mercredi 6 mars 2019

«Les réseaux sociaux sont un vrai paradis pour les cybercriminels»

Un pirate anonyme raconte les ficelles de son métier et explique avec quelles astuces il obtient les meilleurs résultats. Les opportunités d’attaques contre les internautes abondent, d’autant que la vulnérabilité du monde numérique augmente à mesure que le flot d’applications et de données s’amplifie.

Quelles personnes sont particulièrement intéressantes pour les cybercriminels?

Ce sont d’une part des personnes exposées dans les domaines politique ou économique. Des gens avec de l’influence, du pouvoir et souvent aussi de l’argent. D’autre part, ce sont aussi toutes les personnes naïves et insouciantes sur Internet. On peut les mener relativement facilement à divulguer des informations qui nous permettront de les faire chanter ou de les pirater directement.

Est-il facile de voler des données sur Internet?

Attendez, je ne parlerais pas nécessairement de vol dans ce contexte. De nombreuses données sur les particuliers et les entreprises sont publiques. On vit dans cette période de la «pseudo-transparence» où l’on veut tout savoir sur tout le monde. Mais qui dit transparence, dit beaucoup d’informations disponibles, pour le meilleur comme pour le pire. Donc, si je cherche à obtenir des données sur une «cible», cela ne fait pas encore de moi un voleur. Bien sûr, j’ai quelques astuces pour en apprendre davantage si c’est nécessaire…

Cyberrisques: Quel est mon niveau de risque?

Effectuez maintenant le test d’évaluation des cyberrisques et déterminez votre profil de risque.


Faire le test

Combien de recherches un hacker réalise-t-il avant une attaque?

Il y a plusieurs écoles et, par conséquent, plusieurs méthodes. Les «script kiddies» procèdent de façon opportuniste. Peu de recherche, mais attaque en masse. D’autres hackers effectuent des frappes ciblées, qui n’admettentaucune erreur. Il faut toujours garder en tête que l’on joue avec le feu. On peut se mettre à dos des gouvernements, la police nationale, des banques ou certaines entreprises qui n’hésitent pas à riposter. Le monde virtuel ce n’est pas la démocratie, c’est la loi du plus fort.

Comment appâtez-vous des cibles potentielles?

En général, quand on informe une personne des dangers d’Internet, la première réaction est: «Il faut être idiot pour tomber dans le panneau». La réalité est que l’on vit dans un monde où la culture de l’ego et du moi est devenue la norme. Flattez, séduisez, enchantez avec subtilité et vous obtiendrez tout ce que vous voudrez de votre cible. C’est pourquoi les réseaux sociaux sont un vrai paradis pour nous. Pour en apprendre plus sur une cible, nous créons de faux profils sur Facebook, Twitter ou LinkedIn. Nous nous faisons passer, par exemple, pour une femme attirante et visitons volontairement des profils masculins. En très peu de temps, cette méthode simple génère un nombre impressionnant de nouveaux contacts. On peut aussi prétendre être un partenaire commercial potentiel ou flirter avec notre cible. Au fil du temps, nous obtenons de cette manière des informations privées telles que leur adresse, ou encore des informations sur leur situation financière.

Que faites-vous de ces informations?

Nous collectons ces données et approfondissons notre connaissance de la cible pendant des semaines, voire des mois. Souvent, les victimes vont nous parler de leur couple qui vacille, de leurs problèmes avec leurs enfants, voire des relations extra-conjugales qu’ils entretiennent. La moindre petite information qui va à l’encontre des grands principes éthiques est du pain béni pour faire chanter notre cible. Nous pouvons aussi demander aux victimes de nous envoyer de l’argent ou des données sensibles sous de faux prétextes. L’essentiel est d’identifier la vulnérabilité émotionnelle d’une victime potentielle et de l’exploiter au bon moment.

Les smartphones vous facilitent-ils le travail?

Absolument, ce serait une erreur de les laisser de côté, d’autant qu’ils sont souvent moins sécurisés. Leur principal avantage est que la cible l’a toujours sur soi. Alors effectivement, si on arrive par divers moyens à installer un logiciel espion, c’est un nouveau monde qui s’ouvre à nous. On a alors accès au microphone, aux caméras, aux mots de passe des réseaux wifi, voire du VPN pour accéder à l’intranet de son employeur. Il ne faut pas réfléchir qu’en termes de cible, il faut aussi penser aux portes qu’elle nous ouvre. Souvent, on peut ainsi se connecter très facilement à tout un réseau de contacts.

Êtes-vous uniquement actifs en ligne?

Non. Certains d’entre nous sont aussi actifs dans le «monde réel». Par exemple dans les hôtels, où se situent de nombreuses cibles intéressantes. Nous préférons les chambres d’hôtel verrouillées à l’aide de cartes à puce. Au moment des repas, nous nous faufilons dans les chambres des voyageurs d’affaires avec des clés clonées, et chargeons, en quelques secondes, un logiciel malveillant sur leur ordinateur portable grâce à une clé USB. Une méthode moins risquée consiste, par exemple, à payer une femme de chambre pour qu’elle exécute cette tâche. D’autres hackers s’infiltrent dans des entreprises et introduisent directement leur malware dans les réseaux internes.

Certains pirates utilisent aussi le téléphone pour accéder à des informations, pourquoi?

Le téléphone est un bon outil pour plusieurs raisons. D’abord, on peut jouer sur l’inflexion de la voix, l’intonation, etc. Ça donne beaucoup plus de marge de manœuvre que par email. Ensuite, on a un retour direct de l’interlocuteur. On peut juger tout de suite s’il est méfiant ou s’il a baissé sa garde. En général, l’être humain est «programmé» pour être gentil et serviable. Par exemple, on pourra appeler la mère de la cible en disant: «J’ai l’ancien numéro de votre fils, et je n’arrive pas à le joindre. Pourriez-vous me donner son nouveau numéro?» ou encore appeler l’école des enfants de notre cible pour obtenir plus d’informations sur les parents. Tout ça marche aussi avec le club de sport, les associations, etc.

Existe-t-il encore d’autres manières d’accéder à des données sensibles?

Oui, ce qu’on appelle les «IoT» dans le jargon, pour «Internet of Things». Ce sont des gadgets connectés entre eux: télévision, caméra, frigidaire… En général, ils ont des systèmes d’exploitation «légers», très peu sécurisés. Ceci souvent pour des raisons de coûts, car la sécurité à un prix. On se retrouve alors sur des techniques de hacking des années 90, ce qui rend aussi le processus très ludique pour nous. Parce qu’avec Windows 10 ou Mac OSX Mojave, c’est devenu tellement difficile de trouver des failles, que ce n’est plus forcément fun.

Qu’en est-il des espaces publics?

Il y a une vieille attaque qui fonctionne toujours: «Evil Twin Attack». Il s’agit de monter un réseau wifi similaire à celui d’un établissement public. Par exemple, si vous vous connectez chez Starbucks, le pirate créera un point d’accès «Starbucks». Pour amener vos appareils à se connecter à son réseau, le pirate émettra un signal plus puissant que celui du réseau légitime. Une fois la connexion faite, le pirate devient un «Man in the Middle» (homme du milieu) et peut alors intercepter les données échangées. Pour espionner les connexions chiffrées, il faut évidemment utiliser encore d’autres astuces.

Visez-vous également les moyens de paiement sans contact?

Oui, nous les visons aussi. A l’époque, il y avait encore des technologies peu sécurisées qui nous permettaient de copier une carte sans contact assez facilement. Aujourd’hui, la cryptographie a été renforcée, donc on ne s’amuse plus à dupliquer des cartes. Par contre, avec des antennes cachées, on peut intercepter le signal émis par la carte d’une cible et le transférer de sa poche jusqu’à un terminal de paiement, par exemple dans un magasin. La connexion reste entièrement chiffrée, en tant qu’attaquant on a aucune idée de ce qui transite, mais cela est suffisant pour les petits montants jusqu’à 40 francs qui ne demandent pas de code PIN.

Comment peut-on vous rendre la tâche plus difficile?

Lorsqu’un compte est protégé par une identification à deux facteurs, cela nous complique un peu la tâche, car on a besoin de l’action de l’utilisateur pour y accéder. C’est le cas par exemple quand vous confirmez votre identité en entrant un code reçu par SMS. Il reste bien sûr des moyens de contourner l’identification à deux facteurs, mais quelques secrets doivent être gardés. D’autre part, vous pouvez fortement limiter les dégâts en utilisant systématiquement des mots de passe différents pour différents comptes.

Que pensez-vous des coffres forts électroniques pour mots de passe?

Si nous déchiffrons le mot de passe principal, le coffre-fort entier nous est ouvert. Si vous voulez vous protéger à 100%, gardez tous vos mots de passe en mémoire ou écrivez-les dans un cahier que vous conserverez chez vous.

Cyberrisques: Comment me protéger?

Voulez-vous apprendre comment vous protéger de hackers malveillants? Alors téléchargez notre guide pratique cybersécurité.


Télécharger le guide pratique