Un virus peut en cacher un autre…
04/25/2020 § 2 Commentaires
… Extrait du Journal, du 22 avril 2020, où, comme si cela n’était pas déjà suffisant, en plus du virus pandémique, il nous faut aussi affronter une recrudescence des virus informatiques.
C’est l’occasion de rappeler que, comme pour le COVID, on peut mettre en place à toutes les stratégies techniques possibles (pour les virus informatiques, firewall par exemple), le principal facteur de risque, c’est l’être humain. Parce que, malgré la protection la plus pointue, si vous cliquez sur un lien vérolé, eh bien c’est foutu ! Et, cela, les cybercriminels l’ont bien compris. La situation d’insécurité actuelle, la peur, l’envie de soutenir son prochain ou d’en savoir plus pour épater ses collègues de travail, sont autant de super-conducteurs qui vont permettre au virus d’atteindre sa cible.
Dans ces conditions, le coronavirus leur offre une opportunité magnifique, tant ce sujet est aujourd’hui le plus discuté, le plus commenté, avec des fake news qui pleuvent comme la vérole sur le bas clergé espagnol, comme on disait au précédent millénaire.
La menace est multiple. Actuellement, ce sont surtout les tentatives de phishing (hameçonnage), ainsi appelé, parce que l’on vous fait miroiter un appât, à l’aide d’un message avec une apparence officielle (le logo de l’État, d’une banque, d’une organisation caritative, etc.). Ce message contient un lien malveillant que l’on vous demande de télécharger et/ou de faire suivre via vos applications de messagerie à tous vos contacts. Le pirate vise les données sensibles (pas seulement les coordonnées bancaires, mais aussi différentes informations confidentielles relatives à l’entreprise, ses clients, son know-how). Dans certains cas, de telles fuites de données peuvent engendrer une responsabilité civile ou pénale de l’entreprise, respectivement de ses dirigeants, si des précautions minimales n’ont pas été prises. En effet, même si, dans ce domaine, le risque zéro en matière de sécurité n’existe pas, on pourrait être tenté de vous reprocher de ne pas avoir pris au moins certaines précautions basiques.
Le pirate peut avoir une autre idée derrière la tête que de simplement disperser vos fichiers à tous vents. Il peut privilégier une solution beaucoup plus pragmatique, soit la prise d’otages par cryptage de vos données. Votre système se paralyse et on vous envoie dans la foulée un message avec un numéro de téléphone vers un call center quelque part dans l’Oural. Une brave secrétaire parlant parfaitement le français vous y accueille et vous indique comment procéder pour effectuer le versement de la rançon (d’où le nom ransomware). Certains cybercriminels sont tellement bien organisés que cela en force presque l’admiration. Une fois le paiement effectué, les instructions de décryptage suivent en principe sans problème. C’est un business. Donc, si on veut qu’il perdure, il faut que les clients futurs sachent que si la rançon est payée, l’otage est dans tous les cas libéré. Sinon, les gens ne paieront plus.
La pandémie a aussi favorisé le développement de sites de e-commerce, proposant la vente des produits actuellement en rupture, comme les masques de protection ou le gel hydroalcoolique, sauf que vous n’en verrez jamais la couleur. Déjà, à ce stade, ce n’est pas drôle, mais, de surcroît, vous avez également communiqué des données bancaires sensibles à des gens dont vous ne savez pas ce qu’ils vont en faire. La prudence voudrait donc que vous les modifiez.
La situation sanitaire actuelle a également imposé à un très grand nombre d’entreprises de passer en télétravail. Cette transition s’est faite un peu dans le désordre. Bon nombre d’entreprises ont eu recours à des solutions de fortune et non sécurisée, en installant à la va-vite des connexions à distance qui sont autant de risques supplémentaires de fuites de données confidentielles et de portes ouvertes dans le système informatique de l’entreprise. Ainsi, vos échanges pendant le télétravail peuvent être exploités non seulement par les concurrents, mais par toutes personnes malintentionnées.
À l’heure actuelle, on constate que, si les services informatiques de l’entreprise sont un des secteurs les plus mobilisés, pour assurer la continuité et la bonne marche des affaires, les managers naviguent à vue et ont recours à des solutions de fortune, faute de pouvoir faire mieux, pour l’instant. Dans le contexte actuel, croire que l’on reviendra à la normale demain et que l’on peut vivre avec un système de fortune jusque là semble un pari dangereux. Nul ne sait quand on sera de retour « à la normale ». Ou même si ce sera vraiment « comme avant ».
Un accent particulier devrait être mis à la mise à niveau d’un degré minimal de sécurité, en tous cas au sein de l’entreprise, afin d’éviter que, à l’impact de la pandémie sur le chiffre d’affaires, viennent encore s’ajouter un dommage supplémentaire, sous forme de préjudice financier additionnel ou de perte de données, suivie d’une action judiciaire de clients considérant que le dépositaire de leurs données personnelles n’a pas fait preuve de l’attention nécessaire et qu’il leur est donc redevable d’un dommage qui, certes, restera à prouver. Mais, par les temps qui courent, si on peut éviter qu’après le nuage de sauterelles, il y ait encore un tremblement de terre…
Moralité : même si l’on ne peut se mettre à l’abri de tout, un minimum de précaution est à la portée de tous, des entreprises en particulier, à commencer par le premier conseil : n’ouvrez jamais un mail et ne cliquez jamais sur un lien dont vous n’êtes pas certains de la provenance. Dans ce domaine, une adresse mail « bizarre » de l’expéditeur peut déjà vous mettre la puce à l’oreille et, quand bien même, ne transmettez par ce canal des informations confidentielles si vous ne connaissez pas le destinataire. Personne ne doit vous demander de mots de passe ou de codes de confirmation par e-mail, message ou téléphone, même en période de télétravail.
MeFaire 
Coucou Me Faire,
Quelques petites anecdotes sur la Pandémie.
1. Une présidente de Tribunal veut faire une audience. Elle précise qu’elle veut respecter la règle des 5 personnes. Il y a donc une présidente et un/e greffière, une partie et son avocat, l’autre partie et son avocat, et on arrive à 6, là ca va ? sans problème, mais on ne va pas entendre une personne (la curatrice qui connait la situation financière de l’une des partie. C’est la curatrice qui a tous les documents. 2. La police fait une audition. On se tasse à 6 ou 7 dans une petite salle de 3 m. carrés. Et à la fin, on se passe les mains à l’alcool. Question de l’avocat à l’un des policiers. : « avec tout l’alcool que l’on a sur les mains, ça ne fausse pas les résultats du test à l’éthylomètre ? » réponse du Policier qui lui pose une claque amicale dans le dos « pas si c’est moi qui vous fait le test !!! » 3. Le Président SR qui est très fier d’annoncer que sa salle d’audience est conforme aux directives COVID, elle a été homologuée par le Conseil de la magistrature (mais il n’y a pas l’ombre d’un virologue ou d’un spécialiste des épidémies dans ce conseil). Je vais faire homologuer mon étude par le boulanger du quartier pourquoi pas ?
Ton bon voisin qui ne t’oublie pas
Piji
J’aimeJ’aime
Merci cher ami pour ces quelques anecdotes tout à fait significatives de cette période absurde où on ouvre les garden centers pendant que la Justice se tâte, alors que le CF a dit il y a un mois qu’elle devait continuer de fonctionner
J’aimeJ’aime