Si pour beaucoup 2020 restera dans les mémoires comme l’année du Virus, 2020 a aussi été synonyme de télétravail, de shopping en ligne ou encore de rendez-vous Skype ou Zoom entre grands-parents et petits-enfants. Les cybercriminels ont quant à eux rapidement compris qu’il s’agissait de l’occasion rêvée pour passer à l’action : les gens sont plus vulnérables lorsqu’ils utilisent des applications Internet qu’ils ne connaissent pas bien, si leurs appareils privés sont moins bien sécurisés que leur appareil professionnel, ou si toute la famille utilise le même ordinateur.
Et l’année 2021 ne s’annonce pas tellement plus réjouissante ; les escrocs sont à l’affût.
Quels types de cybermenaces planent sur cette nouvelle année ?
En 2020, les internautes ont envoyé quelque 3 200 000 messages suspects à suspect@safeonweb.be ; des chiffres qui donnent le tournis ! En 2021, les messages de phishing sont et restent la principale voie d’accès des cybercriminels à votre ordinateur. Ce type de messages peut revêtir plusieurs formes : non seulement les traditionnels e-mails, mais aussi, et de plus en plus, des sms ou des messages sur les réseaux sociaux. Les escrocs utilisent tous les faits d’actualité pour envoyer des messages susceptibles d’éveiller la curiosité des gens.
En 2020, les services de police ont tiré la sonnette d’alarme à plusieurs reprises et ont révélé que des victimes avaient été dérobées de plusieurs milliers d’euros. Des victimes témoignent chaque semaine dans les médias. Les entreprises peuvent elles aussi être victimes de phishing. Dans ce cas, le phishing sert bien souvent à lancer une attaque de type ransomware. Il suffit qu’un collaborateur distrait clique sur un lien dans un faux message pour que toutes les données de l’organisation soient cryptées.
Un ransomware est un virus qui prend en otage des données et les crypte, pour que les cybercriminels puissent vous demander une rançon en échange. Un ransomware peut toucher tout le monde. Les cybercriminels choisissent leurs victimes en connaissance de cause et sans état d’âme : même les hôpitaux sont visés et récemment ce fut même un laboratoire d’analyses de tests corona.
Ces dernières années, force est de constater une hausse constante du nombre de tentatives d’escroqueries par ransomware. En 2020, le CCB a reçu 82 signalements de ransomware mais ce nombre n’est certainement que la partie visible de l’iceberg. Les entreprises ne sont pas enclines à révéler qu’elles en ont été victimes. En effet, outre les pertes financières, de telles attaques peuvent aussi ternir leur image de marque. Les attaques de ransomware rapportent beaucoup d’argent aux cybercriminels ; la tendance ne risque donc pas de s’inverser en 2021.
En 2020, ce sont à nouveau les services de police et le secteur bancaire qui ont fait part de toutes sortes de méthodes d’escroqueries en ligne. Dans bien des cas, il s’agit d’anciennes techniques mises au goût du jour. Les chiffres de la police indiquent qu’en 2019 la cybercriminalité a augmenté de 30 % par rapport à 2018. Et Febelfin met régulièrement en garde contre les nouvelles formes de fraude par Internet.
À titre d’exemple, citons le Microsoft scam, lors duquel des soi-disant collaborateurs de Microsoft qui s’exprimaient dans un anglais approximatif contactaient des victimes pour un prétendu problème sur leur ordinateur. L’escroc prenait alors le contrôle de l’ordinateur et pillait le compte en banque de la personne. Cette année, de nouvelles variantes sont apparues : les interlocuteurs parlaient en français ou en néerlandais, affirmaient travailler pour Proximus ou autre, etc.
D’autres formes d’escroquerie ont également fait leur apparition comme la fraude par le biais d’une facture, d’une demande d’aide, d’une proposition d’ami, d’un faux gestionnaire de mots de passe ou encore la fraude au CEO. Le point commun de tous ces types d’escroquerie est que l’escroc ne doit pas nécessairement être un pirate informatique ; il suffit d’être un brin intrépide et d’oser envoyer un message fallacieux ou de passer un coup de téléphone trompeur. Les escrocs parviennent à tromper leurs victimes et à les convaincre de verser des sommes sur leur comptes.
Lors d’une attaque DDoS, ou attaque « Distributed Denial Of Service », les cybercriminels essaient de s’introduire dans un serveur Internet en le surchargeant d’un grand nombre de requêtes de pages. Si une attaque DDOS ne constitue en soi pas un danger, elle est souvent utilisée pour cacher une attaque proprement dite ou comme moyen de pression supplémentaire, comme lors d’une attaque par ransomware. Et 2021 ne sera en rien une exception.
Si de nombreux incidents et abus se poursuivent, les internautes risquent de perdre leur confiance envers l’environnement numérique. Les personnes qui surfent chaque jour sur Internet entendent tout ce qui peut mal tourner : il faut rester vigilant quand on ouvre un message et effectue des achats en ligne. Les actes innocents que nous accomplissons chaque jour deviennent soudainement dangereux.
Les entreprises et les organisations, qui ne disposent pas de ressources suffisantes pour laisser des experts gérer leurs systèmes, vivent elles aussi dans la peur d’être à tout moment une victime. La crainte est que les internautes recherchent des solutions alternatives, ce qui constituerait un pas en arrière dans la numérisation de la société.
Miguel De Bruycker, directeur du Centre pour la Cybersécurité Belgique
Source : Centre pour la Cybersécurité Belgique, 21 janvier 2021