« Nous avons procédé au remboursement de la somme de 243 € sur votre compte. Pour valider le paiement, cliquez sur… » Qui n’a jamais reçu un lien similaire ? Chaque citoyen est une cible de cyberattaque, et les avocats sont particulièrement visés. Paul Bousquet, commissaire de police et Olivier Grall, délégué à la sécurité numérique, ont présenté, à l’occasion des universités de rentrée des avocats qui se sont tenues au Cap-Ferret les 2 et 3 septembre, une conférence sur « Une hygiène informatique au top ». Il suffit de faire un état de la menace cyber pour mesurer l’ampleur du problème : entre 2014 et 2020, chaque année les incidents cyber sont multipliés par 4.
En 2021, l’augmentation a été de 40 %. Et les exemples régionaux sont pléthoriques : vols de données à l’hôpital de Dax et chez Cdiscount, arrêt de production au laboratoire Pierre Fabre, attaque des stations d’épuration d’Oloron, ou encore rançongiciels sur la CCI de Bordeaux. Toutes ces cyberattaques sont intervenues lors du premier semestre de l’année 2021.
Entre 2014 et 2020, les incidents cyber sont multipliés par 4
NE PAS CÉDER AU CHANTAGE
À l’image de cette dernière, la bonne réponse est de ne pas céder au chantage. « Il ne faut pas payer pour deux raisons », explique Paul Bousquet, « il y a deux chantages : payer pour récupérer les données, elles sont rarement rendues, et pour cela il suffit de sauvegarder régulièrement. Il y a aussi la menace de publication, et il faut savoir qu’elles seront de toutes manières publiées car elles ont une valeur marchande. » De plus, payer c’est envoyer un mauvais signal : cela montre notre vulnérabilité et les pirates n’hésitent à s’attaquer plusieurs fois à la même cible et à se vendre entre eux des « fichiers clients » ! De plus, le paiement qui se fait généralement en bitcoins transite par des sociétés offshore qui jouent les « mixeurs », ce qui signifie que toute traçabilité ou investigation sont quasi impossibles.
DARK WEB
« Le principal accès pour une cyberattaque, c’est le mail », remarque Olivier Grall, « on se fait rarement pirater, dans la majorité des cas, c’est la personne elle-même qui communique ses données. » La technique de manipulation s’appelle l’ingénierie sociale, et le meilleur moyen pour y parvenir c’est le phishing, « hameçonnage » informatique qui consiste à usurper une identité (relation de travail, institution, service de l’État) ou fabriquer un faux site (exemple Doctolib, Ameli ou site bancaire). L’attaque peut être générique (envoi massif) ou ciblée. Cette technique va ainsi inciter les victimes à partager des informations confidentielles, à cliquer sur les liens malveillants, à télécharger des programmes vérolés ou encore à transmettre de l’argent. La démonstration des conférenciers est édifiante : un faux site Doctolib où l’on entre son mot de passe permet de prendre le contrôle de l’ordinateur.
La Bâtonnière Christine Maze et L’ex-Bâtonnière Anne Cadiot-Feidt © Isabelle Coulary
Le pirate peut ensuite patienter plusieurs semaines ou mois, car attaquer une grosse entreprise passe souvent par le phishing d’un simple collaborateur, qui va ensuite déclencher une chaîne d’attaques (kill chain) : « Lorsqu’ils ont la main sur le serveur, la propagation est de 500 postes par minute », prévient Paul Bousquet. Un cabinet d’avocats est donc une cible idéale pour s’attaquer à un client important. Et des informations confidentielles ou compromettantes se retrouvent alors à circuler sur le dark web, dont le plus connu des sites : Tor.
QUID DES BONNES PRATIQUES
Parmi les conseils de base préconisés par les conférenciers il y a le fait de sensibiliser ses collaborateurs : l’attaque passe souvent par un biais détourné. Il faut une approche sécurisée qui n’est pas que numérique : « Nous avons été victimes de menaces cyber », témoigne un avocat participant à la conférence, « nous avons refusé le chantage, deux semaines après, notre cabinet a été cambriolé et les trois dossiers sensibles volés. » Autres conseils : ne pas utiliser des adresses gmail ou hotmail et préférer avocat.fr , faire des sauvegardes régulières, et surtout ne jamais cliquer sur un lien sans regarder sur quoi on clique.
Attention au typosquatting qui consiste à changer une lettre ou un signe dans une adresse mail
NE PAS MÉLANGER LES DONNÉES DES TÉLÉPHONES PROS ET PRIVÉS
Lire avec attention l’intitulé de l’adresse : attention au typosquatting qui consiste à changer une lettre ou un signe dans une adresse mail ou faux site internet. Il faut bien lire les noms de domaine. Et bien sûr : ne pas enregistrer son mot de passe dans le navigateur et ne pas prendre toujours le même mot de passe. « De plus en plus d’attaques arrivent par SMS », préviennent également les intervenants, là encore il faut être vigilant. « Ne mélangez pas les données des téléphones pro et privés, vous créez des failles », a prévenu Paul Bousquet devant une audience amusée, qui visiblement ne suit pas vraiment ces règles ! Il faut enfin savoir qu’il existe des anti-virus efficaces pour smartphone, qu’il est important de faire toutes les mises à jour. En cas de doute, il existe la liste des 10 000 mots de passe les plus utilisés et un site https://haveibeenpwned.com qui permet de se rendre compte si on a déjà été piraté !
CAMPUS CYBER À PESSAC
Le Conseil régional vient de créer le Campus régional de cybersécurité et de confiance numérique Nouvelle-Aquitaine, qui s’installera sur le site Amperis à Pessac. Le Campus, qui ouvrira ses portes le 10 octobre prochain, a pour objectif de répondre aux incidents informatiques pour les TPE, PME et TPI locales, et a vocation de développement économique à travers la formation et l’accompagnement d’acteurs régionaux. Son directeur, Guy Flament, a démarré dès ce début d’année le parcours d’incubation préalable orchestré par l’Anssi (Agence nationale de la Sécurité des Systèmes d’Information).
