Blog winzana

Cybersécurité, hacking : il est temps de protéger vos données !

Rédigé par Patrick Navarro | Nov 14, 2022 3:03:55 PM

Vos données valent de l’or.

Pourquoi les hackers s’intéressent-ils aux données ? 

Sur Internet, il est possible de récupérer une quantité astronomique d’informations que ce soit sur vos habitudes d’achats, votre historique de navigation, vos coordonnées bancaires … Que vous ayez autorisé ou non l’accès à ces données, elles peuvent être récupérées. On peut ainsi retrouver votre nom et prénom, votre adresse, vos contacts, votre mail, vos opinions politiques …

Bref, toutes personnes naviguant sur internet, y laisse une trace, à moins de prendre des mesures préventives comment l’utilisation de proxys ou de moteurs de recherche jugés plus safe comme DuckDuckGo ou Qwant.

Qwant, l’un des moteurs de recherche permettant d’être  » incognito  » sur la toile.

Aujourd’hui, ces informations sont extrêmement utiles pour les entreprises notamment dans la création de personas, c’est-à-dire des  » profils type  » de consommateurs.

Grâce à ces données, elles peuvent identifier les habitudes de consommation, comprendre comment leur parler etc … afin d’être plus percutant dans leur communication et de répondre au mieux à leurs besoins.

Bien entendu, avant de pouvoir récolter et utiliser vos données dans le cadre de ciblage marketing, les entreprises ont l’obligation de recueillir votre consentement, afin d’être en règle d’un point de vue de le RGPD (Réglement Générale sur la Protection des Données).

Cette même autorisation est donnée explicitement dès lors que vous créez un compte sur les réseaux sociaux.
À partir du moment où vous les acceptez, ils seront en mesure de vous proposer des publicités ciblées en fonction de vos goûts et vous proposer du contenu en lien avec vos centres d’intérêts, grâce aux données que vous leur aurez renseigné par le biais de vos actions comme vos likes, commentaires, abonnements sur les différentes plateformes. 

À savoir : Le RGPD s’applique uniquement aux entreprises traitant des données à caractère personnel de citoyens européens. Auparavant, c’était le siège social de l’entreprise qui définissait le règlement lié à la gestion et au traitement des données.

Mais depuis le 25 mai 2018, une entreprise dont le siège social est situé aux Etats-Unis et qui traite des données à caractère personnel d’utilisateurs européens (ex : Twitter, Facebook, etc.) est tout aussi concernée par le RGPD.

Tels étaient les attendus lors de l’entrée en rigueur du RGPD le 25 Mai 2018.

En France, la CNIL (Commission nationale de l’informatique et des libertés) est le régulateur des données personnelles. Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits. Elle s’occupe également de sanctionner les entreprises ne respectant pas le RGPD.

L’une des formes les plus répandues pour obtenir le consentement des utilisateurs dans la récolte des données sont les bandeaux d’acceptions de cookies. Ils vont permettre de recueillir le consentement des utilisateurs et permettre au détenteur d’un site internet de récolter des données sur ses visiteurs et de les utiliser à des fins marketings comme le retargeting, le ciblage promotionnel, etc … 

Mais nous nous égarons … La thématique dont nous allons traiter aujourd’hui n’est pas le RGPD (qui pourra faire l’objet d’un article) mais la cybersécurité, bien que les deux sujets ne soient pas si éloignés que ça !

En effet, la protection des données passe par la sécurisation des systèmes d’informations. Ce qui implique que la structure numérique à l’origine du stockage de ces data soit verrouillée face à toutes les intrusions. 

La recrudescence des hackers.

Depuis l’avènement d’internet, en 1980, les hackers redoublent de moyens et d’ingéniosité afin de prendre le contrôle de vos machines, de voler vos informations personnelles etc …

De plus, depuis quelques années, les hackers ont su tirer profit de l’essor des smartphones.
Ces derniers ne cessant d’être toujours plus sophistiqués, peuvent désormais s’apparenter à de mini-ordinateur de poches contenant pléthore d’informations pouvant s’avérer ô combien alléchantes pour les hackers.

Les portes d’entrées se multiplient aujourd’hui, en plus des mails, les applications téléchargées via des stores, en apparence  » safe  » peuvent contenir des virus et infecter vos appareils …

Bref, vous l’aurez compris, les hackers sont partout, on parle même de  » l’âge d’or de la cybercriminalité. « 

Des événements marquants

Sony, une image dégradée à cause de failles de sécurité.

En 2011, Sony via sa console Playstation 3 a été victime d’une cyberattaque immobilisant les services du PlayStation Network (PSN), service multijoueur et de média en ligne.

Plus de 25 millions de données auraient alors été dérobées, l’image de la firme complètement dégradée puisque les utilisateurs ont jugé la sécurité trop faible face à ce type de crise. Des failles de sécurité auraient été négligées, ce qui pourrait être une des causes de cette attaque. 

Des données telles que des numéros de carte bancaire, des adresses, des noms ont pu finir sur le marché noir.

Tout cela a coûté, ne serait-ce qu’en réparation et sécurisation de leurs serveurs, 2 milliards d’euros à Sony.

Les pertes globales devraient, elles, avoisiner plusieurs milliards en plus …
Sans compter la perte de clients et donc de bénéfices, et les différents remboursements à effectuer.

Plus de 70 millions de profils, comme celui-ci, destinés au multijoueur, ont été attaqués.

WannaCry, 4 milliards de pertes à cause d’une absence de mise à jour…

En 2017, WannaCry va frapper le monde entier, et devenir l’une des plus grosses cyberattaques avec rançon de l’histoire. Le logiciel va infecter plus de 300 000 ordinateurs dans plus de 150 pays.
Très rapidement il a navigué entre les ordinateurs du même réseau, ayant un système d’exploitation ancien (windows XP par exemple), et ayant 
des retards sur les mises à jour de sécurité. De grosses entreprises ont été touchées, comme Renault ou FedEx.

Cette crise montre la rapidité et le potentiel de propagation d’un virus, notamment l’aisance dont il a fait preuve lors de sa  » navigation  » entre les différentes terminaux d’entreprises et même ceux des particuliers … 

Voici ce que les utilisateurs ont pu découvrir en voulant accéder à leurs fichiers … Des menaces et une demande de rançon.

Acer, hacké à cause d’un salarié imprudent.

 

 

En 2021, Acer a été victime de la même technique, un ransomware, dont on vous détaille le fonctionnement plus bas. Cette attaque a conduit à une demande de rançon de 50 millions de dollars, en échange des données volées. Les hackers menaçaient l’entreprise de divulguer des documents financiers sensibles de plusieurs filiales dans le monde entier. On ne sait pas combien Acer a finalement payé pour les récupérer.

En raison de l’énorme dispositif de sécurité d’Acer, l’une des pistes est qu’un salarié soit à l’origine de la brèche de sécurité qui, par le biais de son ordinateur, aurait donné la possibilité aux hackers d’accéder à l’ensemble du réseaux internet de l’entreprise et ce, jusqu’aux données sensibles. 

Était-ce dû à une baisse de vigilance de sa part ou peut-être qu’il n’était pas suffisamment formé, ni même sensibilisé à la cybersécurité et la protection des données ? La faute est à imputer à l’entreprise ou au salarié, difficile à dire …

Les attaques comme celles-ci se multiplient et deviennent monnaie courante.

Dans un monde où nos données sensibles sont de plus en plus stockés sur des terminaux numériques, ne pas être sensibilisé et ne pas prendre de mesure permettant de renforcer votre cybersécurité reviendrait à laisser la porte de sa maison ouverte avec vos biens les plus précieux à la vue de tous.

Que vous soyez une entreprise, une association, un organisme ou même un particulier, nous sommes tous concernés par la protection de nos données. 

La cybercriminalité, le hacking de nos jours.

Les entreprises sont énormément touchées par le hacking, mais les hôpitaux et collectivités le sont aussi ce peut avoir des conséquences extrêmement grave allant jusqu’à menacer la vie des gens …

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) expose qu’en 2021, 11% des cyberattaques ont concerné des hôpitaux, et 20% des collectivités territoriales

À l’heure où l’on écrit ces lignes, le CHU de Corbeil Essonnes a été victime d’une cyberattaque le 20 août 2022, empêchant la prise en charge des patients. Une demande de rançon de 10 millions de dollars a été émise, sous la menace de la divulgation des informations personnelles des patients, très inquiets.

Depuis, l’activité de l’hôpital est totalement paralysée, certains patients à risques ont même du être transférés ailleurs afin de pouvoir continuer à leur administrer des soins … 

Ce type d’attaque à l’encontre des hôpitaux ont augmenté depuis la crise du covid.
En effet, on estime cette augmentation à plus de 400%.

Les piratages informatiques peuvent avoir des conséquences bien plus graves et néfastes que les simples  » vol de données bancaires « . En effet, comme c’est le cas lors de cyberattaques ciblant les hôpitaux, des vies peuvent être en jeux. C’est pourquoi, il est crucial de veiller à bien protéger ses données.

En 2021, 94% des cybermenaces venaient d’emails, parmi lesquelles on dénombre 80% de phishing.
C’est une des typologies d’attaques les plus fréquentes des hackers, mais il en existe bien d’autres ! 
Et on va vous les présenter dans la partie suivante … 

Les types d’attaques

Les hackers redoublent d’invention afin de vous piéger et d’avoir accès à vos données. Certains appareils sont particulièrement compliqués à être hacker, mais les cyberpirates savent que la meilleure manière d’avoir accès et d’infiltrer à ces sytèmes c’est de passer par nous. Les utilisateurs. 

Voici une présentation des typologies d’attaques les plus répandues. 
Après ça, vous serez intouchable, ou presque. 

Le phishing

Vous en avez sûrement déjà vu, et si vous allez dans vos spams, vous allez vite comprendre ce que c’est.
Le phishing consiste à envoyer des mails frauduleux, des copies de mails d’entreprises en apparence fiables. 

Ces mails vont être des copies quasiment parfaites de certaines entreprises, en adoptant les mêmes éléments graphiques et la même adresse mail, à quelques lettres prêt.

Le contenu de ces mails peuvent provenir de l’assurance maladie, de votre banque ou votre opérateur, et ce dernier aura un ton assez urgent. Le but est de détourner votre attention, sur un problème imminent, pour que vous ne voyez pas la supercherie et ne preniez pas la peine de vérifier. 

Ici leur but est de récupérer vos données, mots de passe et numéros de carte bleue par exemple.

C’est le type d’attaque le plus courant

Le meilleur moyen de contrer ces tentatives d’intrusions consiste tout simplement à vérifier l’adresse mail de l’expéditeur. Dès lors que vous avez le moindre doute ou qu’il faille cliquer sur un lien, ne prenez pas de risques, faites une recherche Google sur le mail en question et vous serez rapidement fixé. 

Un exemple de mail frauduleux, copiant l’opérateur Free. 
On remarque l’adresse mail suspicieuse de l’expéditeur.

Les ransomwares

C’est un type de logiciels malveillants, qui ont pour but de prendre en “otage” votre ordinateur ou téléphone, et les fichiers qui vont avec. Les hackers veulent que vous payiez une rançon pour vous libérer, sans pour autant être sûr qu’ils vous les rendront.

Une fois infecté, votre ordinateur affichera ce type de message vous demandant de verser de l’argents à une adresse internet afin de récupérer l’usage de votre ordinateur, sans qu’il n’y ait de garantie … 

 

Le Malware

C’est un type de logiciel malveillant qui, une fois installé, va avoir accès à la plupart de vos données, et potentiellement affaiblir votre ordinateur. 

Le hacker peut s’introduire dans votre ordinateur par le biais d’un cheval de Troie ou appelé Trojan, un logiciel se faisant passer pour un vrai, qui dès lors que vous allez l’ouvrir, deviendra la porte d’entrée à toutes sortes de virus qui vont endommager votre ordinateur et collecter vos données. Le hacker pourra, à partir de là, installer tous les virus dont il a besoin pour sévir, comme des spywares par exemple. 

Le Spyware

Le Spyware est, comme son nom l’indique, un programme espion qui va enregistrer chacunes de vos actions.
Le hacker aura ainsi accès à tous vos mots de passe sur internet dès lors que vous les saisirez et il en va de même pour vos coordonnées bancaires lorsque vous effectuerez des achats sur internet. 

Toutes ces attaques proviennent de logiciels ou de fichiers que vous avez téléchargé, que vous aurez ouvert mais les hackers peuvent aussi vous voler différemment. Par exemple, lorsque vous êtes sur un wifi non sécurisé, on peut voler les données qui partent de votre appareil et passent par le réseau. C’est notamment le cas dans les campus universitaires, les cybercafés, les gares, etc … 

Comment vous protéger ?

Après vous avoir détaillé et définis chacune des cyberattaques dont vous pouvez être victime, c’est à présent le moment de vous parler des techniques et astuces afin de vous protéger au mieux face aux hackers. 

VOS APPAREILS INFORMATIQUES

Sauvegardez régulièrement vos données, sur un disque dur externe, pour les préserver en cas de piratage.

Mettez à jour vos logiciels et votre système d’exploitation (Windows, Android, IOS…), sur tous vos appareils, vous aurez la dernière version du pare-feu et du système. Vous bénéficierez de la meilleure protection possible.

Utilisez un antivirus. Avoir un antivirus va pouvoir détecter et supprimer les menaces, il pourra aussi vous avertir lors du téléchargement d’un fichier indésirable et potentiellement malveillant.

VOS MOTS DE PASSE

Utilisez des mots de passe compliqués. Cela paraît assez évident, mais les mots de passe comme “1234” ou “0000” sont parmi les plus utilisés en France. 

 

Évitez aussi votre date de naissance, numéro de rue ou prénom, ces informations sont rapides à trouver sur internet. Privilégiez des “phrases de passe”, avec plusieurs mots, des chiffres, jeux de mots…

 

Un moyen de plus sécuriser vos connexions, est de mettre en place la double authentification, qui va vous demander non seulement un mot de passe, mais aussi une validation sur votre mobile.

SUR LES SITES INTERNET

Évitez les réseaux wifi non sécurisés. Comme on vous l’a expliqué, un hacker peut facilement récupérer vos données via un wifi public, dans une gare ou un McDo par exemple.

N’enregistrez pas vos informations bancaires sur les sites que vous utilisez.

Avant de procéder à un achat, vérifiez que votre site commence par “Https”, le “s” voulant dire qu’il est sécurisé.

LES RÉSEAUX SOCIAUX

Faire attention à sa vie privée sur les réseaux sociaux, sur ce que vous postez, que ce soit en story ou publication.

Par exemple, poster votre billet d’avion, ou de concert peut être dangereux, en effet du code barre peut être extrait vos informations comme votre nom, prénom, adresse…

En général, ne dévoilez pas d’informations trop personnelles, qui peuvent vite être récupérées pour voler votre identité.

Comme pour le reste, les réseaux sociaux sont remplis de faux comptes, parfois même de proches essayant de vous faire cliquer sur des liens, envoyer des informations ou des photos.

Assurez-vous de l’identité de la personne, en la contactant sur un autre support, ou en regardant ces derniers posts ou stories.

 LES CANAUX DE DISCUSSION`

 

Ne cliquez pas sur les liens provenant d’inconnus, que ce soit par mail, sms ou sur les réseaux sociaux. Prenez le temps d’analyser l’adresse.

Si c’est un site où vous avez l’habitude d’aller, allez-y avec votre propre lien. 

De même ne téléchargez jamais les pièces jointes que l’on vous envoie par mail de personne que vous ne connaissez pas.

Par conséquent, vérifiez toujours l’identité de la personne qui vous contacte.

 

 

POUR VOTRE ENTREPRISE

 

Les bonnes pratiques ci-dessus sont aussi cruciales pour la sécurité de votre entreprise, car la plupart des attaques proviennent à l’origine de failles créées par l’humain. Un seul employé peut faire fuiter les données de toute l’entreprise …

Quelques bonnes pratiques afin de garantir la sécurité de vos entreprises : 

– Ne pas brancher son téléphone perso sur le terminal mobile.
– Ne pas laisser son pc ouvert sans l’avoir verrouillé, surtout dans les cybercafés, co-working, etc …
– Réaliser des sauvegardes régulièrement de vos fichiers.
– Éviter d’installer des logiciels, de copier ou d’installer des fichiers douteux ou à risques. 
– Ne pas introduire des clés USB personnelles dans votre ordinateur professionnel.

 

 

Conclusion

 

S’intéresser à la cybersécurité, c’est saisir l’importance et la nécessité d’être alerte face à la protection de ses données. 

Les bonnes pratiques sur le net doivent devenir des automatismes au même titre que dans la vie de tous les jours où fermer la porte et les fenêtres dès que lors que l’on s’absente paraît simple et logique.

Vos données sont des proies pour les hackers, il est important d’en avoir conscience pour mieux se protéger.
De nombreuses solutions existent pour se protéger afin d’utiliser internet en toute confiance.