Se faire connaître tout en restant discret
La sensibilisation à la cybersécurité s’est largement intensifiée depuis que la pandémie a boosté le travail, les achats, les apéros ou les loisirs en ligne. Sans compter les réseaux sociaux et les messageries diverses qui ne cessent de bourdonner, car la volonté est forte de maintenir les contacts malgré tout et d’abolir les distances imposées. Malheureusement, c’est aussi une aubaine pour les arnaqueurs de tout poil sur le web.
Mais de quoi parle-t-on au juste ? Tout simplement de la protection de nos données personnelles, qui ont la fâcheuse tendance à n’avoir plus rien de personnel dès lors que nous sommes actifs d’une façon ou d’une autre sur la Toile. Plus précisément, de toutes ces informations que l’on publie bien volontiers sur l’une ou l’autre des plateformes ouvertement accessibles.
LinkedIn, une cible intéressante
Prenons l’exemple de LinkedIn. Ce très sérieux réseau social professionnel en ligne a déjà été plusieurs fois la cible de cyberattaques. Au début de l’été dernier, la plateforme a dû faire face à la mise en vente sur un forum d’une base de données contenant des informations sur plus de 90 % des abonnés (soit environ 700 millions d’utilisatrices et utilisateurs), comprenant notamment des adresses e-mail, des numéros de téléphone, des adresses postales, des données de géolocalisation ou des grilles de salaires. Un nouveau piratage de LinkedIn ? Pas tout à fait : le procédé qui a été utilisé pour créer cette collection d’informations s’appelle web scraping (littéralement en anglais « grattage » du web) et consiste à récupérer – de façon automatisée via un programme informatique – du contenu à partir d’un ou de plusieurs sites web.
Si le web scraping n’est en soi pas illégal (c’est notamment de cette façon que les sites qui comparent les offres pour un même produit procèdent pour agréger leurs différentes sources), mais récupérer les données publiques de 90 % des personnes inscrites sur LinkedIn contrevient sans équivoque aux conditions d’utilisation de la plateforme et tombe résolument dans l’illégalité.
Un vrai problème ?
On pourrait toutefois se demander où est le problème, puisque ce sont des données que l’abonnée ou l’abonné a lui-même publiées… « C’est un peu plus compliqué, prévient Mariska Girard, analyste sécurité à la Direction générale du numérique et des systèmes d’information (DGNSI). En effet, ces informations prises séparément ne posent pas un problème majeur de cybersécurité. Mais quand on les additionne, qu’on les regroupe, qu’on les croise et qu’on les enrichit, cela permet à une personne malintentionnée de créer un contexte vraisemblable autour de qui vous êtes et autour de vos activités. Or, plus ce contexte est riche, plus il est crédible et moins l’on aura tendance à se méfier d’une éventuelle arnaque. »
Que risque-t-on ?
Pour qu’un réseau professionnel ait un sens, il est utile que nous y indiquions nos noms et prénoms, le nom de notre employeur, la formation que nous avons suivie et les diplômes obtenus.
Avec ces simples informations, le cyberpirate peut déjà potentiellement reconstruire notre adresse e-mail professionnelle en associant prénom.nom@nom de l’entreprise. Quand on sait que la messagerie électronique reste le canal d’attaque privilégié des cybercriminels, il s’agit déjà d’un risque en soi de se retrouver dans des listes de distributions d’e-mails indésirables. On peut notamment citer les messages d’hameçonnage, qui cherchent à nous soutirer des informations personnelles ou professionnelles, comme des mots de passe ou des numéros de cartes de crédit (phishing), ou les malspams, dont l’objectif est de nous faire installer des logiciels malicieux qui peuvent, par exemple, mener au chiffrement des fichiers et au blocage complet de notre machine et de serveurs accessibles.
Une attaque « crédible »
Cependant, le risque lié à toutes ces données publiées sur les réseaux sociaux, c’est bien leur capacité, pour un escroc, de comprendre l’environnement dans lequel nous évoluons, afin d’améliorer la crédibilité de ses attaques – qu’elles soient numériques ou non, d’ailleurs. Reprenons la base de données avec les informations LinkedIn citée plus haut : un attaquant pourrait sélectionner toutes les personnes qui travaillent dans une même entreprise et utiliser les éléments graphiques spécifiques de celle-ci (logo, signature, etc.) pour donner un plus grand sentiment de légitimité à son phishing.
Même sans base de données, un attaquant motivé peut chercher, à la main, les renseignements dont il a besoin pour monter une attaque la plus crédible possible. Si vous êtes chargé des paiements (votre profession figure sans doute sur votre profil LinkedIn), la personne malintentionnée peut se faire passer pour votre directeur et vous demander de verser en urgence des sommes importantes sur un compte donné. Comme vous pensez que cette injonction vient de votre supérieur et que vous recevez ce message juste avant la fermeture des bureaux, vous obtempérez : c’est la très classique fraude au PDG.
« La liste des arnaques possibles sur la simple base de vos données sur LinkedIn est longue et, croyez-moi, les escrocs du web ont de l’imagination ! »
Quelques liens pour en savoir davantage :
Comment se protéger ?
Il ne s’agit pas de semer la panique ou de tomber dans la sinistrose, mais il est important de montrer qu’il est facile d’entrouvrir la porte aux personnes malintentionnées sur internet avec de simples données que l’on juge inoffensives. « Important aussi de rappeler qu’il faut toujours rester vigilants et faire preuve de bon sens : on ne doit donner aucune valeur ou crédibilité particulière à une personne qui mentionne une information disponible publiquement », explique l’analyste sécurité de la DGNSI, Mariska Girard. Qui précise encore : « Lorsque nous publions des informations, il est important de faire la part des choses et d’être conscient qu’une fois publiées, nos données n’ont plus aucune valeur personnelle et doivent être considérées comme faisant partie du domaine public. »
Il faut se rendre à l’évidence : la sécurité va malheureusement très souvent à l’encontre du user-friendly. C’est le prix à payer pour utiliser intelligemment les formidables moyens de communication que nous avons à disposition. (MHJ, MG)