Des conversations de café sur la cybersécurité

La cybersécurité est la sécurité sur internet et celle de nos appareils en connexion avec internet. Il a été question de cybersécurité dans plusieurs cafés numériques, que le sujet soit directement abordé de front ou de manière plus incidente.

Dans ce billet tentons de répondre à quatre questions :

1/ Quels sont les risques ?

2/ Quelles sont les précautions à prendre pour se protéger ?

3/ Que faire en cas de fraude ?

4/ Quel rôle joue Orange pour protéger ses clients ?

1/ Quels sont les risques ?

Toute atteinte à sécurité sur internet génère un état de panique et crée de la vulnérabilité, probablement car elle pénètre dans notre intimité, chez nous, tel un cambrioleur, avec un accès à toute notre vie, pouvant aller jusqu’à la demande de rançon pour vol de données personnelles ou encore l’usurpation d’identité donnant accès aux comptes bancaires et à des pans de notre identité. C’est également angoissant car nous sommes devenus très dépendants d’internet et de nos smartphones qui y accèdent. De plus, le télétravail démocratisé avec la pandémie a augmenté l’exposition aux attaques des organisations et des employés.

Parmi les risques on retrouve la corruption de compte, autrement appelé l’ATO (Account Take Over) : un fraudeur réussi à corrompre votre compte sur un service en ligne (espace client, compte bancaire, …) et il change vos login/mot de passe, ainsi vous ne pouvez plus accéder à votre compte, et le fraudeur va réaliser des opérations pour son compte en votre nom.

Pour y parvenir, le fraudeur utilise en général du phishing : vous recevez un mail d’un organisme connu qui vous demande des informations, comme votre numéro de carte bancaire.

La fraude à la carte SIM est couplée en général à cette fraude, tous les appels et SMS sont détournés sur le numéro du fraudeur qui peut ainsi réaliser l’authentification forte c’est-à-dire l’envoi d’un SMS avec un code (OTP : one time password) à reporter sur le site pour la transaction. Ce risque-là, la fraude sur ligne mobile, peu de monde en est conscient. Toutefois, au café numérique Vos données vous protègent, 1 personne sur 28 raconte en avoir été victime. 1 sur 28, c'est déjà beaucoup.

Il faut relever que l’authentification forte à partir de 30 ou 50€ a limité les fraudes au paiement.

Les fraudes se sont du coup professionnalisées et reportées sur les créations de comptes bancaires.

Un autre risque est la demande de rançon pour la restitution de données personnelles volées, ou de restitution de compte email par exemple.

Enfin il existe le risque d’usurpation d’identité, qui permet au fraudeur, avec des informations vous concernant et des pièces d’identité récupérées sur le dark net ou falsifiées qui peuvent permettre d’ouvrir des comptes en ligne, de souscrire des crédits ou d’autres opérations frauduleuses en votre nom.

Il faut savoir que la fraude en ligne et la cybercriminalité représentent aujourd’hui en valeur 1% du PIB mondial, cela représente donc des centaines de milliards d’euros. C’est aussi pour cela que la fraude s’est énormément professionnalisée et les attaques sont tout sauf artisanales.

2/ Quelles sont les précautions à prendre pour se protéger ?

Globalement la méthode édictée par le National Institute of Standards and Technology (NIST) est la suivante : identifier, protéger, détecter, répondre, récupérer.

Au niveau des pouvoirs publics européens, le Règlement Général sur la Protection des Données (RGPD), a créé en 2016 un cadre réglementaire robuste et harmonisé visant à accroître la sécurité des données personnelles, composante essentielle de la cybersécurité parce qu'il impose que les services des entreprises qui manipulent des données y fassent extrêmement attention.

Et au niveau individuel, quelles sont les solutions pour prémunir, protéger, détecter et résoudre ces menaces ?

Dans les précautions, la discrétion est la première bonne pratique. Une publication d'une photo d'un gâteau d'anniversaire de votre fils Jules par exemple peut donner la puce à l'oreille sur des composantes possibles de mots de passe, le prénom jules et la date de publication de ladite photo, 27 octobre, 2710.

Ne pas divulguer trop d’informations sur sa vie sur les réseaux par exemple, ne pas mettre de photos personnelles avec un profil public sont donc de bons conseils. Car donner trop d’informations permet aux personnes mal intentionnées de trouver des mots de passe, de se créer de faux profils et permet ainsi d’usurper une identité. Il est bon de ne pas publier de photos de soi facilement transformables en photos d'identité pour fabriquer de fausses pièces d'identité.

Ensuite les mots de passe ne doivent jamais être notés quelque part, jamais donné à quelqu’un d’autre, jamais évidents (sans lien avec vous) et doivent être choisis et gérés avec soin, et en fonction du niveau de risque. Voici quelques pratiques partagés lors de nos conversations de cafés numériques :

-    Niveau  de risque faible : des abonnements à des newsletters par exemple, ou à des boutiques en ligne sans qu’on ait laissé son numéro de carte bancaire => le mot de passe peut être assez basique.
-    Niveau de risque fort : les boites emails, les réseaux sociaux, les comptes dans lesquels on a laissé son numéro de carte bancaire => dans ce cas il faut muscler la sécurité de son mot de passe, il doit être non trivial, non trouvable via des informations sur nous que nous laissons d'accès public, avec un nombre conséquent de caractères (12 caractères minimum), avec un mix de caractères (majuscules, minuscules, chiffres, caractères spéciaux), idéalement sans avoir un sens précis (ex. première lettre de chaque mot d’une phrase), unique à chaque compte, et changé régulièrement. Le mieux est l'ennemi du bien et vient rapidement le souci de la mémoire des mots de passe. Certains utilisent comme mots de passe des phrases courtes. Et il y a aussi les gestionnaires de mots de passe.

Enfin il convient bien sûr aussi de ne pas ouvrir les mails douteux, de ne pas télécharger des pièces jointes ou logiciels reçus par email sans savoir ce qu’ils sont, et d’avoir mis en place certains outils notamment un pare-feu et un anti-virus, mais aussi des copies de vos données (idéalement dans 2 endroits différents, un en physique et un dans un cloud par exemple). `

Tout ceci demande de l'attention, notre monde numérique risquer demande du temps d'attention. Notre monde numérique est un monde de gens pressés. Il est un monde qui demande des temps d'arrêt dans le cours du monde pressé.

3/ Que faire en cas de fraude ?

Bien sûr il faut d’abord réagir le plus vite possible, prévenir tout de suite sa banque par exemple si c’est l’objet de la fraude pour faire opposition et limiter les dommages.

En cas de fraude sur boite mail, s'il s'agit d'une boite mail Orange, il faut sans tarder contacter la cellule abuse, abuse@orange.fr. Cette équipe répond chaque jour à des clients pour qu'ils retrouvent leur mail. Il faut savoir que ceci est une spécificité Orange.

4/ Quel rôle joue Orange ?

Un rôle de prévention tout d'abord. La cellule abuse, abuse@orange.fr, traite les demandes de clients qui transfèrent des mails douteux en particulier. Un rôle de prévention aussi en faisant de la lutte contre la fraude à l'usage de ligne mobile un cheval de bataille. En ayant son pôle Cyberdéfense, sa branche dédiée à la sécurité informatique dont l’engagement client s'est notamment traduit par la fermeture quotidienne de 200 sites malveillants par jour, rendant Internet plus sûr.

Orange est acteur de la sensibilisation et la formation des utilisateurs notamment lors d'ateliers numériques.

---