Extorsion numérique : augmentation des menaces
Actualité

Extorsion numérique : augmentation des menaces

artia13

TECHNO – En parallèle des attaques ciblées et d’une augmentation générale de la cyber-criminalité, le dernier rapport annuel sur les menaces de sécurité sur Internet montre une forte croissance des « ransomware », ces logiciels malveillants d’extorsion numérique. Qui est concerné? Comment s’en prémunir? Quelles mesures personnelles et professionnelles adopter pour les éviter?

Grandes tendances de sécurité en 2014

S’appuyant sur la télémétrie du plus gros réseau civil d’observation des menaces en ligne et l’analyse des experts de Symantec, le rapport annuel de sécurité sur Internet de l’entreprise montre, d’une part, une sophistication et un ciblage croissants des attaques ciblées contre les entreprises, touchant essentiellement, soit les grands groupes, soit les PME; une exploitation toujours plus rapide des failles de sécurité logicielle, une forte augmentation de la cybercriminalité (près d’un million de programmes malveillants ont été créés chaque jour en 2014) et surtout une croissance exponentielle de l’extorsion numérique: +113% et avant tout de sa variante en mode crypté (« Cryptolockers ») avec une multiplication par 45 (oui, oui, 45!) des cas.

Extorsion numérique: de quoi parle-t-on?

On connaissait déjà, depuis deux ans environ, le « ransomware » ou « rançongiciel » en français peu élégant. Ce type de programmes malveillants bloque l’ordinateur infecté, affiche une page copiant le graphisme des communications de la police (adapté en fonction de la localisation de la cible), demande à son propriétaire de payer une « amende », en prétextant une action illégale de celui-ci sur Internet et pour ensuite « libérer » l’accès aux données et au fonctionnement du terminal infecté. Surprenant, saisissant, et généralement bien réalisé, il applique donc une rançon, prenant en otage l’ordinateur infecté, il joue sur les peurs de l’internaute. Celui-ci va communiquer ses coordonnées de carte bancaire, sans pour autant toujours retrouver l’accès à son ordinateur, mais en ayant assurément perdu et son argent, et bien souvent ses coordonnées bancaires. Ce type de « maliciel » prospère depuis deux ans et a encore augmenté de 113% l’an dernier.

Vers un nouveau modèle d’extorsion numérique avec chiffrement des données sur ordinateur et sur mobile

Depuis fin 2013 et surtout en 2014, on observe le développement plus inquiétant de la version chiffrée du « ransomware ». Appelé « cryptolocker », ce type de « maliciel » suit le même mode opératoire, mais avec une nuisance supplémentaire: il chiffre les données du terminal infecté. Alors qu’avec un ransomware classique, il suffit de faire intervenir un logiciel de nettoyage adéquat ou son meilleur ami geek, le « cryptolocker » présente un chiffrement très souvent extrêmement puissant, qui ne permet pas d’être « cassé ». L’utilisateur paie donc la rançon demandée, mais sans systématiquement pouvoir accéder et donc réutiliser ses données. Ce type d’extorsion est en forte augmentation, puisque nous avons vu une multiplication par quarante-cinq des cas l’an dernier. Ceux-ci représentent en France plus de 9% des cas de « ransomware ».

Ce type d’extorsion numérique par chiffrement touche bien sûr les individus, premières victimes, mais plus récemment et de façon inquiétante: les entreprises. En effet, avec la fin de de la frontière entre terminaux personnels et professionnels, nous avons noté une hausse de ces demandes de rançon suite à un chiffrement crapuleux. Si, pour un individu, le montant de celle-ci s’élève à quelques centaines d’euros, ce qui est déjà une forte somme, pour une entreprise, on parle de dizaines ou même de centaines de milliers d’euros. Evidemment, que l’on soit un grand groupe ou une PME, on est plutôt disposé à régler rapidement pour avoir accès à ses données et à celles… de ses clients.

Dernière évolution en date de ces « cryptolockers »: leur apparition sur mobile comme le cas des « malwares », « simplocker » ou « fakedefender », via des applications malveillantes, disponibles sur de faux marchés d’applications, copiant à l’identique les magasins d’applications officiels. Même développement, même approche et même chiffrement des données et applications (professionnelles et personnelles) se trouvant sur le terminal, avec également le risque de propagation sur le réseau de l’entreprise lors que le smartphone est connecté au terminal de l’utilisateur.

Quelques gestes simples pour s’en prémunir

Il ne s’agit pas ici de jouer les « Cassandre mais uniquement d’informer sur ce type de menace, d’autant que des solutions existent, pour les entreprises et les particuliers. Au-delà d’une solution de sécurité adéquate, il faut avant tout suivre une démarche proactive de sécurité et anticiper les points d’accès, pour ensuite se préparer au pire, travailler sa « cyber-résilience » et former… ses employés. Pour les particuliers, mots de passe forts, prudence et connaissance viennent compléter la dimension technologique. La meilleure protection passe en effet par la conjugaison de l’humain et de la technologie.

  • Avoir un mot de passe « fort » – Avant toute chose, il est important de sécuriser ses mots de passe, ce que l’on appelle avoir un mot de passe « fort ». Pour ce faire, il faut que celui-ci soit relativement long (au minimum 7 caractères), et pas uniquement composé de lettres. Majuscules, chiffres et signes doivent être de la partie (par exemple, « HufFington2013@PoSt! »). Pour tester la force d’un mot de passe, c’est par ici. S’il faut pouvoir s’en souvenir, il faut aussi éviter d’utiliser des noms ou chiffres facilement identifiables, tel votre date de naissance, votre numéro de département ou le nom de votre chien. Ces informations peuvent facilement être retrouvées par des pirates si vous ne faites pas très attention à votre vie privée.
  • Diversifier ses mots de passe - Mais avoir un mot de passe fort ne suffit pas, il faut penser à les diversifier. Car si jamais l'un des sites sur lequel vous êtes connecté est piraté, alors tous vos comptes sont potentiellement concernés si vous n'avez pas différents mots de passe. Dans l'idéal, il faudrait avoir un mot de passe pour chaque site. Dans les faits, vous pouvez utiliser le même mot de passe, relativement basique, pour tous les sites non-critiques (forums, site d'entraide, etc) avec quelques variables (une majuscule, un chiffre, un signe de ponctuation, etc). Par contre, pour des sites regroupant plusieurs informations (une boite mail) ou sur lesquels des informations personnelles comme vos coordonnées bancaires sont stockées, n'hésitez pas à "blinder" votre mot de passe. Enfin, si vous n'avez pas de mémoire, plutôt que de noter votre mot de passe sur des bouts de papiers, vous pouvez utiliser un gestionnaire de mots de passe. La plupart sont cryptés et sécurisés, mais cela revient tout de même à regrouper tous ses oeufs dans le même panier. Voici un <a href="http://www.infos-du-net.com/actualite/dossiers/240-securite-cryptage.html" target="_blank">petit comparatif de ces logiciels</a> réalisé par Tom's guide.
    Diversifier ses mots de passe – Mais avoir un mot de passe fort ne suffit pas, il faut penser à les diversifier. Car si jamais l’un des sites sur lequel vous êtes connecté est piraté, alors tous vos comptes sont potentiellement concernés si vous n’avez pas différents mots de passe. Dans l’idéal, il faudrait avoir un mot de passe pour chaque site. Dans les faits, vous pouvez utiliser le même mot de passe, relativement basique, pour tous les sites non-critiques (forums, site d’entraide, etc) avec quelques variables (une majuscule, un chiffre, un signe de ponctuation, etc). Par contre, pour des sites regroupant plusieurs informations (une boite mail) ou sur lesquels des informations personnelles comme vos coordonnées bancaires sont stockées, n’hésitez pas à « blinder » votre mot de passe. Enfin, si vous n’avez pas de mémoire, plutôt que de noter votre mot de passe sur des bouts de papiers, vous pouvez utiliser un gestionnaire de mots de passe. La plupart sont cryptés et sécurisés, mais cela revient tout de même à regrouper tous ses oeufs dans le même panier. Voici un petit comparatif de ces logiciels réalisé par Tom’s guide.
  • La double vérification - Un mot de passe fort, c'est bien. Des mots de passe diversifiés, c'est mieux. Mais parfois, ça ne suffit pas. Sur certains sites sensibles (comme votre mail principal qui regroupe la plupart de vos informations), deux vérifications valent mieux qu'une. Ainsi, la plupart des géants du web proposent depuis peu un système de double authentification. Une fois le mot de passe tapé, il faut rentrer un code chiffré généré aléatoirement par SMS ou via une application mobile. Ce système existe entre autres chez Google, Facebook, Twitter, Microsoft, Evernote, Amazon, LinkedIn Dropbox ou encore eBay.
    La double vérification – Un mot de passe fort, c’est bien. Des mots de passe diversifiés, c’est mieux. Mais parfois, ça ne suffit pas. Sur certains sites sensibles (comme votre mail principal qui regroupe la plupart de vos informations), deux vérifications valent mieux qu’une. Ainsi, la plupart des géants du web proposent depuis peu un système de double authentification. Une fois le mot de passe tapé, il faut rentrer un code chiffré généré aléatoirement par SMS ou via une application mobile. Ce système existe entre autres chez Google, Facebook, Twitter, Microsoft, Evernote, Amazon, LinkedIn Dropbox ou encore eBay.
  • Sécuriser sa connexion - Comme dit précédemment, il faut éviter de naviguer sur des sites inconnus, peu référencés ou suspects. Car même si vous évitez d'installer des programmes sur votre ordinateur, une simple visite sur une page peut permettre à un pirate d'avoir accès à certaines informations... comme les mots de passe que vous tapez. En dehors d'une prudence à la limite de la paranoïa, il y a surtout deux choses à faire si vous n'êtes pas sûrs du site sur lequel vous êtes: • Si vous devez renseigner des informations personnelles, vérifiez que l'url (l'adresse du site) commence bien par "https" et non par "http", ce qui veut dire que la connexion est sécurisée. Un cadenas jaune doit aussi apparaître à gauche de l'adresse. • De manière générale, il peut être intéressant d'installer sur votre navigateur web des extensions permettant de bloquer le "JavaScript". Ce langage permet de rendre des pages interactives, mais peut aussi poser des problèmes de sécurité. De nombreuses extensions comme "No Script" existent sur les navigateurs Firefox et Chrome. Ils permettent de bloquer par défaut l'utilisation du JavaScript, mais vous permet de mettre les sites de votre choix sur une liste blanche.
    Sécuriser sa connexion – Comme dit précédemment, il faut éviter de naviguer sur des sites inconnus, peu référencés ou suspects. Car même si vous évitez d’installer des programmes sur votre ordinateur, une simple visite sur une page peut permettre à un pirate d’avoir accès à certaines informations… comme les mots de passe que vous tapez. En dehors d’une prudence à la limite de la paranoïa, il y a surtout deux choses à faire si vous n’êtes pas sûrs du site sur lequel vous êtes: • Si vous devez renseigner des informations personnelles, vérifiez que l’url (l’adresse du site) commence bien par « https » et non par « http », ce qui veut dire que la connexion est sécurisée. Un cadenas jaune doit aussi apparaître à gauche de l’adresse. • De manière générale, il peut être intéressant d’installer sur votre navigateur web des extensions permettant de bloquer le « JavaScript ». Ce langage permet de rendre des pages interactives, mais peut aussi poser des problèmes de sécurité. De nombreuses extensions comme « No Script » existent sur les navigateurs Firefox et Chrome. Ils permettent de bloquer par défaut l’utilisation du JavaScript, mais vous permet de mettre les sites de votre choix sur une liste blanche.
  • Bonus: sécuriser son smartphone - C'est bien beau de sécuriser vos mots de passe, mais si vous vous faites voler votre smartphone, cela ne servira pas à grand-chose. Car sur votre téléphone, vos sessions sont en général ouvertes par défaut. Voici donc quelques autres astuces pour sécuriser son smartphone.
    Bonus: sécuriser son smartphone – C’est bien beau de sécuriser vos mots de passe, mais si vous vous faites voler votre smartphone, cela ne servira pas à grand-chose. Car sur votre téléphone, vos sessions sont en général ouvertes par défaut. Voici donc quelques autres astuces pour sécuriser son smartphone.
  • Mettre un code de verrouillage - La chose la plus simple à faire, mais aussi quelque peu contraignante, consiste à mettre en place un code de verrouillage sur l'écran d'accueil. Tous les smartphones proposent cette option, soit sous la forme d'un mot de passe, d'une série de chiffres, voire d'une forme géométrique à reproduire. Si quelqu'un souhaite utiliser votre smartphone sans votre permission, il ne pourra donc rien faire (à part appeler un numéro d'urgence) sans ce code. Par contre, vous devrez de votre côté taper ce code à chaque fois que vous voulez faire la moindre chose sur votre téléphone.
    Mettre un code de verrouillage – La chose la plus simple à faire, mais aussi quelque peu contraignante, consiste à mettre en place un code de verrouillage sur l’écran d’accueil. Tous les smartphones proposent cette option, soit sous la forme d’un mot de passe, d’une série de chiffres, voire d’une forme géométrique à reproduire. Si quelqu’un souhaite utiliser votre smartphone sans votre permission, il ne pourra donc rien faire (à part appeler un numéro d’urgence) sans ce code. Par contre, vous devrez de votre côté taper ce code à chaque fois que vous voulez faire la moindre chose sur votre téléphone.
  • Rester en terrain connu - Même si un smartphone n'est pas un ordinateur, il possède potentiellement des failles pouvant être exploitées. Ainsi, si vous voulez tenter des manipulations qui ne sont pas prévues par les constructeurs, soyez sur vos gardes. Le "jailbreak" pour l'iPhone ou "Root" pour les smartphones Android permet de déverrouiller de nombreuses fonctions, mais expose aussi le téléphone aux virus (et annule la garantie). Attention donc à vos données personnelles. Autre précision: si l'iPhone est totalement fermé par défaut, Android permet lui d'installer des applications qui ne proviennent pas directement du magasin officiel (Google Play). Si vous faites cela, soyez conscients que l'application que vous installez n'a pas été vérifiée par Google. Vous pouvez aussi mettre un antivirus sur votre smartphone, même si ceux-ci risquent de diminuer la durée de vie de votre batterie.
    Rester en terrain connu – Même si un smartphone n’est pas un ordinateur, il possède potentiellement des failles pouvant être exploitées. Ainsi, si vous voulez tenter des manipulations qui ne sont pas prévues par les constructeurs, soyez sur vos gardes. Le « jailbreak » pour l’iPhone ou « Root » pour les smartphones Android permet de déverrouiller de nombreuses fonctions, mais expose aussi le téléphone aux virus (et annule la garantie). Attention donc à vos données personnelles. Autre précision: si l’iPhone est totalement fermé par défaut, Android permet lui d’installer des applications qui ne proviennent pas directement du magasin officiel (Google Play). Si vous faites cela, soyez conscients que l’application que vous installez n’a pas été vérifiée par Google. Vous pouvez aussi mettre un antivirus sur votre smartphone, même si ceux-ci risquent de diminuer la durée de vie de votre batterie.
  • Sécuriser ses données sur son smartphone - Si vous n'avez pas envie de bloquer votre écran d'accueil, vous pouvez aussi sécuriser certaines applications ou données sur votre smartphone. Il existe de nombreuses applications sur les différents types de smartphones permettant de stocker derrière un mot de passe vos photos ou vos données, comme Picture safe. Certains programmes proposent même de mettre un mot de passe sur les applications de votre choix, comme Smart App Protector, afin que personne ne puisse utiliser votre compte Facebook par exemple.
    Sécuriser ses données sur son smartphone – Si vous n’avez pas envie de bloquer votre écran d’accueil, vous pouvez aussi sécuriser certaines applications ou données sur votre smartphone. Il existe de nombreuses applications sur les différents types de smartphones permettant de stocker derrière un mot de passe vos photos ou vos données, comme Picture safe. Certains programmes proposent même de mettre un mot de passe sur les applications de votre choix, comme Smart App Protector, afin que personne ne puisse utiliser votre compte Facebook par exemple.

Avoir un mot de passe « fort » – Avant toute chose, il est important de sécuriser ses mots de passe, ce que l’on appelle avoir un mot de passe « fort ». Pour ce faire, il faut que celui-ci soit relativement long (au minimum 7 caractères), et pas uniquement composé de lettres. Majuscules, chiffres et signes doivent être de la partie (par exemple, « HufFington2013@PoSt! »). Pour tester la force d’un mot de passe, c’est par ici. S’il faut pouvoir s’en souvenir, il faut aussi éviter d’utiliser des noms ou chiffres facilement identifiables, tel votre date de naissance, votre numéro de département ou le nom de votre chien. Ces informations peuvent facilement être retrouvées par des pirates si vous ne faites pas très attention à votre vie privée.

Auteur :

Aller à la source

artia13

Depuis 1998, je poursuis une introspection constante qui m’a conduit à analyser les mécanismes de l’information, de la manipulation et du pouvoir symbolique. Mon engagement est clair : défendre la vérité, outiller les citoyens, et sécuriser les espaces numériques. Spécialiste en analyse des médias, en enquêtes sensibles et en cybersécurité, je mets mes compétences au service de projets éducatifs et sociaux, via l’association Artia13. On me décrit comme quelqu’un de méthodique, engagé, intuitif et lucide. Je crois profondément qu’une société informée est une société plus libre.