Nous, nos employés, ces cyber-victimes...

Par Bertrand Milot

Si vous avez lu les quotidiens et regardé les différents médias, alors vous savez que plusieurs centaines de millions de comptes de courriels personnels liés à Yahoo™ ont fait l’objet d’un des plus importants piratages et corruption de masse.

 

Depuis les dernières années, nous faisons face à de la véritable cybercriminalité incessante au sein de nos sociétés connectées : la réalité dépasse la fiction. En 2010, le maliciel Stuxnet permettait à un groupe de cyber-terroristes de mettre en défaillance majeure les opérations d’une centrale nucléaire. En 2014, c’était Gmail™ qui voyait plusieurs millions de ses comptes de courriels corrompus.

 

Compagnies aériennes (il y a quelques mois, plusieurs avions d’une même enseigne restent cloués au sol suite à un « problème informatique majeur »), écoles, hôpitaux, gouvernements (de 2012 à 2015, le Québec, puis l’Ontario), des institutions bancaires se voient tous, les uns après les autres, être la cible de cyber-criminels, hacktivistes, cyber-vandales ou de cyber-rançonneurs.

 

Mais tout ça n’est que la face visible ou médiatisée d’un iceberg qui en réalité nous touche tous. Au quotidien, nous sommes les victimes directes ou indirectes de ces cyber-malfrats. Dans mes articles précédents, je vous donnais quelques rappels simples pour vous protéger. Aujourd’hui, et suite à plusieurs de vos demandes, je réponds aux questions : « Pourrais-je être victime sans le savoir? ». La réponse est « Oui »! Et c’est la majorité des cas. Vos données sont vendues et exploitées, oui certes par les grosses entreprises de médias pour établir et vendre des profils de consommation, c’est la partie « connue et légale », mais surtout lorsqu’un Gmail™ ou un Yahoo™ se sont vus corrompre plusieurs millions de comptes, ces comptes sont vendus sur le « Darknet » pour rançonner, exploiter ou spammer d’autres victimes potentielles.

 

Alors, comment savoir? Vous pouvez déjà vérifier sur https://haveibeenpwned.com/. C’est une première étape. Puis, si vous avez une multiplication de courriels incohérents, étranges ou non sollicités, n’hésitez pas à changer votre mot de passe, le renforcer (essayez et testez une construction adéquate avec https://howsecureismypassword.net/ ), activez la double authentification de vos comptes (j’ai écrit un petit article sur ce sujet pour les médias sociaux, courriels, etc. : https://www.linkedin.com/pulse/double-authentication-your-social-account-must-bertrand ).

Crédit: depositphotos

Gardez vos données physiquement proches de vous et chiffrez-les grâce à des clés USB sécurisées ou des utilitaires gratuits très efficaces tels que VeraCrypt (YouTube contient des dizaines de tutoriels gratuits et très bien faits pour vous aider). Plus que jamais, ne croyez pas la duperie générale que les grands noms du Web sont tous très sécuritaires. Oui ils le sont sûrement plus que votre propre entreprise, mais ils sont aussi les premières cibles des plus grands esprits créatifs et malintentionnés des nouveaux médias. Ce sont des mines d’or d’information. Il est plus facile de faire tomber une masse en une seule fois pour un pirate informatique que chaque individu un par un. L’attaque de la masse est beaucoup plus rentable et durable (les attaques se diversifient ensuite sur les sous-groupes de cette première masse victime, comme cela a été le cas pour Ashley Madison).

 

Donc, la réponse est « Oui », vous-même; vos collaborateurs, votre hiérarchie êtes des victimes potentielles d’ores et déjà ou dans un futur proche. Il est temps de mettre en place des structures d’aide individuelle adaptées, étendre le mandat des lignes anonymes et maximiser la sensibilisation. Partageons nos connaissances, posez des questions et soyez vigilants.