Cybersécurité : les pirates mettent la pression

, , ,

Le tout nouvel Office fédéral de la cybersécurité (OFCS) publie un état des lieux plus que préoccupant concernant l’état des menaces actuelles et surtout de la tendance à la hausse des risques liés à la sécurité informatique.

Par ailleurs, nous avons été informés récemment d’une arnaque particulièrement subtile : une de vos connaissances (c’est en fait le pirate qui a usurpé son identité) vous envoie un message vous avertissant que vous allez recevoir un code par SMS, qu’il faudra lui renvoyer afin qu’elle débloque sa messagerie Whatsapp. En réalité, c’est bien votre compte Whatsapp qui l’intéresse et ce code reçu par SMS et retourné au pirate lui permet de récupérer votre compte…

Copyright Patrick Chappatte - avec l’autorisation de diffusion sur ce site par son auteur.
Copyright Patrick Chappatte – avec l’autorisation de diffusion sur ce site par son auteur.

Rapport de l’OFCS

Doublement des annonces de cyberincidents et augmentation des tentatives de fraude recourant à l’IA

Le nombre des cyberincidents annoncés à l’Office fédéral de la cybersécurité (OFCS) a presque doublé au cours du deuxième semestre 2023, soit plus de 30 000. L’orientation stratégique du nouvel office fédéral repose sur quatre piliers qui permettront de renforcer la cybersécurité pour la population, l’économie et les autorités face à l’augmentation des menaces et à l’émergence de la fraude recourant à l’IA.

Le 6 mai dernier, à l’occasion d’un point de presse, le directeur de l’Office fédéral de la cybersécurité, Florian Schütz, a dressé un premier bilan après les premiers mois d’exercice. La transformation du Centre national de cybersécurité (NCSC) en un office fédéral au 1er janvier 2024 a marqué une étape importante pour le renforcement de la cybersécurité en Suisse. Les tâches primaires de l’OFCS demeurent en effet la consolidation de la sécurité cyber de la Suisse par l’information et la sensibilisation du public aux cybermenaces et aux cyberattaques. L’OFCS joue le rôle de guichet pour l’annonce des cyberincidents et soutient notamment les exploitants d’infrastructures critiques dans la gestion de ces incidents. L’OFCS réalise aussi des analyses techniques pour évaluer les cyberincidents et contrer les cybermenaces. Il identifie et corrige les points faibles de la protection de la Suisse dans le domaine cyber afin de renforcer la résilience du pays.

Orientation stratégique de l’OFCS

La mission principale de l’OFCS est de renforcer la cybersécurité des infrastructures critiques, de l’économie, du système éducatif, de la population et des autorités en coordonnant la mise en œuvre de la Cyberstratégie nationale (CSN). La stratégie de l’office présentée aujourd’hui montre comment cette mission essentielle sera remplie. L’objectif de l’OFCS est d’améliorer la cybersécurité en collaboration avec tous les acteurs concernés. Pour ce faire, il oriente ses prestations selon quatre piliers stratégiques : vulgarisation des cybermenaces, mise à disposition de moyens empêchant les cyberattaques, réduction des dommages dus aux cyberincidents et augmentation de la sécurité des produits et prestations numériques.

Rapport semestriel OFCS 2023/2 : les tentatives d’escroquerie recourant à l’intelligence artificielle (IA) gagnent du terrain

Le nombre des cyberincidents annoncés à l’OFCS a presque doublé au cours du deuxième semestre 2023, avec 30 331 incidents signalés, contre 16 951 signalements pour la même période en 2022. Cette augmentation est principalement due à des offres d’emploi frauduleuses et à de prétendus appels de la police. Parmi les incidents les plus fréquemment signalés figuraient des tentatives de fraude, notamment dans les catégories « fraude au PDG » et « fraude à la manipulation des factures ».

Pour la période considérée, le nombre d’annonces de phishing a plus que doublé par rapport à l’année précédente : 5536 en 2023 contre 2179 en 2022. Il convient de mentionner en particulier ce que l’on appelle le Chain Phishing : via des boîtes aux lettres électroniques piratées, les hameçonneurs envoient des courriels à toutes les adresses enregistrées dans lesdites boîtes aux lettres. Étant donné que les destinataires connaissent l’adresse électronique de l’expéditeur, il y a de fortes chances qu’ils tombent dans le piège du phishing. La messagerie du destinataire sera alors piratée à son tour et la liste de contacts utilisée comme précédemment.

L’office a également reçu un nombre croissant d’annonces concernant des tentatives de fraude recourant à l’IA. Les cybercriminels utilisent des images générées par l’IA pour des tentatives de sextorsion ; ils se font aussi passer pour des personnalités connues au téléphone ou réalisent des escroqueries à l’investissement. Bien que le nombre de signalements dans ce domaine soit encore relativement faible, il s’agit, selon les estimations de l’OFCS, des premières tentatives d’explorer les possibilités d’utilisation criminelle de l’IA pour mener de futures cyberattaques.

Le rapport semestriel est publié.

Stratégie de l’Office fédéral de la cybersécurité OFCS.

Rappel des bonnes pratiques pour éviter de se faire attraper

  • Toujours rester très vigilent quand on reçoit une demande qui ne colle pas forcément avec ce qu’on s’attend à recevoir de ce correspondant. Internet, c’est comme la vrai vie, il y a des ruelles sombres mal famées.
  • Surtout
    • quand le courriel est dans une autre langue;
    • quand le courriel mentionne une demande URGENTE;
    • quand le courriel est menaçant;
    • quand le/la correspondant·e vous demande la plus grande confidentialité;
    • quand le/la correspondant·e prétend détenir des informations confidentielles à votre égard;
    • quand on nous propose de gagner facilement de l’argent.
  • Vérifier à deux (voire trois) fois les échanges en lien avec votre banque ou via des services de payement numérique (comme TWINT).
  • Se méfier des courriels reçus de services en ligne gratuits comme les site de cartes postales virtuelles, ou les sites de petites annonces qui sont souvent utilisés pour des arnaques ou pour récolter des informations personnelles.
  • Bien vérifier l’adresse de courriel de l’émetteur·trice (le nom de domaine doit correspondre à la raison sociale de l’organisation émettrice).
  • Dans le moindre doute,
    • ne jamais répondre tout de suite;
    • ne jamais cliquer sur un lien dans le courriel;
    • appeler le correspondant pour avoir une confirmation orale;
    • demander conseil à votre partenaire informatique.
  • Avec l’arrivée des IA génératives, l’absence de fautes d’orthographe n’est plus un critère. Les pirates écrivent des messages bien mieux que la plupart d’entre nous !

Autres conseils avisés (et on peut vous aider !)

  • Limiter l’usage des réseaux sociaux dominants et arrêter de publier du contenu personnel, intime ou confidentiel.
  • Entamer une transition numérique éthique en se séparant des solutions des géants de la technologie.
  • Réduire sa consommation d’écrans et de numérique.
  • Utiliser un coffre à mots de passe chiffré (comme KeepassXC).
  • Utiliser des mots de passe forts et différents par service.