Vol d'identifiants, phishing à grande échelle, tromperie : le M. sécurité de Google décrypte les trois dangers qui vous guettent

Le harmeçonnage (phishing en anglais), l'envoi de mail demandant vos coordonnées bancaires en vous menaçant de piratage, tous ces messages impersonnels que vous receviez truffés de fautes d'orthographe, voire en anglais, c'est presque du passé. Même si certains internautes se font malheureusement encore abuser, le phishing classique tend à se raréfier. D'après Mark Risher, spécialiste cybersécurité chez Google, les pirates ont trouvé de nouveaux modes d'action bien plus sophistiqués.

Début octobre, Google a annoncé l'implantation d'un nouveau Centre de Sécurité dans sept pays européens, dont la France. Un moyen de fournir des conseils, informations et outils sur la sécurité des données pour toute la famille. Google possède déjà un onglet "Vérification des paramètres de sécurité" accessible depuis Mon Compte Google pour s’assurer que tous les paramètres données et confidentialité sont bons. L’appli Family Link permet également de vérifier les appareils de vos enfants, de superviser leur activité ou éviter les risques de surmenage, cyber-harcèlement, etc.Le groupe espère ainsi aider ses utilisateurs à lutter contre le piratage.  

Pour le monsieur sécurité de Mountain View, les internautes et mobinautes sont actuellement confrontés à trois types d’attaque :

C’est une pratique malheureusement courante, qui naît du piratage de site sur lequel vous êtes inscrits. Les hackers récupèrent ainsi parfois des millions de combinaison de mails et mots de passe. Ils les revendent sur le dark web ou s’en servent pour accéder à d’autres sites. "On constate que 17% de ces combinaisons sont réutilisées par les internautes. C’est souvent la cause de multiples piratages et vol de données, qui multiplient ainsi les risques par 10 de nouveaux piratages, tandis que le vol d’identifiants, c’est x 40", explique Mark Risher à LCI. "Il est important d’avoir des mots de passe différents d’un site à un autre, et surtout de ne les noter nulle part !". 

Pour éviter le piratage de ses services (Gmail, Google Drive, Google, YouTube, etc.), Google a mis en place un système de surveillance accru d’internet, notamment sur les forums dédiés au hacking. "Nous avons un robot d’exploration qui surveille internet en quête d’informations d’identification volées. Nous avons ainsi repéré plus de trois milliards de noms et mots de passe d’utilisateurs en quelques semaines sur le seul web public", explique-t-il. C’est ainsi que la messagerie Gmail surveille les accès de ses utilisateurs et prévient en cas d’activité suspicieuse. Cela a déjà permis d’épargner quelque 67 millions de comptes.

Deux nouvelles techniques de phishing ont fait leur apparition ces derniers mois. Elles ciblent un peu plus spécifiquement leur victime en s’appuyant sur les informations qui traînent sur le web et les réseaux sociaux. "Les pirates font des recherches pour cibler la personne. On n’est plus dans le phishing de base qui vous demande vos coordonnées bancaires via un message très général. Cette fois, ils s’adressent à vous, avec des éléments personnels qui vous identifient directement comme vos quatre derniers chiffres de carte bancaire, le nom de votre employeur, vos amis, etc.", résume le spécialiste sécurité.

Les employés de société sont particulièrement ciblés car ils permettent ainsi aux pirates de créer potentiellement des brèches dans les systèmes. Le but est souvent de demander de l’argent ou de voler des secrets via l’envoie de pièces-jointes infectées. "Ce sont souvent des opérations de grande envergure réalisées par des êtres humains, et non des machines qui moulinent toutes seules", détaille Mark Risher. "C’est extrêmement sophistiqué, avec un travail pointu en amont et des messages personnalisés qui vont être tournés de manière à vous effrayer pour que vous réagissiez rapidement".

 Le "Whaling" (chasse à la baleine) est une méthode encore plus pernicieuse. Le cybercriminel se fait généralement passer pour une entité (banque, sécurité sociale) ou un supérieur d’entreprise. "Leur but est de récupérer des informations sensibles, confidentielles qui permettront aussi de vous subtiliser de l’argent ou des secrets. Pour cela, ils se font passer pour quelqu’un d’important", déclare Mark Risher. Certaines entreprises en ont fait les frais ces dernières années, des employés ayant cru transmettre à leur supérieur, sous le sceau du secret, des informations confidentielles, ou ayant réalisé des transferts d’argent.

"L’humain est souvent le maillon faible sécuritaire. Certains hackers parviennent à réaliser des copies de site si quasiment parfaites qu’il faut un œil averti et concentré pour distinguer les petites erreurs", avance le monsieur sécurité de Google. Ainsi, vous pouvez recevoir des mails ressemblant à s’y méprendre à ceux envoyés par votre banque ou même Google. Parfois, ils sont truffés de fautes d’orthographe et facile à identifier. "Parfois, ils sont tellement bien faits que même nos systèmes doivent rivaliser d’ingéniosité pour ne pas se faire piéger. Certains intègrent dans le code informatique du nom GOOGLE des caractères intermédiaires ou découpent le logo en de multiples petits bouts d’image. L’ordinateur ne voit donc pas la même image que l’œil humain croit voir", prévient Mark Risher. "Quand la vérification humaine faillit, c’est là qu’est le danger et que tout peut arriver."

Sachez qu’un organisme ne vous demande jamais de vérifier vos coordonnées personnelles ou bancaires par mail ou téléphone en vous obligeant à les rentrer. Si vous avez un doute sur le site, vérifiez toujours l’url vers laquelle vous êtes renvoyé. N’hésitez pas à copier-coller l’adresse du site qui est souvent très longue pour vérifier qu’elle correspond bien. Vous pourriez être surpris… 

Il est important de mettre à jour toutes ses applications ou ses logicielles. "C’est la principale menace pour votre sécurité", rappelle Mark Risher. Pour lui, l’éternel laïus sur le mot de passe complexe n’est plus d’actualité. Il encourage davantage à opter pour les générateurs de mot de passe (des applications ou logiciels en ligne comme Dashlane, privacy Tools, 1Password, iCloud, certains navigateurs en ont nativement…) qui vont remplir identifiant et mot de passe ultra-complexe pour vous, tout en les stockant dans des trousseaux sur votre ordi ou smartphone de manière ultra-cryptée. "Avec la double identification demandée par Google (via une clé physique ou numérique), nous sommes en mesure de stopper 99,9% des tentatives de piratage, même si le pirate à l’identifiant et le numéro de téléphone", se félicite Mark Risher.

Il est également possible de recourir à la double-identification. En plus de votre mot de passe, certains sites ou services vous demanderont de confirmer votre identité par SMS ou code envoyé par notification. Votre connexion peut également être vérifiée. En cas d’accès frauduleux, vous êtes avertis par mail ou SMS si le service ne reconnaît le lieu de connexion, si la zone est anormale. Et vous pouvez déconnecter à distance l’appareil soupçonneux. 

Google a également mis au point sa clé USB de sécurité Titan, qui utilise une authentification à multiples facteurs pour garantir votre connexion et votre navigation. Elle se présente sous la forme d’une clé USB ou d’une télécommande Bluetooth, qui permet à votre ordinateur de se connecter. C’est un moyen d’envoyer une seconde vérification physique de votre identité à Google, qui autorise alors la connexion en ligne. Cela fonctionne avec tout type d’appareil avec une connexion Bluetooth ou un port USB. Et grâce à Titan, Google se vante de n’avoir connu aucun piratage de ses 85.000 employés.