Avec la pandémie, la numérisation de nos usages s’est accrue, notamment via l’utilisation des terminaux mobiles (smartphones, tablettes et PC portables). Nos appareils mobiles nous permettent de quasiment tout faire, que ce soit pour (télé)travailler mais aussi faire ses courses, consulter ses comptes, utiliser les réseaux sociaux et se divertir avec des films ou des jeux. Ce mode de vie axé sur le numérique exposent les utilisateurs à des risques pour leur cyber sécurité.
Les cybercriminels, toujours à l’affut, ont développé des escroqueries visant les terminaux mobiles et les applications mobiles. Selon le dernier rapport McAfee Threats Report, le nombre de logiciels malveillants mobiles a augmenté de 118 % entre le troisième et le quatrième trimestre 2020. En parallèle, d’après l’étude McAfee Consumer Security Mindset 2021, 57 % des utilisateurs français n’utilisent pas de logiciel de sécurité mobile pour protéger leurs données sensibles, les laissant ainsi vulnérables aux cyberattaques de plus en plus sophistiquées.
Il existe plusieurs façons de se faire attaquer/pirater mais avec quelques précautions, on peut être moins vulnérable.
Malwares
Un grand classique du piratage ce sont les malwares et autres applications malveillantes. Cela peut arriver par la réception, d’un fichier infecté par mail (ça peut être un fichier Word ou Excel), ou en cliquant sur un lien malveillant ou en allant sur un site malveillant notamment. Certains cybercriminels vont même jusqu’à créer des QR codes malveillants installant un logiciel malicieux.
Pour s’en prémunir, ne jamais ouvrir de fichier que si on est sûr de l’expéditeur, idem pour les liens. Et éviter d’installer des applications non officielles ou ne provenant pas d’un store officiel d’applications (Apple Store, Play Store, Microsoft store…). Et en complément, utiliser un logiciel de sécurité complet (mobile ou fixe, en fonction de l’appareil) capable de détecter et de bloquer toute une série de menaces. Il faut également bien s’assurer qu’il comporte un pare-feu afin de protéger tous les ordinateurs et périphériques d’un réseau domestique.
Il est également conseillé de sécuriser son réseau : le routeur est le pivot central de tous les appareils connectés, il faut le sécuriser autant que possible en vérifiant que le cryptage est bien activé pour brouiller les données afin que personne ne puisse y avoir accès. Et également changer le mot de passe administrateur par défaut.
Objets connectés piratés
Récemment 100 millions d’objets connectés ont potentiellement été concernés par de nouvelles failles de sécurité. Les attaques ciblent les réseaux Wi-Fi et par conséquent tous les équipements qui y sont reliés. Pour limiter les risques, il est conseillé d’acheter auprès de marques réputées en choisissant des produits de marques de confiance et de bonne réputation en matière de support et de fonctions de sécurité intégrées. Egalement changer le nom d’utilisateur et les mots de passe par défaut, car ils sont souvent disponibles sur le Dark Web, ce qui permet aux cybercriminels de se connecter sur les appareils d’utilisateurs. Une fois connectés, ces derniers peuvent utiliser la connexion pour distribuer des logiciels malveillants visant à infecter les ordinateurs ou les smartphones connectés au même réseau. Et dans la mesure du possible, afin de protéger davantage les appareils riches en contenu, configurer un réseau invité sur le routeur qui est exclusivement destiné à l’Internet des objets connecté du domicile. Avec un réseau d’invité, il est possible de s’assurer que les appareils ne sont connectés qu’aux bons moments et uniquement avec les bonnes autorisations.
Piratage de comptes
Un autre classique des cybercriminels, c’est le piratage de compte. Pour ce faire, le phishing est très utilisé avec plus de 245 000 sites de phishing actifs, un record. Les sites/emails officiels sont très bien imités pour dérober les cordonnées des utilisateurs. Le phishing se fait via Email mais peut aussi se faire via SMS (smsishing) intégrant des URL vers des sites frauduleux.
Le piratage peut arriver également par des mots de passe non suffisamment sécurisés ou redondants et utilisés sur plusieurs comptes différents.
Quelques conseils pour créer des mots de passe sécurisés :
- Partage de mot de passe. Les mots de passe ne doivent jamais être partagés avec autrui, même avec des proches ou des amis de confiance. Le partage d’un mot de passe pourrait faire tomber des informations personnelles essentielles entre les mains de personnes mal intentionnées. Plus important encore, il ne faut jamais partager son mot de passe avec d’autres personnes par texto, par e-mail ou par tout autre canal de communication en ligne. Il est conseillé de ne jamais divulguer ces informations et de garder tous ses mots de passe secret.
- Opter pour un mot de passe impersonnel. Les mots de passe qui contiennent des informations personnelles, comme le nom, l’adresse ou le nom de l’animal de compagnie de l’utilisateur, sont plus faciles à deviner. Mais il est tout à fait possible d’utiliser des préférences personnelles qui ne sont pas très connues pour créer des phrases de passe (ou passphrases) complexes.
- Ne jamais réutiliser les mots de passe. Lorsque l’on réutilise des mots de passes et que ces derniers sont compromis, les acteurs malveillants peuvent potentiellement les utiliser pour accéder à d’autres comptes. Une pratique devenue encore plus risquée ces dernières années, en raison du nombre élevé de violations de données dans les entreprises. Avec un seul piratage, les cybercriminels peuvent mettre la main sur des milliers de mots de passe, qu’ils peuvent ensuite utiliser pour essayer d’accéder à plusieurs comptes.
- Utiliser un gestionnaire de mots de passe. Pour ceux ayant du mal à créer et gérer des mots de passes complexes il est préférable de faire appel à un gestionnaire de mots de passe. Il s’agit de logiciels capables de créer des mots de passe aléatoires et complexes pour chacun des comptes, et de les stocker en toute sécurité. Ainsi, il n’est pas nécessaire de se souvenir de ses mots de passe : il suffit de se fier au gestionnaire de mots de passe pour les saisir en cas de besoin.
- Utiliser l’authentification multifactorielle. Cette fonctionnalité permet de vérifier deux fois l’authenticité des utilisateurs numériques et d’ajouter une couche de sécurité supplémentaire pour protéger les données et informations personnelles.
Escroqueries via les paiements mobiles
Les paiements mobiles sont devenus de plus en plus populaires par leur côté pratique afin de réaliser des transactions. Selon un rapport de Worldpay sur les paiements dans le monde en 2020, 41 % des paiements sont aujourd’hui réalisés via des terminaux mobiles, et ce chiffre devrait augmenter au détriment des cartes de paiement d’ici 2023. Une étude réalisée par Allied Market Research en octobre 2020 a révélé que le marché mondial des paiements mobiles était évaluée à 1,48 billion de dollars en 2019, et qu’il devrait atteindre 12,06 billions de dollars d’ici 2027, avec un taux de croissance annuel de 30,1 % de 2020 à 2027.
La pandémie Covid-19 a favorisé l’utilisation des paiements mobiles et sans contact, les consommateurs cherchant désormais à éviter les paiements nécessitant un contact, comme les espèces ou les paiement par carte classique ne disposant pas du sans contact. Et les cybercriminels ont suivi l’argent vers les smartphones, évoluant des navigateurs Internet sur PC et des cartes de crédit vers les paiements mobiles. Selon une étude du département Fraud & Risk Intelligence de RSA, 72 % des activités de cyber-fraude ont impliqué le canal mobile au cours du quatrième trimestre de 2019. Les chercheurs ont observé que cela représentait « le pourcentage le plus élevé de fraude impliquant des applications mobiles en près de deux ans et souligne une évolution plus large de la fraude impliquant les navigateurs internet sur PC ».
Et McAfee, éditeur de solutions de cyber sécurité, prévoit une augmentation des exploits de paiement mobile basés sur la « réception », car ils fournissent un mécanisme rapide pour les cybercriminels qui combine du phishing ou du smsishing avec des URL de paiement. Cela pourrait prendre la forme de stratagèmes dans lesquels les cybercriminels mettent en place un faux centre d’appel en utilisant une arnaque de retour de produit et de service, où les fraudeurs envoient un lien par e-mail ou SMS, offrant un remboursement via une application de paiement mobile. Mais en fait, l’utilisateur ne sait pas qu’il accepte de payer plutôt que de recevoir un remboursement.
De la même manière que les applications mobiles ont simplifié les transactions, McAfee prévoit que la technologie permettra de mettre en place plus facilement des escroqueries et des services frauduleux.
Risques individuels et conseils de prévention par l’entreprise
Même si les risques de cyber sécurité peuvent être aux liés aux usages individuels et n’impacter que les individus, avec le développement du télétravail, les utilisateurs sont de plus en plus ciblés par les cybercriminels car ils sont devenus le maillon faible et la porte d’entrée pour pirater leur entreprise.
Notamment par l’utilisations des PC portables professionnels pour des usages individuels et inversement des terminaux personnels, comme les smartphones, utilisés pour des actions professionnelles comme consulter ses emails par exemple.
L’entreprise se doit d’avoir une communication tech via son service IT afin de prévenir ces risques auprès de ses collaborateurs.