Il y aurait actuellement 3,4 milliards d’utilisateurs dans le monde sur les réseaux sociaux tels que LinkedIn, Facebook, ou encore Twitter. Les données de ces internautes sont des actifs de grandes valeurs pour les entreprises, mais aussi pour les hackers. En effet, il n'a jamais été aussi facile et rapide pour les cybercriminels de définir une image complète de la vie des internautes, qui n’hésitent pas à publier leur quotidien sur internet et sont dès lors ciblés bien plus stratégiquement.
Le fil d’actualité, une mine d'informations qui le rend vulnérable
Les utilisateurs doivent partager leur vie privée avec parcimonie. Outre les points évidents – les dates de naissance, adresses et coordonnées bancaires – toute information, une fois publiée, peut être exploitée. Les photos de vacances, par exemple, constituent une menace, aussi bien sur le plan physique, avec un risque plus élevé de cambriolage puisque les malfaiteurs savent que la voie est libre, que sur le plan numérique, en offrant de potentiels indices pour cibler les victimes. Imaginons un vacancier à l'aéroport postant une photo avant de décoller, avec sa carte d'embarquement visible. Un hacker peut alors se faire passer pour la compagnie aérienne et lui adresser un email urgent concernant son vol de retour pour tenter de récupérer ses données. Tout internaute doit donc garder en tête que son propre fil d’actualité représente une mine d’informations et le rend vulnérable.
Dans le cadre de messages frauduleux, l’action immédiate systématiquement demandée est de saisir des informations personnelles, telles que les détails de la carte d’identité, les coordonnées ou encore les données bancaires. Tout est mis en œuvre par les cybercriminels pour que les victimes ne remettent pas en cause la légitimité de la demande et y répondent sans se douter de l’erreur qu’elles commettent.
Bien que la majorité des utilisateurs savent que les emails reçus ne sont pas tous légitimes - les fautes d’orthographe et les adresses électroniques étranges étant des indices évidents de phishing - même les personnes les plus averties en matière de sécurité peuvent être dupées par un courrier électronique élaboré avec soin ; l’erreur est humaine, et les cybercriminels comptent bien dessus. Les fraudeurs qui ne ciblent pas leurs victimes individuellement sont capables de créer des emails suffisamment convaincants pour viser un grand nombre d’internautes et s’assurer un pourcentage de réussite élevé. Récemment, des abonnés de Free ont ainsi reçu un email leur indiquant que le virement pour le paiement de leur abonnement avait été rejeté, et les invitait donc à mettre leurs informations bancaires à jour, via un lien présent dans le message. Un exemple parmi d’autre d'attaque par hameçonnage, généralisée plutôt que personnalisée, mais qui a rapidement éveillé les soupçons compte tenu des fautes d’orthographe inclues dans le texte.
Les entreprises aussi exposées que les consommateurs au phishing
Les entreprises sont aussi exposées que les consommateurs au risque de phishing. De nombreuses organisations sont régulièrement ciblées par des campagnes d’emails malveillants destinés aux équipes de direction, voire à la chaîne logistique. Par exemple, un dirigeant peut recevoir un email prétendant provenir de l’école de son enfant et lui demandant de remplir un formulaire en copie. Pour rendre la demande convaincante et légitime, rien d’extraordinaire de la part des hackers tant il est facile de trouver les informations nécessaires en ligne pour créer un formulaire plus vrai que nature – via les publications des parents sur les réseaux sociaux par exemple ou encore les sites web des écoles regorgeant de données. Avec un minimum d'effort, un attaquant peut déterminer les profils de ses cibles et augmenter considérablement ses chances de succès, avec ainsi des rendements potentiels importants et un rapport entre risque et récompense très favorable.
La sensibilisation à la cybersécurité reste donc essentielle, tant pour les particuliers que les professionnels. Être attentif aux informations partagées en ligne et rester vigilant face aux messages reçus – suspects ou non - est également primordial. Les cybercriminels ciblent en effet leurs victimes grâce aux données personnelles qu’elles disséminent elles-mêmes sur les réseaux sociaux et plus largement sur internet. Pour les entreprises, rappeler les risques aux employés est un début ; mais il est tout aussi important de prendre conscience des cybermenaces dans leur ensemble, en identifiant les différentes parties tierces avec lesquelles des données sont échangées, ainsi que les points faibles potentiels. Si les activités des hackers visibles dans les œuvres culturelles semblent parfois incongrues, dans la vie réelle, quelques minutes investies sur le profil d’une cible en font des adversaires redoutables.