Ne cliquez pas trop vite !
Le mois d’octobre est marqué par une campagne de sensibilisation à la cybersécurité. L’accent est mis cette année sur le phishing. Le mot d’ordre : réfléchissez à deux fois avant de cliquer sur un lien ! On fait le point sur les méthodes et les risques avec le commissaire Olivier Bogaert, de la Direction centrale de la lutte contre la criminalité grave et organisée (DJSOC).
Même si le phishing (ou hameçonnage) commence à se faire connaitre du grand public, trop de gens continuent à cliquer sur des liens repris dans de faux messages. Résultat : un virus s’introduit dans leur système… En cause ? Un clic trop rapide. « Relax et réfléchissez à deux fois avant de cliquer sur un lien » est donc le slogan de la campagne mise sur pied par le Centre pour la Cybersécurité Belgique et la Cyber Security Coalition. Différents spots seront diffusés pendant un mois en radio, en télé et sur le web.
Il faut savoir que le phishing touche autant les particuliers que les entreprises, organisations et pouvoirs publics. Vous n’êtes donc pas épargnés non plus !
En 2018, 648.522 mails malveillants adressés à des particuliers ont été transmis à l’adresse suspect@safeonweb.be. Le Centre pour la Cybersécurité a ainsi bloqué 4 sites frauduleux par jour ! Et le travail est loin d’être terminé. Depuis janvier 2019, le Centre pour la Cybersécurité a reçu plus d’un million de mails transmis par les citoyens.
Olivier Bogaert, le phishing est au cœur de cette nouvelle campagne. Pouvez-vous nous expliquer en quoi consiste le phénomène ? Depuis combien d’années existe-t-il ?
Le phishing consiste à retenir l’attention de l’utilisateur. Celui-ci prend connaissance d’un contenu qui lui est envoyé et doit cliquer sur un lien qui l’invite à réintroduire ses données. Soit parce qu’il a été soi-disant déconnecté ou encore qu’il a connu un souci technique… Les pirates jouent sur l’impulsivité, l’inquiétude et la curiosité.
En soi, le phénomène n’est pas nouveau. Il existait déjà avec les courriers papiers qui prétendaient que nous étions les seuls héritiers d’un important magot ! A présent, avec Internet, le phénomène prend une autre ampleur !
Les conséquences peuvent être plus ou moins importantes ?
Cela peut aller du piratage de compte, au marchandage des données obtenues, à l’installation d’un logiciel malveillant, ou encore au chantage suite au blocage d’un système dans une entreprise. Le risque existe tant au niveau des adresses privées que professionnelles. D’où l’importance de (re)lancer des campagnes de prévention !
D’autant plus que les pirates font continuellement évoluer leurs méthodes... Quelles sont les tendances actuelles ?
Ils travaillent beaucoup leur scénario, font preuve d’inventivité, pour le rendre le plus crédible possible et misent ensuite sur la réactivité de l’utilisateur. Les « arn-hackers » profitent de l’hyper connectivité pour faire tomber les gens dans leur piège. Ils utilisent à présent les notifications, les SMS et les services de messagerie instantanée. Ils collectent les informations et adaptent le message à leur cible.
Ils se servent d’ailleurs des profils LinkedIn pour mieux cerner leur cible ?
En effet. Le réseau social est utilisé pour collecter des informations et cibler quelqu’un. Le hacker se focalise sur l’utilisateur et personnalise un maximum son message. On parle de spear phishing. Sur LinkedIn, je conseille donc toujours d’éviter d’y détailler sa fonction exacte. Imaginez un policier membre de la cellule Disparition qui reçoit un message lui indiquant qu’une personne est en possession d’informations sur quelqu’un qui n’a plus donné signe de vie et l’invitant à cliquer sur le lien pour obtenir tous les détails ? Plein d’espoir, il peut être tenté de cliquer et téléchargera alors un logiciel malveillant !
Face à ce phénomène, un seul mot d’ordre : la prévention. D’où la nouvelle campagne qui a pour slogan « Relax et réfléchissez à deux fois avant de cliquer sur un lien ». La précipitation est toujours mauvaise conseillère ?
J’invite toujours les gens à prendre le temps. Lorsqu’on reçoit par exemple un message d’un ami qui nous réclame de l’argent parce qu’il est atteint d’une maladie, il ne faut pas hésiter à prendre son téléphone et à l’appeler, à vérifier l’information. Ça peut être aussi un message d’une société de recouvrement qui vous réclame de l’argent. Recherchez alors son nom sur Internet… Il faut recouper les sources et ne pas se précipiter sans réfléchir.
Et dans le cas où la personne a malheureusement enclenché le processus, que peut-elle faire ?
Tout dépend du contexte. Elle peut bloquer un transfert d’argent, l’accès à son compte ou encore son fournisseur de mail. Un cas n’est pas l’autre mais il existe des solutions.
La Police Fédérale a un rôle à jouer pour lutter contre le phénomène…
Outre la lutte active où la Federal Computer Crime Unit fournit par exemple des clés de décryptage, notre rôle est de délivrer des conseils et de parler des incidents ainsi que du mode opératoire afin de diminuer au maximum les risques. La communication est essentielle face à ces phénomènes. Au niveau pratique, j’invite également les gens à activer le processus de validation en deux étapes (MFA – multi factor authentification). Il offre un niveau de sécurité supplémentaire à travers un facteur d’authentification.
Quelques conseils pour se protéger du phishing...
1. Ne cliquez pas sur un lien ou une pièce-jointe dans un mail qui vous semble douteux.
2. Quand vous allez sur des sites interactifs ou lorsque vous devez faire des opérations bancaires sur votre ordinateur privé, vérifiez bien que l’adresse démarre par https.
3. Reprenez contact par un autre moyen (autre adresse mail, téléphone,…) avec l’expéditeur d’un mail qui vous semble suspect afin de vous faire confirmer que le message provient bien de lui.
4. Ne diffusez pas d’informations personnelles (coordonnées bancaires, identifiant, mot de passe) par mail.
5. Activez la protection anti-phishing de votre navigateur et le filtre anti-spams de votre mail.
6. Mettez à jour votre anti-virus et vos logiciels régulièrement.