de vous soutirer des informations ou de l'argent grâce à un faux compte Facebook ou en piratant votre boîte de messagerie.
- Les moyens informatiques
Vous pouvez recevoir un programme "virus" dans votre ordinateur. Il fonctionne comme un virus médical, il se reproduit et se propage à travers d'autres supports. Il est peu actif, peu nocif. Il est souvent confondu avec le ver qui lui, utilise les ressources machines infectées et n'a pas besoin d'un programme hôte pour se propager. Le ver peut créer une porte sur votre machine un "cheval de Troie", chercher, espionner ou détruire des données sensibles. Il est aussi capable de provoquer un "déni de service", c’est-à-dire qu’il épuise vos ressources tels que messagerie ou routeur, jusqu'à saturation. Vos services ne sont alors plus opérationnels. Comme la fièvre, cette infection est perceptible, car celle-ci a tendance à ralentir la machine, à provoquer des réactions étranges de la souris, à effectuer des accès au disque, au réseau sans que vous l'ayez demandé.
Dans les programmes informatiques, il existe des "failles". Ce sont des points faibles de sécurité qui permettent de s'y introduire afin d'aller chercher des informations confidentielles et d'utiliser votre identité pour exécuter différentes tâches, ainsi que pour brouiller les traces des pirates ou profiter de votre meilleure infrastructure.
Comment prévenir un piratage?
D'abord, il faut être conscient qu'il est "impossible" de se protéger à 100%. C'est pourquoi il existe des spécialistes sécurité qui travaillent continuellement pour trouver les failles et renforcer la sécurité.
Mais quelques précautions simples peuvent rendre votre ordinateur moins sensible. Utilisez un antivirus à jour, un firewall et lancez régulièrement un outil qui détecte et supprime les logiciels malveillants. Verrouillez vos machines quand vous vous éloignez. Une chose importante, mais difficile a réaliser est d'avoir une politique de mot de passe. N'attribuez pas le même partout, veillez à ce qu'ils ne soient pas trop faciles : 1234 ou le prénom de vos enfants est un exemple de mot de passe simple à découvrir. Nous vous conseillons d'activer la double sécurité, qui vous demande un mot de passe que vous devez ensuite confirmer en entrant le code qui vous a été envoyé par SMS. Par ailleurs, il existe des logiciels pour gérer et générer vos mots de passe.
Enfin, il faut faire preuve de "bon sens". Soyez critique et demandez-vous "pourquoi ?"
Quelques exemples :
- Une connaissance vous demande de l'argent ? Même un ami aurait de la peine à le faire par mail.
- Votre banque, votre opérateur vous demande votre mot de passe ? Ils ne le feront pas ! Ils n'en ont pas besoin.
- Un contact vous paraît suspect? Demandez son nom, son entreprise, cherchez le numéro dans l'annuaire et rappelez-le par le numéro général. (Certaines entreprises ne donnent pas de nom, mais sont obligées de donner le numéro de position ou de matricule)
- Microsoft ou d'autres entreprises informatiques vous demandent une prise de main à distance, par ex. parce que votre machine pollue le net ! Parce que votre licence expire ! Attention, vous ne verrez pas réellement ce qu'ils font. Ne le faites pas, surtout si c'est eux qui vous ont contacté.Si vous avez appelé le support, c'est en général le "niveau 2" qui vous le demande (cf. "Support niveau 1, 2 & 3")
- Une page de connexion, un site paraît suspect ? Tapez vous même le lien de base "www.exemple.com" et naviguez pour atteindre la page de connexion. Vous saurez que cette page est différente de celle de votre véritable fournisseur.
- Un ami vous demande comme "amis" sur facebook une seconde fois ? Vérifiez le nouveau profil : photos, informations, amis communs.
- Une demande d'amis que vous ne connaissez pas ? En général, les faux profils ont peu de photos, très jolies, peu d'amis, pas de données personnelles.
Comment réagir?
Si vous vous êtes fait pirater votre boîte mail, votre carte de crédit, etc. il faut immédiatement avertir le fournisseur de service. Sur leur site, vous trouvez des moyens de récupérer ou de dénoncer un compte.
Recours Possibles
En termes pénaux, la nature de l'infraction n'a pas d'importance, qu'elle ait été commise au moyen d'Internet ou par un moyen plus "traditionnel". Dès qu'il y a escroquerie, vol, tromperie, c'est la police judiciaire qui traite habituellement votre plainte. Dans ce cas, la brigade des vols. Pour des délits de type sexuel l'organe compétent sera la brigade des mœurs. Le rôle de la police est d'identifier le ou les auteurs et de les remettre à la justice.
La complexité d'Internet et des réseaux informatiques fait que dans le cadre des enquêtes, la police ou le juge demande fréquemment à des sociétés privées de collaborer afin d'identifier le ou les détenteurs d'adresses informatiques. Il va de soi que si l'adresse de l'escroc se trouve dans un autre pays ou sur autre continent, l'entraide pénale internationale entre un jeu. Le sujet est donc très complexe. Le problème principal est que la loi diffère d'un pays à l'autre (accords bilatéraux). En effet, en vertu de la souveraineté des états, la Suisse ne peut pas condamner quelqu'un à l'étranger. Pour cela, il faut obtenir la coopération de l'Etat tiers qui (suivant les cas) n'est pas forcément enclin à collaborer.
Puis, il reste la question des prétentions civiles. Si une personne est condamnée dans un pays "X" pour avoir arnaqué des citoyens suisses, et que cette personne a un compte bancaire en Suisse, ses avoirs peuvent être séquestrés et une procédure selon le droit des poursuites peut être engagée. Pour cela, il faut que le jugement étranger soit valide et reconnu en Suisse. Dans ce domaine c'est avant tout la convention de Lugano qui est appliquée (Convention concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale), mais il existe énormément d'accords bilatéraux qui règlent ces questions avec les pays non partis à ces conventions. Vous pouvez consulter la liste des accords que la Suisse possède avec les autres pays sur le site de la confédération.
Nous pourrions penser à juste titre que des accords solides avec les autres pays seraient une solution, mais comme souvent, les mesures de lutte suivent l'ingéniosité des "escrocs". Par exemple, il existe un réseau appelé TOR (The Onion Router). Comme son nom l'indique le routeur oignon est un réseau en couche qui sert à rendre anonyme les échanges sur internet. Le réseau utilise plusieurs serveurs à la suite, chacun connaît uniquement l'adresse du précédent et du suivant. De plus, chaque serveur dispose à la fois d'une identité publique et secrète, ainsi il est " impossible" pour la justice de remonter le chemin, car celui-ci est constamment changé. Il est reconnu que le service de renseignement des États-Unis a utilisé TOR à des fins de sécurité nationale, car il ne faut pas oublier qu'à la base, ces réseaux ont été conçus pour garantir la sécurité des internautes et protéger leur anonymat.
Nous ne vivons pas dans un monde idyllique, il y aura toujours des personnes pour essayer de s'accaparer les biens d'autrui, pour essayer de profiter de la situation. Chaque invention, chaque innovation n’est qu’un outil et c'est suivant son utilisation que nous pouvons déterminer si elle est positive ou non. N'est-ce pas en voyant sa nécrologie prématurée qu'Alfred Nobel se rendit compte de l'utilisation désastreuse de sa dynamite et qu'il créa le prix Nobel ?
Ne devenez donc pas paranoïaque ! Comme dans la rue, les risques existent. Nous ne pouvons pas tous les supprimer, mais ce n'est pas une raison pour rester chez soi. Etre conscient des risques est déjà un bon début. Pour ces raisons, la prévention de ce type d'attaque est très importante. Il faut être attentif et comme nous l’avons expliqué :
Gardez votre "bon sens" ! - Soyez critique ! - Demandez-vous "pourquoi ?"
Je remercie:
- Un ami qui se reconnaîtra, et qui a pris le temps de répondre aux questions juridiques.
- Le service de presse et des relations publiques de la police qui a répondu à mes questions.
Sources :
http://fr.wikipedia.org/wiki/Ver_informatique
http://www.admin.ch/opc/fr/classified-compilation/19810037/index.html
https://www.ge.ch/police/nos-services/pj/
http://www.rhf.admin.ch/rhf/fr/home/rhf/index/laenderindex.html
http://fr.wikipedia.org/wiki/Tor_(r%C3%A9seau)
http://fr.wikipedia.org/wiki/Commotion
http://fr.wikipedia.org/wiki/Prix_Nobel
Photo credit: oto credit: Don Hankins via photopin cc; Christophe Verdier via photopincc; PateandoPiedrasweb via photopincc
Article très intéressant !
Bravo et merci pour toutes ces informations !
Sujet pas toujours facile à saisir, mais bien amené. Bien joué, Patrick !