« Internet of things » : des risques pour le monde financier?

Par Bertrand Milot

Pour faire face à une tendance maintenant clairement établie et au besoin de mobilité grandissant, nos appareils connectés se multiplient et s’accrochent à nous comme de petits adjuvants à nos tâches quotidiennes.

 

Ces appareils ont pris des formes multiples, comme les téléphones intelligents capables de recevoir nos courriels, gérer notre calendrier, nous lier à tout moment aux réseaux sociaux, prendre des photos, des vidéos de nos vies et les partager en temps réel, clavarder avec nos relations, recevoir, lire et signer des documents électroniques, organiser ou participer à des visioconférences, géolocaliser où notre véhicule est stationné, etc.

 

Notre téléphone est littéralement devenu un bureau (voir une secrétaire) virtuel et portable! Certaines marques proposent même de remplacer l’« ancestral » ordinateur de bureau par le téléphone*.

 

Les autres appareils connectés, comme les montres ou les lunettes intelligentes, relaient nos informations depuis notre téléphone et nous permettent une interaction en temps réel encore plus directe. Nos ceintures et bracelets connectés nous renseignent sur notre activité physique et corporelle, la géolocalise et la compare dans des rapports disponibles en ligne. La surveillance vidéo avec les caméras connectées sur nos réseaux WiFi résidentiels ou encore les thermostats, ampoules et prises électriques connectés réglables à distance depuis une simple « app » mobile sont également devenus des outils de notre quotidien.

 

Nous consommons des technologies pour accélérer ou automatiser la réalisation de nos tâches, toujours en quête du gain d’efficacité et de temps. La question est, à part l’électricité, « que consomment ces technologies? » Ces technologies, que nous intégrons de plus en plus à notre quotidien, consomment nos informations.

La preuve a été faite que ces technologies sont toutes vulnérables** et ont déjà fait l’objet, pour la grande majorité, d’attaques et de vols de données, parfois, même répétés dans les cinq dernières années.

crédit:depositphoto

Nous semblons penser que ces données privées n’ont pas de valeur monétaire, mais en réalité une fois corrélées, elles peuvent être très utiles pour perpétrer des cyberfraudes ciblées et efficaces.


Voici un exemple tiré d’un cas réel : grâce à une attaque par harponnage très ciblée, un cybermalfaiteur a récupéré les identifiants du compte de courriels personnel d’un membre du personnel des ressources humaines d’une entreprise de taille moyenne (400-500 employés pour approximativement 120 M$ de revenus par année).

 

Une attaque par harponnage, qu’est-ce que c’est?

Imaginez que vous recevez un courriel : « Bonjour, je suis ta cousine par alliance, Francine de Gaspésie, c’est ton cousin qui m’a demandé de te donner accès à notre album en ligne de nos photos de vacances à Cancun ».


Ces données liées à votre écosystème familial et personnel sont disponibles sur Facebook grâce aux multiples « tags » qui vous identifient sur les photos des comptes peu protégés de votre famille et de vos amis (et oui, même si vous n’avez pas de compte, vous êtes certainement identifié sur Facebook).

 

Donc, vous ouvrez le courriel et cliquez avec confiance sur le lien, car vous n’imaginez pas que quelqu’un puisse savoir autant de choses sur votre cousin et son épouse Francine, sur leur voyage à Cancun et prendrait le temps de vous écrire (« Pourquoi vous? »).

 

Vous arrivez sur une page « https://www.microsft-0nedrive.com/Francine/photos/Cancun2017 », il y a le cadenas vert dans le navigateur, donc la page semble sécuritaire et celle-ci ressemble à s’y méprendre à la page d’authentification de Microsoft. Ici, vous devez entrer vos identifiants Hotmail pour accéder au répertoire de photos partagées. Vous entrez les informations et là, un message d’erreur vous dit que le mot de passe est erroné, vous recommencez et vous arrivez sur une page qui vous dit que le répertoire partagé a été effacé ou n’est plus disponible. Il faudra vraiment en parler à Francine, son répertoire ne fonctionne pas!

 

Vous l’aurez compris, la page était une fausse page, détenue par un cybermalfaiteur qui a donc reçu par deux fois vos identifiants de compte Hotmail. Il est déjà connecté et a accès à vos courriels et à vos services.


Grâce à un filtre de recherche préconfiguré pour Hotmail, il remarque que vous êtes abonné aux services de Fitbit pour monitorer vos activités physiques et que votre compte iCloud de votre iPhone est configuré avec votre Hotmail. Il a donc accès à votre agenda d’iPhone, votre compte Linkedin et vos heures d’activités sportives ».

 

Il est à noter que ces derniers temps beaucoup de gens sont victimes d’une fraude différente, mais aux résultats similaires : vous recevez un message qui ne vient pas de votre antivirus préféré, mais qui affirme que votre ordinateur est gravement à risque, le message vous conseille d’appeler un numéro, la personne qui vous répondra dans votre langue se fera passer pour Microsoft et vous fera installer un petit logiciel de « prise en main » à distance de votre ordinateur pour vous aider. Ne faites pas confiance. Microsoft ne fait pas ce genre de chose. Sachez que l’outil qui vous sera demandé d’installer va tenter d’obtenir vos mots de passe de comptes utilisés sur Internet enregistrés dans votre navigateur et bien d’autres fichiers. Si cela vous arrive, éteignez votre ordinateur et faites appel à un vrai spécialiste reconnu.

 

Il lui est maintenant possible d’organiser une « Fraude au président ».

Le fraudeur va profiter du fait que vous faites votre course à pied pour envoyer un message depuis votre compte courriel personnel (en se faisant passer pour vous). La missive est destinée à une personne de votre équipe, un assistant ou à l’un de vos fournisseurs, en l’appelant par son prénom (information trouvée aisément sur Linkedin, dans vos courriels ou sur Internet).


Ce courriel explique qu’une importante facture, transaction financière ou un virement n’a pas été honoré avec un fournisseur important (fournisseur de vérification d’antécédents, de service RH infonuagique ou d’un chasseur de têtes) qui menace de ne plus faire affaire avec vous. Que vous n’avez pas le temps de vous en occuper avant votre réunion X ou Y de demain matin (information trouvée dans votre agenda iCloud partagé), que vous êtes à votre entrainement hebdomadaire (informations trouvées sur Fitbit) et que vous ne souhaitez pas être dérangé.


Le ton du courriel est hautain, direct et très agressif. Le courriel se termine par un cinglant « Make it happen! »***. En pièce jointe il y a une facture, un ordre signé de transaction ou des coordonnées bancaires. L’angoisse et le stress générés par ce courriel risquent de transformer l’essai en transaction frauduleuse.

 

Vous pensez que ce n’est pas plausible?


La Coop fédérée (5,5 M$ en 2014) et bien d’autres entreprises en sont déjà les victimes avec des pertes cumulées de plus de 500 M$ par année.

 

Ne soyez pas le prochain.

Ne soyez pas le maillon faible à cause de votre vie surconnectée.

 

*Dès l’arrivée dans les locaux le téléphone se branche directement sur un écran d’ordinateur, un clavier et une souris et on l’utilise comme un ordinateur « classique ».

 

**Attention, je ne dis pas que les entreprises qui sont derrière ces technologies sont mal intentionnées (mais nous ne « connaissons » ou ne croyons connaître que les « gros » joueurs du marché).

 

*** Make it happen! = Fais ce qu’il faut!

À proposMentions Légales