Attention aux arnaques en ligne notamment quand on télétravaille. On fait le point

#securitenumerique Vie perso

Travailler de la maison n'est pas sans danger pour vous, mais également pour votre entreprise qui risque de se faire pirater. Pour éviter de se faire piéger, on a fait le point sur les arnaques les plus fréquentes et voici quelques conseils pour s'en prémunir.

DEEPOL by plainpicture/Larry Washburn
DEEPOL by plainpicture/Larry Washburn
DEEPOL by plainpicture/Larry Washburn

Le COVID-19 fait le bonheur des hackers et autre arnaqueurs. Le nombre d’attaques a bondi alerte le site cybermalveillance.gouv.fr. En plus d’avoir profité de notre fébrilité et donc de notre crédulité pour essayer de nous « vendre » des vaccins, du gel, des masques, pour nous soutirer de l’argent, les pirates profitent de la moindre protection des ordinateurs utilisés à la maison (versus ceux du bureau) pour tenter de voler les données de votre entreprise. 

Les attaques amplifiées par le télétravail

Les pirates n’ont pas chômé pendant le confinement. En l’espace de deux mois, les chiffres des attaques informatiques ont bondi. Selon l’éditeur en sécurité Barracuda Networks, le phishing (ou e-mail d’hameçonnage voir plus bas dans l’article) a enregistré un bond de 667% en mars. Alors qu’en janvier 1 200 attaques informatiques liées au Covid-19 ont été recensées, en avril, on était passé à 380 000.

Une augmentation largement liée au télétravail. Quelque 30% des Français ont expérimenté le télétravail pendant le confinement, avec, pour la plupart, leur matériel personnel, ce qu’on appelle le BYOD (Bring Your Own Device : « Apporte ton propre appareil »). Une « catastrophe » du point de vue de la sécurité pour Alain Bouillé, délégué général du Club des experts de la sécurité de l’information et du numérique. Comment se protéger et protéger son entreprise ? On fait le point.

Je télétravaille. Quels sont les bons gestes à adopter ?

Il est nécessaire de suivre les recommandations de votre entreprise concernant le télétravail. Ou, en l’absence de recommandations, suivez le guide des bonnes pratiques du Club des experts de la sécurité de l’information et du numérique (Cesin). Notamment l’usage du VPN qui permet de sécuriser l’ensemble des ordinateurs des entreprises sur un réseau privé.

A ne pas négliger également lors de l’usage des réseaux Wi-Fi (surtout lorsque l’on déconfine au vert) et Bluetooth. Lorsque ces réseaux sans fils ne sont pas utilisés, désactivez-les.

Le télétravail implique également :

– d’appliquer systématiquement les mises à jour requises ;

– de n’utiliser que les applications autorisées par votre entreprise ;

– de rester vigilant sur les autorisations accordées et de les limiter à celles nécessaires pour le bon fonctionnement de l’application.

Retrouvez les conseils de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour travailler depuis chez soi en toute sécurité ici(ouvre un nouvel onglet).

Outre les considérations techniques, n’oubliez pas que les pirates malveillants peuvent aussi s’introduire dans votre navigation personnelle. On rappelle les principales arnaques :

L’arnaque par e-mail

Le pirate se fait passer pour un service connu (administration, banque, organisation internationale, etc.). Il incite à cliquer sur un lien ou télécharger une pièce jointe. Sauf qu’il peut s’agir de pharming, une copie à l’identique du site que vous voulez consulter.

Les faux sites Internet, les fake news, les fausses cartes de propagation de la maladie dans le monde, les fausses applications de télétravail : ils ont l’apparence de sites légitimes, mais sont en réalité des répliques frauduleuses. Ils incitent à renseigner des informations personnelles et/ou à cliquer sur des liens malveillants et/ou à télécharger parfois à l’insu de l’utilisateur des fichiers malveillants.

 

 

Tentative de phishing

Autre point d’attention, le phishing

On le rappelle ces tentatives d’arnaques arrivent dans votre boîte mail et vous incitent à l’action : cliquer sur un lien, puis vous demander de l’argent ou juste cliquer sur un lien qui installe un malware sur votre ordinateur.

En ce moment, un soit disant vaccin du docteur Tal Zaks permettrait de guérir du coronavirus. Sauf que ce remède ne serait accessible qu’à quelques personnes car le gouvernement ne veut pas diffuser cette info… C’est évidemment bidon et il ne faut absolument pas donner ses coordonnées bancaires. Aucun remède reconnu n’existe contre le virus à l’heure actuelle.

Ou alors, le pirate usurpe l’identité d’une entreprise (la vôtre ?) ou d’une administration pour envoyer des courriels ou SMS liés à l’épidémie de Coronavirus et ainsi inciter à cliquer sur un lien ou rappeler un numéro surtaxé afin d’obtenir vos données personnelles (notamment bancaires) ou un transfert d’argent.

Interviewé par Franceinfo, Pierre Penalba, commandant de police et responsable d’un groupe de lutte contre la cybercriminalité, rappelle des règles simples :

« Il faut faire attention. Il ne faut jamais cliquer sur une pièce jointe qui est dans un mail, du moment qu’on ne connaît pas le mail ou qu’on ne reconnaît pas le mail comme légitime. Si vous cliquez, vous rentrez des données qui vont permettre aux auteurs de ce mail de récolter des informations. Il faut vérifier avant, se méfier. »

Si vous repérez une arnaque, un mail douteux, deux solutions :

En tant que client Orange, à la lecture d’un mail suspect, vous avez eu un doute ? Signalez-le à abuse@orange.fr. Grâce à votre signalement, vous aidez à bloquer les pirates informatiques.

Pour les autres, transmettre au site cybermalveillance.gouv.fr

(Re)lire à ce sujet :

 

Cagnottes fictives

Attention aux cagnottes

Le danger n’arrive pas que dans votre boîte mail. Des enquêteurs mettent aussi en garde sur les appels aux dons sur les réseaux sociaux. François-Xavier Masson, chef de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) explique que des internautes se font passer pour des organismes de charité et demande une participation financière via Leetchi par exemple. Comme celle mise en place pour récolter des fonds pour le Centre Hospitalier d’Auxerre. Pourtant, l’établissement affirme qu’aucune demande de dons n’a été faite.

Ce que vous devez savoir : des dons peuvent être faits, mais seulement via des chèques libellés au Trésor public.

Vol de données

Attention aux fausses attestations de déplacement

Des petits malins proposent de télécharger l’attestation de déplacement dérogatoire depuis un autre site que le site officiel. Certes, vous allez pouvoir récupérer le document, sauf qu’un malware va être installé sur votre ordinateur pour vous voler vos données.

Ce que vous devez savoir : le seul lien valide qui existe pour télécharger le document est celui du site du ministère de l’intérieur.

Achat de masques et matériel médical en ligne

Les masques sont une denrée rare. La demande est forte, à tel point que des couturières ont mis la main à la pâte pour fournir au personnel hospitalier des masques cousus main en tissu. Pour autant, de faux sites mettent à la vente les précieux bouts de tissus. Sauf que vous ne recevrez rien du tout et serez délestés de vos euros.

Ce que vous devez savoir : « la vente de modèles FFP2 (avec valve) ou anti-projections (chirurgicaux), en France, est interdite, leur diffusion doit faire l’objet d’une ordonnance. Cette décision fait suite au décret du 3 mars 2020, qui exige la réquisition de tous ces types de masques auprès des fabricants et distributeurs, et ce jusqu’au 31 mai 2020 »

Lire à ce sujet

A RETENIR

Les détails qui doivent vous alerter pour détecter une communication frauduleuse (email, SMS, messagerie instantanée, réseau social…) ?

  • l’expéditeur est suspect
  • le nom affiché ne correspond pas à l’adresse e-mail ;
  • le sujet est inhabituel ;
  • la pièce-jointe est suspecte ou inattendue ;
  • le message n’est pas personnalisé, ou grossièrement ;
  • des erreurs de syntaxe ou d’orthographe sont présentes ;
  • l’interlocuteur demande des informations personnelles et/ou sensibles ;
  • le message a un caractère urgent ou promet un gain ;
  • l’URL affichée paraît suspecte (pour le savoir, il faut simplement passer votre souris dessus) ;
  • l’esthétique est douteuse.

Dans tous ces cas, il ne FAUT pas cliquer sur les liens

J’ai cliqué sur un e-mail douteux, que dois-je faire ?

Si vous avez ouvert la pièce-jointe, déconnectez votre PC du réseau (câble et Wi-Fi). Informez votre service informatique au plus vite.

J’ai renseigné des informations sensibles ou personnelles sur un site douteux, que dois-je faire ?

Si vous avez entré vos identifiants, il est recommandé de changer de mots de passe sur toutes les applications concernées. Comme vu précédemment, il est conseillé de contacter le service informatique au plus vite.

Et toi Orange tu fais quoi ? 

L’application gratuite Orange Téléphone permet de détecter les appels malveillants et, en ce moment, les arnaques au téléphone se développent également, visant notamment les personnes âgées.

Il suffit d’installer l’application pour avoir un premier filtre.

Retrouvez tous les conseils du conseil de cybersécurité d’Orange en cliquant ici