Sébastien Dupont

Avec la collaboration de David d’Equainville Vous êtes fous

d’aller sur Internet !

Comment survivre au monde numérique et à ses pièges

Flammarion

© Flammarion, 2019.

ISBN Epub : 9782081450929

ISBN PDF Web : 9782081450936
Le livre a été imprimé sous les références : ISBN : 9782081447110

Ouvrage composé et converti par Pixellence (59100 Roubaix)

Présentation de l'éditeur

Ordinateurs, tablettes et Smartphones ont radicalement changé nos modes

de vie. Ultra connectés, nous sommes devenus, sans nous en apercevoir,
dépendants et fragiles. Nous ignorons tout de la réalité des risques
numériques. Personne ne nous a prévenus de la nature du danger. Nous ne
savons pas que nous sommes menacés quand on effectue un achat sur
Internet, quand on consulte une banque en ligne ou même quand on
cherche l’âme sœur sur un site de rencontres.
Vous êtes fous d’aller sur Internet ! tire la sonnette d’alarme et passe en
revue tout ce qu’il faut savoir en matière de sécurité numérique (piratage
de données, divulgation de la vie privée, harcèlement, vol d’identité, etc.),
à travers près de cent pièges recensés, et autant de solutions pour se
prémunir et réagir efficacement.
Pour ne pas devenir une cyber-victime malgré nous et rester sans défense
contre les intrusions, voici le premier kit de survie numérique.
Responsable de la sécurité numérique pour la création du « Pentagone à la
française » et au sein de grands groupes internationaux, Sébastien Dupont
est impliqué depuis vingt ans sur le terrain de la protection des données.
 Du même auteur

Le Management ZEN, allier performance et sérénité, Éditions AFNOR.

 Vous êtes fous
d’aller sur Internet !
Comment survivre au monde numérique et à ses pièges
SOMMAIRE
Introduction
Votre Smartphone est un mouchard
Comment éviter l’usurpation d’identité ?
Les pièges des achats en ligne
Des rencontres sur Internet au chagrin numérique
Gmail, Facebook et autres Twitter sont-ils des amis sûrs ?
Les risques d’une connexion depuis l’étranger
Le cyber-harcèlement chez les jeunes
Comment ne pas être exclu et être un cyber-papi ou une cyber-mamie
heureux ?
On attaque les démocraties et tous les citoyens sont concernés
Mais qui a pris le contrôle de mon ordinateur ?
La cybercriminalité au sein des entreprises
Sommes-nous au bord du cyber-chaos ?
Conclusion : devenons vigilants !
Lexique de la cyber-sécurité
L’Appel de Paris
Remerciements
Introduction
Je ne voulais pas écrire ce livre.
Je trouvais trop dangereux de diffuser publiquement une synthèse sur les
risques des outils numériques. Si j’avais été un serrurier, aurait-il été
bénéfique à mes clients d’expliciter à tout le monde les fragilités des
différentes serrures sur le marché, et de contribuer à une possible
multiplication des intrusions ? Est-ce qu’un exposé des menaces ne va pas
favoriser la défiance des internautes ? Non. Ils sont déjà dans le paradoxe
d’utiliser en masse Internet tout en se méfiant des acteurs qui « aspirent »
leurs données. Un expert en cyberdéfense n’a pas vraiment vocation à
devenir le grain de sable qui aggrave les difficultés déjà existantes et freine
l’élan numérique de chacun.
Mais je ne voulais pas non plus me dérober. Après tout, l’essence de ce
métier, au-delà de sa capacité à vous rendre paranoïaque et à vous faire
douter chaque semaine de l’intégrité de vos propres systèmes, est bien de
sécuriser les technologies numériques au service des entreprises ou des
particuliers. Car il n’y a pas de raison que monsieur et madame Tout-le-
monde soient laissés sur le bord de la route du numérique. Trop de
personnes souffrent, s’inquiètent ou sont victimes du numérique. Il n’y a
pas de raison que ce sujet reste un sujet de spécialistes. Il faut s’en emparer
pour le démystifier et faire progresser les valeurs d’humanisme : le
numérique au service de chacun. À force de nous adapter à cette révolution,
nous en avons accepté tous les travers.
Mon travail consiste donc à sécuriser les réseaux d’ordinateurs et les flux
de données de grands groupes et d’organisations étatiques. Je ne m’ennuie
jamais tant le parcours d’obstacles est varié. Il y a de si nombreux pièges à
éviter. Je connais les petits travers de mes homologues, toujours méfiants
quant à l’arrivée d’une nouveauté technologique (il y a peu de chance que
vous trouviez une enceinte connectée au domicile d’un expert sécurité). Et
toujours avec une légère tendance à vouloir proposer des solutions pointues
pas toujours opérationnelles pour le commun des mortels. Ne pas noter les
mots de passe et ne pas réutiliser le même, d’accord. Mais comment faire
quand la moyenne des Français en possède une bonne douzaine ?

J’ai également conscience de la futilité de conserver d’anciens téléphones

portables, même si ceux-ci sont a priori moins vulnérables puisque sourds
et aveugles aux évolutions technologiques des générations suivantes. Et je
connais les limites de nos compétences lorsque nous croyons devenir des
experts d’un sujet en particulier et que notre ego prend le dessus. L’hyper-
spécialisation engendre des angles morts. Je sais, par exemple, que sécuriser
un site marchand n’induit pas forcément un avis pertinent sur les réseaux
sociaux utilisés par tous les âges. Je sais aussi que la masse d’information
diffusée sur les enjeux de la protection des données a tendance à égarer les
plus patients d’entre nous.
Enfant de l’Internet, puisque j’ai eu la chance d’expérimenter les
premières classes informatiques dès l’âge de 13 ans, j’ai vu évoluer nos
usages numériques à la vitesse du gigabit. De génération en génération, de
X, Y à Z, les unes à la suite des autres, mais dans l’ordre inverse des choses,
les plus jeunes tirant l’expertise des plus vieux. Je ne peux m’empêcher de
penser qu’en matière de sécurité numérique, peu importe aujourd’hui la
connaissance qu’ont les utilisateurs de la technologie, il est désormais
urgent pour eux de maîtriser le B.A.-BA.

Depuis que nous avons fait le choix de numériser l’ensemble de nos

activités, professionnelles et privées, notre survie est en jeu. Il ne s’agit pas
seulement de notre survie virtuelle, mais bien de notre vie quotidienne qui
pourrait être entravée. Dès aujourd’hui, pas un pan de nos actions n’est à
l’abri d’un échange de données binaires… et donc d’une cyberattaque ou
d’un dysfonctionnement. Même pour transférer la propriété d’une carte
grise de voiture, il faut réaliser la demande sur… Internet. Si tous les
chemins menaient à Rome, tous nos chemins passeraient par Internet. J’ai la
sensation que le risque, calé sur la même courbe de progression que les
innovations informatiques et les masses de données traitées, n’a pas fini de
perturber cette révolution de l’interactivité. Ce n’est pas une vue de l’esprit
: si nous ne collaborons pas mieux et plus rapidement pour nous protéger
des failles inhérentes à la conception des outils, nos libertés s’en trouveront
grandement amputées.
Mon métier consiste à analyser les dangers des systèmes et à présenter
des synthèses intelligibles pour aider les non-initiés à agir en conséquence.
On ne peut pas à la fois diriger une entreprise et suivre toutes les évolutions
technologiques en matière de sécurité. Mon expérience est fondée sur toutes
les erreurs déjà commises, et toutes les solutions qui ont été trouvées par la
profession afin de les corriger. J’en profite pour remercier tous ceux que j’ai
pu rencontrer et qui m’ont transmis leur savoir. Dans une entreprise, je
m’adresse aussi bien à des spécialistes du traitement de la donnée qu’à des
néophytes, stratèges dans d’autres domaines que l’informatique. Les
difficultés à faire évoluer les habitudes pour anticiper un risque me sont
familières. De même que des années de prévention ont été nécessaires pour
faire évoluer les bonnes pratiques de l’hygiène et de la santé, de
l’alimentation saine, je sais qu’un effort comparable nous attend en matière
de sécurité numérique. Je comprends ceux qui n’y voient pas suffisamment
clair pour s’intéresser au sujet. Oui, il y a une partie subjective et non
scientifique qu’il faut assumer. J’entends ceux qui pensent que les cyber
escrocs ont et auront toujours un coup d’avance mais non, ce n’est pas une
raison suffisante pour baisser les bras. Nous n’avons plus de temps à perdre.
Voilà ce que je me disais en rédigeant les premières pages de ce guide de
survie numérique.
Autant s’y mettre tout de suite.
J’ai suivi une méthode aussi simple qu’efficace : celle de faire feu de tout
bois dans le but d’éclairer suffisamment les risques encourus par les usagers
de nos machines écrans et autres applications interactives, communément
appelées « Oui-Oui », en référence à ce personnage de fiction qui hoche la
tête en signe d’assentiment, pour la porte qu’elles nous ouvrent volontiers
sur le monde du numérique. Mais rassembler et expliciter les informations
dispersées n’est pas une chose si aisée. Entre les bulletins des experts, ceux
des diverses institutions, les notes des hackers et des amateurs, il y a de
quoi perdre la tête et tous nous égarer. Vous ne trouverez pas les chiffres en
milliers de milliards de dollars annonçant les dommages au niveau mondial,
ni ceux en centaines de milliards annonçant un marché florissant de la
cybersécurité. Il est difficile de cautionner leur crédibilité.
 Pour rester le plus pratique possible, j’ai entrepris même de tester moi-
même les risques des « Oui-Oui » les plus récents, de Facebook à
WhatsApp, toute la panoplie des offres relationnelles, jusqu’aux sites de
rencontre. Et je n’eus pas à attendre longtemps avant de déceler les
premières manifestations du danger.
Deux semaines après mon inscription sur un site de rencontre, je fus
victime d’une arnaque à l’effeuillage orchestrée avec brio, tant
psychologiquement que techniquement. En un rien de temps après mon
inscription je fus harponné par un « brouteur », ces animateurs qui gèrent
différents profils factices, féminins ou masculins, toujours à l’écoute des
besoins de leurs proies. Après le miel, la bastonnade numérique. J’étais
invité à régler une rançon sous peine de voir divulguer à mes contacts,
personnels et professionnels, une vidéo où j’apparaissais en fâcheuse
posture et que l’imposteur prenait un malin plaisir à faire tourner en boucle
sur mon Smartphone, mon « Oui-Oui » préféré. Bigre ! La qualité du
montage de ce faux était remarquable. J’étais victime d’un maître chanteur.
Elle était loin l’époque où les arnaqueurs avaient l’orthographe vacillante et
la syntaxe exotique. Aujourd’hui, à l’écran, ce sont des avatars tout à fait
crédibles de médecins, d’avocats, d’enseignants, et parfois même d’amis
conviés à votre table, qui tentent de vous faire les poches. Heureusement
que j’avais pris quelques précautions avant de faire le grand saut.
La cybercriminalité a pris du poids avec les années. Europol, l’agence
européenne de police criminelle, comptabilise plus de dix milliards d’euros
de préjudice, toutes techniques confondues. Un chiffre en constante
progression. Évoquer la criminalité numérique fait émerger une information
essentielle : les escroqueries ne visent pas uniquement les plus riches car,
pour reprendre l’adage, en matière de réseau, les petits ruisseaux et
l’automatisation peuvent engendrer de très grandes rivières. Nul besoin
d’être une personnalité en vue pour être la cible ou la victime d’un chantage
à la réputation. Nous sommes tous des cyber-victimes potentielles, d’autant
plus que nous ignorons la nature des dangers qui nous guettent au détour
d’une annonce sur Internet ou d’un faux courriel de notre banque, et que
nous ne prenons aucune des mesures qui s’imposent. En cas d’arnaque,
nous « oublions » même de porter plainte, pensant à tort que cela ne servira
à rien, moitié honteux de s’être laissé berner technologiquement, moitié
vaincu par une démarche qu’on pense vaine et fastidieuse. Tout ceci a pour
conséquence de fausser les statistiques, freinant la prise de conscience du
phénomène par les pouvoirs publics.
Malgré cette opacité, le gouvernement estime tout de même à plus de 1
milliard d’euros par an le coût de la menace, de quoi la prendre très au
sérieux si l’on envisage de ne pas se faire dépouiller au coin du réseau. Bien
pire encore qu’un impact financier, il faut se méfier de l’utilisation abusive
de données sur des populations fragiles. Rappelons-nous la terrible actualité
d’une jeune adolescente italienne qui a mis fin à ses jours après la diffusion
en ligne, contre son gré, d’une vidéo relevant de sa vie privée. Un cas
malheureusement de plus en plus fréquent.

Est-il encore nécessaire de vous convaincre de vous réveiller sans plus

tarder ?
Il est indispensable de prendre la mesure de la situation et de ne plus
différer la confrontation avec la réalité. Nous avons besoin de réponses
concrètes. Pourquoi est-il si compliqué de trouver une aide pratique sur le
sujet, du plus simple des conseils au plus complexe ? Pourquoi les
différents acteurs institutionnels avancent-ils en ordre de marche dispersé,
alors que leurs efforts devraient être coordonnés ? Face à un tel enjeu de
société, les questions se bousculent. L’information sur le site
www.cybermalveillance.gouv.fr/ est-elle suffisante ? A-t-on réellement
évalué le coût administratif des escroqueries électroniques ? Et pourquoi
des plaignants ne réussissent-ils pas à se faire rembourser auprès de leur
banque après un card-jacking si leur code secret a été volé ?
Le monde numérique ne serait-il pas un monstre qui s’apprête à nous
dévorer ?
Pour éviter un naufrage individuel et collectif, faut-il se passer des
innovations de la révolution informatique, feindre d’ignorer qu’un petit
pays européen, l’Estonie, a mis en place des services numériques
performants, e-carte d’identité centralisant les données de chaque citoyen,
économisant 2 % de son produit intérieur brut (PIB) ? Il serait urgent de
porter un regard critique sur les risques intrinsèques à nos habitudes
numériques, de passer enfin derrière nos écrans. Au même titre qu’il existe
des conduites à tenir lorsque l’on risque de rencontrer dans certaines
contrées un ours (comme ne pas bivouaquer à proximité de ses provisions),
nous nous devons de préserver nos données privées (tout en sachant qu’il
est illusoire de chercher un niveau de sécurité élevé avec un ordinateur ou
un Smartphone, quelle que soit leur sécurisation, l’outil invulnérable étant
un mythe). La sécurité n’existe pas. C’est comme en amour, seules les
preuves existent. Il faudra prendre le temps d’aller chercher des fleurs.

C’est pourquoi, face à la vague de transformation sans précédent qui s’est

levée et arrive sur nous à grande vitesse (Big Data, Internet des objets,
Intelligence artificielle, etc.) bousculant les règles économiques et sociales
établies, j’ai jugé utile d’établir une cartographie accessible de ce que
vivent les Français et de proposer un kit de survie numérique en milieu
hostile, le premier du genre, afin que chacun puisse se connecter en toute
connaissance de cause et en toute sécurité.
Votre Smartphone est un mouchard
Les Smartphones rapportent gros

En vingt ans seulement, le téléphone portable a envahi notre quotidien.

Son usage s’est généralisé à 5 milliards de personnes dans le monde, soit la
quasi-totalité de la population mondiale. Dans certaines régions de la
planète, il constitue le moyen de communication le plus fiable, et parfois
même l’unique outil de communication.
Le téléphone mobile a connu un tel engouement et développement de ses
services, qu’il est en passe de détrôner les ordinateurs traditionnels. En une
décennie, il a acquis leur puissance de calcul, favorisant au passage le
marché des applications mobiles, multiplié par dix en quelques années, pas
loin des prévisions d’un chiffre d’affaires de 100 milliards 1 de dollars dans
le monde. Il y a de quoi être fasciné. Surtout lorsque l’on apprend que cet
outil unique embarque au moins autant en technologies qu’une fusée
mettant en orbite des satellites, et que son coût de développement a été de
plus d’un milliard d’euros. D’ailleurs, on ne sait plus comment l’appeler :
téléphone intelligent, ordiphone, téléphone connecté ? On en oublierait
presque qu’il a été conçu à l’origine pour échanger des nouvelles de vive
voix avec nos semblables.
Ceux qui n’ont pas cru à son développement s’en sont mordu les doigts et
ont dû mettre les bouchées doubles pour rattraper leur retard. Les plus
avertis ne l’ont pas vu venir, comme Steve Ballmer, directeur général de
Microsoft, qui regrette au début des années 2000 de n’avoir redéployé des
talents à la construction de smartphone. Mais le plus fascinant concerne la
sécurité de ces engins de haute technologie, aussi sous-estimée que les
perspectives de ce marché l’avaient été à l’époque des premiers téléphones
mobiles.
Nous connaissons mal les risques liés aux ordinateurs, mais est-ce que
nous avons conscience des failles de nos Smartphones ? Faut-il s’inquiéter
de l’existence de chevaux de Troie glissés dans le code des applications à
télécharger, des techniques de clonage d’un téléphone ou des conséquences
d’un SMS frauduleux ? Existe-t-il des risques spécifiques que nous
ignorons, qui pourraient insuffler un doute fatal (et salvateur) à la confiance
accordée à la pratique de ces couteaux suisses numériques ? Car le danger
est bien réel. En autorisant les Smartphones à exposer sur Internet et
conserver au fil de leur utilisation des informations personnelles sur nos
vies et nos habitudes, nous offrons prise à tous les observateurs illégitimes,
malveillants ou juste intolérants. Pour faire face à cela, les professionnels de
la sécurité des systèmes informatiques s’intéressent à « protéger la donnée
», protection qui devient la question centrale de cette problématique
sécuritaire.
Même s’il n’est pas question d’arrêter d’utiliser nos Smartphones tant ils
ont su se rendre indispensables, il nous faut reprendre en main le contrôle
du partage de données, et moins nous exposer par ignorance des risques.
Prendre conscience, par exemple, que le simple prêt de son appareil à un
tiers, même à une personne de confiance (ou à un enfant jouant avec le
Smartphone d’un adulte), sans de solides mesures de sécurité, augmente par
erreur ou malveillance les risques de vol de données personnelles qui
peuvent se traduire par des atteintes à la vie privée ou des pertes
financières.
Nous parlons librement au téléphone, mais je suis toujours surpris de la
liberté de ton que nous employons, la sensation forte et rassurante de
confidentialité éprouvée par tout un chacun. Peu de gens s’imaginent être
sur écoute. Ils seraient dans un avion, un train, dans les transports en
commun ou dans un marché à faire leurs courses qu’ils seraient plus
prudents sur leurs sujets de conversation.
Combien de criminels se sont retrouvés sous les verrous à cause d’un
téléphone ? Soit pris dans les filets de la géolocalisation le jour où ils
réalisaient ou préparaient leur forfait, soit tenus en laisse par des écoutes
téléphoniques, l’un des outils technologiques les plus puissants aux mains
des enquêteurs des services de police.
Alors si nous ne sommes pas tous des criminels, sommes-nous pour
autant des cibles, même si nous n’avons rien à cacher ? C’est là que le sujet
se complique, et les solutions d’espionnage de Smartphones en vente libre
sur Internet ne simplifient guère les choses. Inscrire « espionner un portable
» dans un moteur de recherche vous dirige tout droit sur des solutions clés
en main. Et moyennant un coût de 100 euros environ, sans aucune
compétence technologique, ces actions totalement illégales peuvent être
menées par n’importe qui.
Bien que les conflits conjugaux nés des résultats d’une fouille sauvage du
contenu du Smartphone de l’un des deux conjoints par l’autre soient
nombreux, rappelons que le Code pénal (article 226-1) punit d’un an
d’emprisonnement et de 45 000 euros d’amende le fait de porter atteinte à
l’intimité de la vie privée d’autrui.
Les logiciels d’espionnage sont puissants, peu visibles, et permettent
d’accéder (comme le font la plupart des applications) aux activités de
l’appareil photo, des appels téléphoniques, des applications de messagerie
et des réseaux sociaux. État de santé, état financier, état psychologique,
relation avec la famille et les tiers, relation administrative, petits accidents
de la vie, jardins secrets, toutes nos données personnelles sensibles sont
concernées. Plus grave, certaines applications proposent une fonctionnalité
« d’enregistreur des touches saisies », les fameux keylogger, ce qui permet
d’accéder à nos mots de passe et à nos données bancaires lors de nos achats
en ligne.
Mais ce n’est pas tout. Imaginez-vous dans un aéroport, un café ou une
zone commerciale, là où se trouvent des bornes en libre-service, avec
l’impératif de recharger au plus vite la batterie de votre appareil sans savoir
que ces bornes peuvent héberger des logiciels malveillants (malwares 2)
transférables en cas de connexion. Il est en effet possible d’infecter un
téléphone mobile avec un tel logiciel, rien qu’en le branchant à une borne
de rechargement factice, ce qui revient à un piratage total. Cela a été
démontré lors d’une conférence de hackers éthiques avec la
reprogrammation de la mémoire d’un Smartphone pour y installer en toute
discrétion une application permettant d’avoir accès à des fonctionnalités de
l’appareil. De plus, sachez que le branchement de votre Smartphone sur un
ordinateur induit des échanges d’informations lors de la connexion : le nom
du Smartphone, le fabricant, le numéro de série, des indications concernant
le système d’exploitation, voire l’identifiant de la puce électronique.
Informations qui peuvent être récupérées à des fins de piratage ultérieur.
Quoi qu’il en soit, une fois votre machine pleine d’énergie, vous décidez
alors d’utiliser le réseau sans-fil offert par votre café, hôtel, ou aéroport,
pour accéder à Internet. Bien que très pratiques, la sécurité de ces réseaux
ne peut pas être garantie. En vous connectant, vous donnez accès à votre
téléphone, sans le savoir, à celui qui contrôle le système Wi-Fi offert. Il peut
s’agir de l’administrateur officiel du service, mais aussi d’un pirate
informatique qui aurait mis la main sur le système. Le plus souvent, il s’agit
même d’un système mis en place par un pirate informatique qui usurpe un
service Wi-Fi en ajoutant une lettre au nom d’un réseau légitime, pour faire
« comme si », et ainsi récupérer vos identifiants qu’il utilisera
ultérieurement pour son compte.

Avec un peu de chance, vous passerez peut-être entre les gouttes de ces
cyber-pièges.
En revanche, vous aurez du mal à échapper aux SMS et autres appels
téléphoniques surtaxés. Ce type d’arnaque a en effet atteint des niveaux de
développement industriel, les escrocs multipliant les astuces et les victimes
pour que les 3 euros de l’appel et les 3 euros à la minute se transforment en
millions.
Difficile de ne pas s’inquiéter en recevant un message d’alerte du type : «
Votre abonnement de 58 euros a bien été pris en compte », suivi des
(fausses) coordonnées du service client à contacter sur un numéro surtaxé,
dont le message enregistré tourne en boucle indéfiniment.
Plus de 50 000 personnes auraient été arnaquées par un escroc des
numéros surtaxés par le biais de trois millions de messages envoyés au
rythme effréné de dix mille SMS par jour, depuis des dizaines de cartes
SIM différentes. L’escroquerie aurait rapporté environ 600 000 euros,
déposés sur des comptes à l’étranger.

***

Les pièges les plus fréquents :

Le SMS invité
Vous recevez un SMS au ton familier : « Salut, c’est moi, rappelle-moi, je
suis aux 08 99… » En fait c’est un SMS qui fait la manche discrètement et
qu’il faudrait lire ainsi : « Salut, c’est moi, tu me laisses quelques euros en
me rappelant ? » car le numéro surtaxé compte sur vos automatismes,
comme celui de rappeler les appels en absence, pour enclencher son
compteur.

Le coup de téléphone bidon (spam vocal ou ping call)

Un numéro vous contacte mais s’interrompt au bout de deux sonneries.
Ah, zut, vous n’avez pas eu le temps de décrocher, quel dommage ! Alors
peut-être souhaitez-vous rappeler le numéro inscrit dans la liste de vos
appels en absence, généralement un numéro surtaxé du type 08 99… ? Si
vous voulez perdre de l’argent, n’hésitez pas.

Du pistage au harcèlement domestique

Comme chacun sait, l’enfer est pavé de bonnes intentions. Vous équipez
les mobiles de la famille d’une application de géolocalisation, pour
surveiller entre autres les déplacements de vos enfants, sécurité oblige,
jusqu’au moment où vous vous mettez à surveiller les déplacements de
votre conjoint, sombrant dans le harcèlement et la violence domestique.
Une étude auprès de femmes victimes de violences conjugales se rendant
auprès d’associations spécialisées pour rechercher de l’aide montre que,
dans 85 % des cas, ces violences s’accompagnent d’une ou plusieurs cyber-
violences (cyber-contrôle, cyber-harcèlement, cyber-surveillance, cyber-
violence économique, cyber-violence sexuelle).

La tentation du super contrôle

Un logiciel malveillant (nommé Blackshades pour « Ombres noires »)
infecte un nombre important d’ordinateurs non protégés par un logiciel de
sécurité. Il se propage à travers des fichiers distribués sur les messageries
instantanées et les réseaux de téléchargement. Sans vous en rendre compte,
vous embarquez à bord de votre appareil un logiciel malveillant du type
remote access tool (contrôle d’accès à distance), offrant à ceux qui tirent les
ficelles un accès complet à tous les fichiers et à toutes les fonctions de votre
machine, caméra comprise.

Le logiciel espion à thématique familiale

On ne peut qu’être abasourdi par un éditeur de logiciel qui propose aux
parents de surveiller les tendances sexuelles de leurs enfants adolescents,
avec des questions discriminatoires telles que « Vous ne l’avez jamais vu
avec une fille alors qu’il est beau garçon » ou « Le football et autres sports
similaires ne l’intéressent pas », et ce jusqu’à ce qu’une mère alerte une
association de défense des droits de l’homme pour atteinte à la vie privée.
Dans le cas d’un logiciel espion, il faut s’interroger aussi sur la fiabilité
de l’éditeur, surtout lorsqu’il propose d’installer un utilitaire chargé de vous
donner accès à toutes les frappes du clavier des « Oui-Oui » ciblés. Ensuite
il vous les met à disposition. Mais qui vous dit que l’éditeur du keylogger
ne télécharge pas lui aussi vos données, votre numéro de carte de crédit par
exemple, pour les utiliser discrètement ?

Naïveté surtaxée
Enfin, vous avez gagné des places pour le concert de votre idole, un
Smartphone de compétition ou des tickets pour un parc d’attractions. Vous
avez joué et tout de suite remporté le gros lot. Et même si vous n’avez pas
joué ou cliqué sur un lien trouvé sur une page Facebook, Instagram ou
Snapchat, vous avez quand même gagné, précise un message, mais il vous
faut appeler un numéro surtaxé pour recevoir le code à retourner en direct
pour réceptionner votre lot.
L’ennui avec ce satané code est qu’il faut sans cesse recommencer
l’opération et le retaper à nouveau. Il s’agit en fait d’une solution de
micropaiement permettant à l’escroc de récupérer l’argent du numéro
surtaxé. C’est bizarre, toutes ces tracasseries pour bénéficier de votre
magnifique lot, mais vous êtes si content, peut-être l’enthousiasme de
l’adolescence, que vous insistez sans regarder le compteur des trois euros la
minute, puisque l’on vous dit que vous avez gagné, soyez patient, nom d’un
chien !

Harcèlement téléphonique
Le téléphone sonne à domicile et sonne à nouveau, et résonne jusqu’à ce
que la vente soit faite. Avez-vous déjà essayé de mener une conversation
normale avec un téléprospecteur, de dépasser ses questions inquisitrices et
ses alternatives simplistes ? Vous aviez pourtant fait les démarches pour ne
plus être dérangé. Que choisissez-vous ? De raccrocher sans plus de
cérémonie.
Arnaque aux coupons
Pour payer votre taxe d’assurance du courrier, on vous demande par
courriel de vous rendre chez le buraliste et de demander un coupon de
recharge TONEO FIRST de 250 euros. Tout est noté précisément, c’est
incroyable. « Puis me faire parvenir le numéro par courriel, si possible me
faire un scan sans oublier votre RIB afin que je fasse un virement en ligne
dès réception avec le remboursement des 635 euros. » Vous y allez
rapidement ?

L’hameçonnage SMS
Vous avez reçu un courriel officiel d’un de vos interlocuteurs habituels
(mairie, opérateur Télécom, banque) avec un lien vous réclamant
d’actualiser vos données personnelles (adresse, mot de passe). Vous n’avez
pas eu le réflexe de taper le lien dans la fenêtre de votre navigateur. Vous
vous êtes connectés, via le lien reçu dans le courriel, sur le site du cyber
escroc qui collecte vos données personnelles pour en faire un usage
malveillant.

Les joueurs de cartes (L’arnaque à la permutation de la carte SIM

ou le SIM Swaping)
Muni de vos coordonnées bancaires obtenues au moyen d’une
cyberattaque par hameçonnage (phishing), le cyber escroc effectue des
achats et les retire dans un relais colis. Il usurpe l’identité de la victime
auprès de l’opérateur téléphonique et arrive à le convaincre de lui fournir
une nouvelle carte SIM. Il dispose alors de vingt-quatre heures pour
contourner le système de contrôle 3D Secure en confirmant les transactions
en ligne via SMS, qu’il recevra sur son téléphone. Ainsi va la tranquille
existence du commerce électronique.

Quand le commerçant se fait voler sa vitrine

Un arnaqueur détournait la ligne téléphonique de la Maison du Bitcoin à
Paris ainsi que son site Internet. Croyant être sur un site de confiance, les
investisseurs achetaient de la monnaie virtuelle et payaient en monnaie
sonnante et trébuchante en euros, mais sur un compte en Hongrie. Le RIB
hébergeait les vraies coordonnées bancaires de l’organisateur de
l’escroquerie en Hongrie.

***
Les solutions les plus simples

Optimiser la sécurité de votre Smartphone :

Pas de code trop simple, ni date de naissance ou de 123 ou 000.
Veillez à changer votre code PIN (Personal Identity Number), le numéro
d’identification personnel donnant accès au fonctionnement de votre carte
SIM, qui se trouve généralement dans la rubrique « sécurité » des «
réglages » ou des « paramètres » de votre mobile.
Notez le numéro IMEI (International Mobile Equipment Identity), le
numéro d’identification de votre mobile, système d’identification commun
à tous les opérateurs, qui permet de le bloquer en cas de perte ou de vol. La
procédure pour obtenir votre IMEI est de taper sur votre clavier *#06# ou
de regarder sur la facture ou sur l’emballage de la machine.
Veillez à activer le verrouillage automatique du Smartphone dans un
délai court de non-emploi.
Ne prêtez pas votre Smartphone. Si vos enfants l’utilisent, veillez à
paramétrer l’interdiction d’installation d’un nouveau logiciel à votre insu.
Recharger son « Oui-Oui » préféré dans un lieu public, même sous ses
yeux, est une prise de risque. Un changement de téléphone, de batterie ou
une batterie mobile limitent ce risque.
N’enregistrez pas dans la mémoire de votre téléphone des informations
confidentielles (code de votre carte de crédit, numéro de compte bancaire,
etc.), ou bien uniquement si votre mémoire (la molle, celle de cerveau) vous
fait défaut car cela comporte un risque en cas de vulnérabilité du
mécanisme de stockage. Si vous avez l’âme d’un découvreur et que
l’innovation ne vous fait pas peur, utilisez un gestionnaire de données
sensibles, encore appelé gestionnaire de mots de passe.
Installez un antivirus dédié au mobile, surtout si votre OS n’est pas Apple
qui est moins exposé aux logiciels malveillants car les utilisateurs sont
moins nombreux. Les associations de défense du consommateur ayant
pignon sur rue proposent des tests comparatifs de ces logiciels dont certains
sont gratuits et de bonne qualité.
Utilisez autant que possible la biométrie de votre Smartphone avec un
code à quatre chiffres ou plus. Il s’agit du meilleur compromis entre confort
et sécurité. À moins que votre mémoire intellectuelle vous permette de
retenir un mot de passe différent pour chacune de vos applications. Assurez-
vous en cas d’activation des fonctions de reconnaissance biométrique d’en
conserver le contrôle, que ces données ne soient pas stockées sur un serveur
auquel vous ne pourriez plus avoir accès. Sur le sujet, le nouveau règlement
général sur la protection des données (RGPD) est très clair : l’utilisateur
doit bénéficier d’une alternative et l’usage des données biométriques doit
impérativement rester à sa discrétion, activable et désactivable.
Éviter de télécharger des applications sans vous assurer de leur fiabilité
ou, à défaut de compétences pour le faire, de la notoriété de l’éditeur, en
consultant les avis des utilisateurs ou, pour les plus intrépides, en lisant les
conditions générales d’utilisation du service.
Quand vous installez une nouvelle application sur votre appareil, vérifiez
à quelles données elle va avoir accès. Une application de type « voyage »
n’a pas besoin d’accéder à la fonction photo de votre appareil.
Veillez à appliquer les mises à jour de sécurité, si possible avec quelques
jours de retard pour s’assurer qu’elles sont bien sans impact.
Maîtrisez votre géolocalisation à chaque installation d’une nouvelle
application. Il arrive que des applications soient gracieusement proposées
pour servir d’outils de collecte de données sur votre mode de vie, sans que
vous en soyez avertis.
Pour avoir une idée de l’impact de l’activation permanente de l’outil de
géolocalisation sur votre Smartphone, rendez-vous sur Google Location 3.
Vous allez être bluffé de découvrir que la machine connaît mieux que vous
tous vos déplacements et vos lieux de prédilection. Profitez d’être sur cette
page pour supprimer l’historique. Pour désactiver l’option allez sur : «
partager ma localisation » dans les paramètres Google de votre téléphone.
Ne vous transformez pas en cible publicitaire : désactivez votre
identifiant publicitaire. Sur Android, ouvrez l’application « paramètres
Google » et activez la rubrique « désactiver les annonces par centre
d’intérêt » ainsi que « réinitialiser l’identifiant publicitaire ». Sur IOS, dans
l’application « réglages » ouvrez la rubrique « confidentialité », puis
l’option « publicité » afin d’activer le « suivi publicitaire limité » et de
réinitialiser votre identifiant de publicité. En fonction de votre position
géographique, votre Smartphone peut personnaliser les publicités qui vous
cibleront.
Bloquer l’accès des indésirables à votre numéro de téléphone :
Rappelons avant toute chose que la loi no 2014-344 du 17 mars 2014
relative à la consommation précise qu’il est interdit à tout professionnel,
directement ou par l’intermédiaire d’un tiers agissant pour son compte, de
démarcher téléphoniquement un consommateur inscrit sur cette liste, à
l’exception des cas énumérés par la loi (accord explicite, sondage,
association à but non lucratif, prospection en vue de fourniture de journaux
périodiques et magazines).
Par ailleurs, il existe un service créé par décret pour offrir aux
consommateurs et aux entreprises une solution pour ne plus se faire
démarcher au téléphone. Bloctel (www.bloctel.gouv.fr) est une liste
d’opposition au démarchage téléphonique accessible gratuitement à tout
consommateur qui ne souhaite plus être démarché téléphoniquement par
une personne indésirable.

Reconnaître pour mieux éviter les numéros surtaxés :

Les numéros surtaxés ont les formats suivants : dix chiffres commençant
par 081 ou 082 ou 089 ; six chiffres commençant par 118 ; quatre chiffres
commençant par 1 ou 3. Et les méthodes de sollicitations suivent toujours la
même logique, vous inciter à rappeler ou à envoyer un SMS, sous toutes
sortes de prétextes fumeux (gagner un voyage, récupérer un colis, etc.) que
les propriétaires de ces numéros puissent encaisser votre argent.

Activer le blocage des appels de vos appareils vers les numéros

surtaxés :
Un numéro surtaxé non conforme :
Dans les rares cas, mais ça arrive, où l’information tarifaire d’un numéro
surtaxé n’a pas été annoncée en début d’appel, vous pouvez consulter
l’annuaire des numéros surtaxés (www.infosva.org) avant de signaler
l’éditeur dudit numéro qui ne respecte pas les règles à la Direction
départementale de la protection des populations (DDPP) du département
d’implantation de l’éditeur.
Depuis le 1er mars 2018, en sollicitant son opérateur le consommateur
peut opter pour le blocage des numéros surtaxés, selon son forfait. La
conséquence est l’impossibilité d’appeler ces numéros ou d’envoyer des
SMS. Contactez votre opérateur.

Un numéro vert pour contacter les officiels :

Un numéro vert est à votre disposition pour vous informer sur les
escroqueries et signaler les adresses des faux sites Internet, les courriels
suspects, les tentatives d’hameçonnages, tout ce qui vous est arrivé en ligne.
N’hésitez pas, l’appel est gratuit.
Horaires d’ouverture et téléphone : du lundi au vendredi, de 9 heures à 18
h 30, au 0 805 805 817.
Vous pouvez également signaler les SMS frauduleux par SMS, au 33 700
du service STOP aux SPAMS (SMS indésirables). Pour cela, il suffit
d’envoyer un SMS au 33 700 qui vous demandera d’envoyer le message
incriminé, puis le numéro de l’expéditeur. C’est aussi simple que ça !
 Comment éviter l’usurpation d’identité ?

Le facteur frappe à votre porte. Mauvaise nouvelle. Vous recevez la

sixième relance d’un organisme de crédit pour un emprunt auquel vous
n’avez pas souscrit.
L’impact d’un piratage informatique ou du vol de vos pièces d’identité
est réel. Être pris dans la spirale d’une usurpation d’identité est un véritable
enfer. Pour faire valoir ses droits et s’extirper de cette situation, il faut
prouver son innocence. Ubuesque, non ? Comment démontrer que l’on
n’est pas l’auteur d’une action qui a été enregistrée avec son identité ?
La présomption de culpabilité, la solitude face à des organismes d’État
démunis et les conséquences pratiques, comme l’inscription au fichier des
incidents de la Banque de France, sont des épreuves psychologiques à
surmonter. Le préjudice ne se limite pas aux dommages matériels. Il y a des
conséquences importantes sur la vie familiale comme professionnelle.
D’après l’ObSoCo (l’observatoire Société et Consommation), le risque de
fraude bancaire et le risque d’usurpation de l’identité représentent à eux
deux 80 % des préoccupations des Français en matière de risque sur les
données personnelles.
L’usage croissant d’Internet fait de l’usurpation de l’identité numérique
une pratique de plus en plus courante. Les usurpateurs tentent de tirer un
bénéfice financier ou de nuire à votre image en s’appropriant de façon
indue des informations personnelles permettant de vous identifier.
Nom, prénom, date de naissance, adresse électronique, photographie,
factures EDF, numéro de carte de crédit, relevé d’identité bancaire (RIB),
pièces d’identité, bulletins de paie, avis d’imposition, extrait d’actes de
naissance… autant d’informations et de pièces sensibles à protéger en
minimisant leur exposition.
Le nombre de dossiers d’usurpation d’identité instruit par la Banque de
France est en augmentation de 20 % depuis plusieurs années pour atteindre
plusieurs milliers par an. Et ce chiffre ne reflète qu’une infime partie de
toutes les situations d’usurpation d’identité.
Les études commencent à peine à cerner ce dénominateur commun à
diverses fraudes, pour tromper les banques, escroquer une entreprise,
obtenir des aides sociales, un permis de conduire ou la nationalité française.
Le chiffre « caché » est important sans qu’il soit possible d’identifier
précisément la part imputable à Internet. Des études de victimologie
essayent de percer en vain le mystère. Contrairement au vol de votre
Smartphone, vous n’allez suspecter ou constater une usurpation d’identité
que plusieurs mois voire années après sa réalisation. Il y a vol, mais vous
n’êtes pas informé de ce délit qui vous incrimine indirectement. Lorsque
vous constatez l’usurpation, une fois sur deux, vous ne savez pas comment
cela s’est produit.
Parfois ces données liées à votre identité sont subtilisées chez l’un de vos
commerçants. Elles étaient maladroitement conservées dans de poussiéreux
dossiers dans un local d’archives ou pire, elles ont été directement copiées
dans les bases de données constituées à l’occasion de la création d’une carte
de fidélité ou de la souscription d’une assurance, dont les informations sont
assez rarement purgées de leurs data inutiles, et auquelles l’administrateur
informatique a accès sans le moindre contrôle. Car il ne s’agit pas
forcément d’un pirate du Net, la menace peut aussi être interne.
Pour l’Internet clandestin (darknet), ces informations ont de la valeur.
Bien que de nombreux services soient des arnaques (des escrocs qui volent
d’autres escrocs), les prix affichés vont de quelques euros pour un numéro
de sécurité sociale à quelques centaines d’euros pour un « pack » d’identité
plus complet. Le calcul financier peut sembler alléchant. Des pirates
imaginent se saisir et revendre facilement une base de données de plusieurs
millions de dossiers. Un clic droit et le transfert, illégal, de l’ensemble
d’une base fuite d’un ordinateur officiel à une clé USB officieuse, à l’insu
de l’entreprise, avant d’être revendu clandestinement sur Internet.
Heureusement, la plupart des administrateurs informatiques sont encore
honnêtes.
Rappelons que le vol de données est puni de 150 000 euros d’amende et
de cinq ans de prison (loi du 24 juillet 2015) et que le fait d’usurper
l’identité d’un tiers est un délit réprimé d’un an d’emprisonnement et 15
000 euros d’amende (article 226-4-1).
 On imagine sans peine l’escroc dans la peau d’un individu cupide, mais
on oublie un peu vite que, le plus souvent, ceux qui ne respectent pas la
législation et les exigences des lois relatives à l’informatique, aux fichiers et
aux libertés, sont les entreprises.
De nombreuses responsabilités leur incombent tout au long du cycle de
vie du traitement de la donnée personnelle collectée : consentement,
traçabilité, chiffrement, correction des failles de sécurité, contrats avec les
sous-traitants, purge, pour n’en citer que quelques-unes. Le travail est
conséquent. Il y a une soixantaine de mesures à mettre en place pour être
conforme. Il est rarement demandé de viser la perfection et de réaliser
l’impossible, mais quand l’entreprise doit gérer un parc vieillissant et
interconnecté, la tâche devient vite très complexe.
Aujourd’hui, les entreprises commencent à se préoccuper un peu plus
sérieusement du sujet. Le principal frein reste le coût des mesures à mettre
en action, une fois la prise de conscience effectuée. Les dirigeants doivent
intégrer ces coûts dès la conception de leur entreprise, la profession parle de
« By Design », pour mieux évaluer le gain des nouveaux projets de
numérisation tels que l’informatique en nuage (Cloud) ou liés à
l’intelligence artificielle.
Au même titre que la prise en compte de l’environnement est devenue
une variable à part entière dans la conception des produits par les industriels
– évaluation de leur empreinte environnementale, du cycle de recyclage…
–, l’éthique numérique, c’est-à-dire le respect des données, prend une place
de plus en plus importante dans le développement des moyens de
sécurisation informatique. Nos données personnelles nous appartiennent. Le
nouveau Règlement général à la protection des données (RGPD) prévoit
une pénalité de 4 % du chiffre d’affaires aux entreprises qui ne veilleraient
pas à protéger suffisamment leurs données.
Cette loi européenne est très importante pour nous tous. Elle nous
ménage une place dans l’espace numérique. C’est un banc public protégé
dans le jardin d’Internet qui ressemble à une forêt vierge. Davantage de
liberté nous est offerte à travers le droit à l’information, le droit à l’oubli
numérique, le droit d’accès et de rectification, et le droit à ce que vos
données soient protégées, pour n’en citer que quelques-uns.
Le droit à la portabilité instauré par le RGPD est nouveau mais très
prometteur pour obtenir le meilleur des opérateurs de service présent sur
Internet. Il sera utile pour changer plus facilement d’opérateur téléphonique,
de mutuelle, de site de streaming, de fournisseur d’accès à Internet ou
Telecom tout en conservant ses « playlists » de préférence.
Parmi les différents types d’usurpation d’identité, il y a aussi l’usurpation
de l’identité des organismes privés ou publics, dans la plupart des cas à
travers un « faux site » (on préférera dire un site illégitime) ou un message
illégitime distribué par messagerie ou SMS, l’usurpateur cherchant à
récupérer des informations personnelles relatives à votre identité
numérique. Citons enfin l’usurpation de votre compte de messagerie ou de
votre compte de réseau social (Facebook, Twitter, etc.) afin de diffuser à
vos contacts (mais pas que) des arnaques ou autres codes malveillants de
type rançongiciel.
Protéger son identité numérique est donc essentiel car ce sont des
données très recherchées. Elles sont indispensables, comme la cagoule du
cambrioleur : elles permettent de se fondre dans la forêt numérique. La
protection de l’identité numérique peut paraître comme le maillon faible de
l’incroyable aventure numérique. Il faut reconnaître que la très grande
majorité des transactions, échanges et utilisations des « Oui-Oui » du
numérique, se fait sans le moindre contrôle réel de notre identité. Il faut
rester vigilant et davantage comprendre ce phénomène. L’une des solutions
les plus prometteuses pour réduire le risque de l’usurpation de l’identité
d’organisme public consiste à rationaliser le nombre d’interlocuteurs des
citoyens à l’égard de l’administration. Pour citer un exemple : avoir six
organismes et six interlocuteurs différents pour une création d’entreprise est
un non-sens du point de vue du service public rendu, de l’entreprenariat et
de l’emploi.
Et demain ? On se demande quels seront les moyens pour justifier son
identité dans le futur. Est-ce que les documents que nous connaissons (carte
nationale d’identité, passeport, carte Vitale, permis de conduire, etc.) seront
toujours utilisés comme preuve de notre identité ? Ou leur forme changera-
t-elle, peut-être en utilisant un seul support ? Est-ce que l’ajout d’éléments a
priori plus stables, comme une ou plusieurs caractéristiques biométriques,
sera une règle généralisée ? Ou faudra-t-il sécuriser l’ensemble de nos
traces sur un « serpent numérique » grâce à la blockchain (ou chaîne de
blocs), regroupant les pages du livre de notre vie numérique ? Pourrons-
nous décider en un clic de basculer notre livre d’un opérateur à un autre
(portabilité) ? Existera-t-il d’énormes bases de données centralisées avec
tous les risques que cela comporte en cas de fuite ?
 Des pays ont mis en place des solutions visant à simplifier la gestion des
identités sur Internet. La France lance des initiatives qu’il convient de
soutenir car l’identité numérique ne doit pas être sous le contrôle des
GAFAMI mais plutôt des États et de leurs représentants démocratiquement
élus. L’identité numérique appartient aux e-citoyens d’une e-démocratie et
non aux e-commerçants de la mondialisation. D’une certaine façon,
simplifier l’authentification pour accéder aux sites des organismes publics
montre la voie, construit auprès des utilisateurs une confiance à long terme,
qui donnera à nos outils numériques leur juste place dans notre quotidien,
pourvu que les données de notre identité ne soient pas perdues.

***

Les pièges les plus fréquents

Identité usurpée
Perdre son passeport peut devenir un problème si celui qui le ramasse
s’en sert pour des actes de cybercriminalité. Un beau matin, dans le cadre
d’une vague d’arrestation internationale, la police vous passe les menottes
car votre nom est cité dans une escroquerie à la carte de crédit. Avant cela,
vous aviez été obligé de démontrer votre bonne foi devant la justice pour
une affaire de prêts contractés sous votre identité, et jamais remboursés par
le cyber faussaire.

Quand les autres écrivent votre histoire

Parfois une vie ne suffit pas à rencontrer son faux jumeau. Sur Internet,
cela peut être plus rapide, comme a pu le constater en France une
professeure de lettres alertée par un lien pointant sur une vidéo
pornographique avec la mention de son identité à la place de celle de
l’actrice à la ressemblance frappante néanmoins trompeuse. La
désindexation dans les moteurs de recherche de la vidéo incriminée et sa
suppression sur les sites furent laborieuses pour l’enseignante sommée de
s’expliquer devant sa hiérarchie.

Bien, M. le Président-Directeur général

 La manipulation psychologique est le point d’appui de cette fraude à
caractère informatique dans un second temps. Dans une entreprise, un
collaborateur reçoit un courriel de son président lui réclamant urgemment
des informations confidentielles, identifiant, mot de passe de serveur, ou lui
demandant d’effectuer des actions comme un virement bancaire.
L’usurpation d’identité par le pirate est assez parfaite pour exploiter la
naïveté de ses supposés subordonnés et obtenir leur obéissance.
Cette technique ancienne a pris un essor important avec la prolifération
des réseaux sociaux, qui sont pour les pirates autant d’occasions de
s’informer sur les profils de leurs cibles : habitudes, goûts, parcours
professionnel, etc.

Le super restaurant n’avait pas de cuisine

Afin de dénoncer les effets pervers du référencement dans les moteurs de
recherche, un rédacteur spécialisé a fait passer sur le site TripAdvisor, en
sept mois d’avis dithyrambiques, un faux restaurant à Londres à la toute
première place des recommandations. Le pot aux roses a été découvert par
les clients cherchant désespérément à réserver une table.

Soldat, sortez du rang

En bon coach numérique, l’application Strava géolocalise ses membres
adeptes de course à pied et à vélo, les amateurs comme les espions. Le
problème avec les seconds est le moment où le suivi des exploits sportifs
autour des bases, secrètes ou non, ou lors de mission, confidentielles ou pas,
restent accessibles à tous. Les problèmes s’aggravent lorsque, après
investigation du Canard enchaîné, à l’origine de cette révélation, le vrai
nom d’un agent de la Direction générale de la sécurité extérieure (DGSE)
est trouvé, simplement en recoupant ses parcours sous pseudonyme et sa
participation à une course sous sa vraie identité. Le risque cyber est
vraiment dans les détails.

***
Les solutions les plus simples

Pour réduire le risque d’usurpation de votre d’identité, les

principales actions à mener sont :
1. De protéger ses « Oui-Oui » numériques et de rester vigilant en
prenant le temps de comprendre et d’appliquer les recommandations de ce
kit de survie pour minimiser le risque de vol d’informations personnelles.
De modifier vos principaux mots de passe si vous avez un doute sur le vol
de vos identifiants de connexion ;
2. En cas de suspicion d’usurpation d’identité et dans les deux mois après
le vol de vos papiers d’identité, contactez la Banque de France pour savoir
si vous êtes fiché « Banque de France » et « interdit bancaire ». Cela a des
conséquences de limitations d’usage des services bancaires comme
l’émission de chèques ;
3. De protéger les informations et les pièces d’identité :
a. En toutes circonstances, que ce soit à la plage ou à la terrasse d’un
café, dans le métro ou sur votre lieu de travail, n’emportez que les
documents et cartes dont vous avez besoin ce jour-là.
b. De ne pas diffuser les données personnelles (Carte nationale d’identité,
etc.) à des contacts qui ne sont pas de confiance (comme un employeur qui
vous contacte soudainement pour un poste à l’étranger et sollicite un dossier
complet) et de n’envoyer que des photocopies CNI « barrées » au stylo de
la mention : « Transmis à telle date pour tel usage. »
c. Faites pression sur les commerçants et organismes publics (les «
responsables de traitement » au sens du RGPD) pour qu’ils sécurisent les
données personnelles que vous leur confiez.
d. Déchirez les documents personnels dont vous n’avez plus besoin avant
de les jeter à la corbeille et de les recycler ;
4. En cas de constatation d’usurpation d’identité :
a. Ne pas payer les traites pour se désengager du harcèlement d’un
organisme payeur (même s’il ne s’agit que d’un euro) car cela laisserait une
trace et pourrait jouer contre vous.
b. Déposer plainte auprès d’un service de police.
 c. Le versement de dommages et intérêts est rare car les auteurs sont peu
souvent retrouvés. Pour le versement d’indemnités, il faut avoir souscrit une
assurance « usurpation d’identité ».
Les pièges des achats en ligne
En ligne tout est possible

Banques aux guichets délocalisés sur Internet, sites de commerce

électronique, automates de paiement… nos habitudes de règlement et de
gestion de nos finances ont définitivement changé de nature avec la
multiplication des écrans interactifs au sein de nos foyers. En quelques
années, nous sommes passés du statut d’acheteur faisant la queue dans une
boutique à celui d’acheteur installé dans son salon faisant ses courses le
plus naturellement du monde, totalement débarrassé de la contrainte
physique. Parfois, il s’agit de dénicher un produit que l’on ne trouve pas en
local (en culpabilisant un peu) et souvent il s’agit de déceler un produit
moins cher, en comparant tous les sites marchands qui s’offrent à nous.
Les chiffres de la Fédération d’e-commerce et de la vente à distance
(Fevad) ont dénombré plus de 37 millions de Français consommateurs en
ligne, soit plus de la moitié de la population française, ce qui revient à
évoquer tout un pays, sachant que nous ne sommes pas tous en âge
d’acheter sur Internet. La méfiance, qui était le principal frein à la mise en
place de nouveaux modes de consommation numériques, n’est plus un
sujet. Le confort des services offerts, leur simplicité ont pris le dessus sur la
crainte de l’escroquerie. L’internaute a pris en main les fonctionnalités de sa
vie numérique et consulte régulièrement les services en ligne de sa banque,
déclare et paye ses impôts sur la plateforme sécurisée prévue à cet effet,
règle de plus en plus ses petits achats (moins de 30 euros) en utilisant le
mode sans contact de sa carte de crédit. Les plus connectés finissent même
par souscrire aux services premium des grands sites d’e-commerce,
supprimant ainsi les frais de livraison. D’autres, moins nombreux mais en
constante progression, s’intéressent à de nouveaux moyens de paiement,
notamment le portefeuille électronique qui assure une transaction sur
Internet sans saisir de données sensibles comme le numéro de carte de
crédit (l’utilisateur ne saisit que son identifiant, un numéro de mobile ou un
courriel).
Aujourd’hui, aux yeux des consommateurs, des plus aguerris aux moins
familiers des environnements numériques, la preuve est faite que les
moyens de paiement sont des outils assez fiables permettant de réaliser
rapidement nos achats. Un constat corroboré par une baisse généralisée des
fraudes à la carte de crédit et sur les paiements en ligne, constatée
dernièrement par la Banque de France. La fraude sur les paiements en ligne
est de 1,6 pour 1 000 transactions.
Pour se donner une idée de la fréquence, si l’on imagine que vous
effectuez deux opérations d’achat en ligne par mois (ce qui est la moyenne
nationale), que vous êtes une famille avec deux grands enfants qui
effectuent eux aussi des achats, on peut estimer que votre famille sera
touchée une fois tous les dix ans !
De plus, le contexte réglementaire européen, avec l’entrée en vigueur de
la nouvelle directive européenne sur les services de paiement (DSP2), a
contribué à renforcer la confiance avec l’obligation d’authentification forte
(deux facteurs au moins entre un code ou mot de passe, un appareil que l’on
possède et une donnée fiable telle que l’empreinte biométrique) pour les
paiements en ligne de plus de 30 euros. Ainsi, la lutte contre les fraudes
dans l’e-commerce n’en finit pas de trouver des parades technologiques.
Pour le paiement facile entre amis à partir de nos « Oui-Oui » préférés
(nos Smartphones), des applications comme Lydia (un million d’utilisateurs
en France), Pumpkin, mais aussi Paypal ont vu le jour. En réponse, les
banques françaises lancent, dix ans après certains pays du nord de l’Europe,
le paiement « instantané » pour les transactions entre particuliers ou pour
régler un professionnel tel un artisan à domicile. Utilisable également en
magasin ou sur Internet, il suffit du numéro de téléphone de celui à qui vous
destinez votre argent pour réaliser la transaction. Les cyber escrocs sont,
sans aucun doute, déjà sur le qui-vive pour identifier et exploiter les
faiblesses de ce nouveau dispositif. Aucune information sur les garanties de
sécurité n’est communiquée. Gageons que les risques pour le
consommateur ne seront pas plus importants que pour les systèmes actuels
(carte bancaire). La responsabilité par défaut en cas de fraude non
imputable à l’usager doit rester celle de celui qui opère le moyen de
paiement, à savoir : l’opérateur bancaire.
Depuis une dizaine d’années, les standards de sécurité se sont renforcés.
Les sites d’e-commerce ont pris conscience de la nécessité d’activer des
mesures fiables. Mais la sécurisation d’un site commerçant est une
opération complexe. Il y a toujours des risques résiduels. Au sein d’une
enseigne internationale du secteur de la grande distribution, des dizaines de
mesures de sécurité ont été identifiées pour sécuriser les sites marchands. Et
l’une des mesures les plus difficiles à mettre en place a été la correction des
vulnérabilités technologiques. C’est-à-dire de s’assurer que les poignées
cachées qui permettent d’ouvrir la porte du site restent cachées.
L’opération est difficile, longue et forcément coûteuse en ressources
expertes. Vous corrigez une vulnérabilité, aussitôt une nouvelle faille
apparaît, car les systèmes sont dépendants les uns des autres. En procédant
à tâtons, vous vous efforcez de corriger un écosystème d’interdépendances,
jusqu’à ce que vous trouviez le bon équilibre. Pendant ce temps, les hackers
consultent les bases de données des vulnérabilités publiques qui recensent
les failles connues afin de préparer leurs nouveaux scénarios de
cyberattaque. Ces bases de vulnérabilités ont vocation à recenser les
milliers de failles recensées dans un élan collaboratif qu’il faut souligner.
Elles ont été créées pour aider les entreprises à renforcer leur protection
mais sont aussi exploitées par des personnes malveillantes qui y puisent des
scénarios de cyberattaque. Le pirate aura toujours un coup d’avance sur
l’entreprise qui tarde à corriger les failles détectées par toute la
communauté.
Les entreprises savent qu’un défaut de sécurité a un impact direct sur la
confiance des clients et sur leur habitude d’achat, et s’efforcent donc d’être
à la hauteur des fraudes. Du dispositif d’authentification 3D-Secure, qui
renforce via SMS l’authentification du détenteur de la carte de crédit
utilisée pour un paiement, aux analyses automatisées de vos achats
(localisation, montant, etc.) pour détecter un comportement inhabituel et
vous alerter par téléphone du potentiel vol de votre carte de crédit, les
cybercriminels ont compris que les chances de pénétrer frontalement le
système se sont réduites. Ils ont changé leur fusil d’épaule et ne visent plus
si fréquemment l’infrastructure informatique des systèmes mais de
préférence l’utilisateur.
Ce dernier, devenu lui-même le maillon faible, ne doit pas oublier que les
promesses n’engagent que ceux qui les croient.
Autre menace peu visible mais pesant directement sur le pouvoir d’achat
du consommateur : deux constructeurs leaders de Smartphones, Apple et
Samsung, ont été condamnés en Italie à plusieurs millions d’euros
d’amende pour des pratiques commerciales malhonnêtes dans le cadre de
l’enquête pour « obsolescence programmée ». Des mises à jour ont
provoqué des dysfonctionnements, accélérant le besoin de remplacement
des Smartphones.
 En matière de numérique, comme pour le reste, la vigilance reste de
mise.

***

Les pièges les plus fréquents

Le coup du remboursement
Un courriel aux allures de la très institutionnelle maison des impôts vous
informe d’un trop-perçu par la Direction générale des finances publiques : «
Après les derniers calculs de vos impôts sur le revenu, nous avons
déterminé que vous êtes admissible à recevoir un remboursement. » Mais
en voilà une bonne (et rare) nouvelle ! Et le message de poursuivre : «
Veuillez soumettre votre demande de remboursement » en présentant un
lien pour accéder au formulaire dudit remboursement à remplir. Une
classique tentative d’hameçonnage de vos données personnelles.

L’erreur est humaine, pas l’orthographe

Est-ce que votre opérateur bancaire est obligé de vous rembourser en cas
de fraude au moyen de paiement de type hameçonnage ? Rien n’est moins
sûr ! Un cybercriminel avait parfaitement imité le logo de la banque de sa
victime bien que de nombreuses fautes d’orthographe aient ponctué son
courriel-hameçon. La victime n’ayant pas fait attention, la justice
interpellée a estimé par la voie de la cour de cassation qu’elle avait été
négligente en fournissant les informations bancaires réclamées. Elle n’avait
donc pas à être remboursée des 7 000 euros dérobés.

Un cadeau démoniaque
Un SMS, le même envoyé à des milliers de personnes, promettait des
vols gratuits offerts pour l’anniversaire d’une compagnie aérienne. Un lien
redirigeait la victime vers un site parfait, l’homologue du site officiel mais
contrôlé par les pirates, afin de collecter les coordonnées bancaires du
malheureux élu souhaitant valider l’opération. L’adresse du site était aussi
parfaite que le site pirate lui-même, à une lettre près, « ḁ » au lieu d’un
simple « a », une lettre presque indétectable utilisée par les linguistes dans
le cadre du système de transcription phonétique.

Un terminal off-line
Un conducteur de taxi, des clients confiants, un terminal de paiement
(TPE) qui ne communique aucune transaction au réseau Interbancaire, le
processus d’acceptation de la transaction est géré localement par la carte et
le terminal, la base centrale du GIE carte bancaire n’est pas interrogée. Les
TPE modifiés étaient installés dans un réseau de commerces complices,
pour dérober les données des cartes des clients et fabriquer ensuite de
fausses cartes.

Un script inquiétant
Après une cyberattaque de type « brute force » (test à la chaîne d’une
multitude de mots de passe), les pirates ont installé via les panneaux de
contrôle des sites e-commerce un script malveillant appelé
MagentoCore.net, directement dans le code source HTML. Ce programme
consiste à enregistrer secrètement les formulaires renseignés par
l’utilisateur (numéro de carte, date d’expiration, code de sécurité et
informations personnelles) et de les transmettre à un serveur contrôlé par les
pirates enregistrés à Moscou. Plus de 1 500 boutiques en ligne auraient été
infectées en six mois.

Un petit crédit ?
Qui n’a pas un jour eu besoin de liquidité ? C’est en stimulant le goût de
la bonne occasion de tout un chacun que les pirates piègent leurs victimes.
Ceux-ci, à la recherche d’une offre avantageuse de prêt sur Internet,
trouvent le site qui n’attendait qu’eux, la meilleure proposition en ligne
avec des conditions très avantageuses : sommes importantes, taux d’intérêt
faibles, durées de remboursement longues, pas la moindre garantie et une
disponibilité rapide de vos fonds, dans des délais de vingt-quatre à
quarante-huit heures. Incroyable ! Si vous n’omettez pas, après avoir rempli
votre dossier en fournissant toutes vos données bancaires personnelles, de
régler de menus frais (de dossier, d’assurance, d’administration, de
décaissement, etc.) en utilisant un service de transfert international. Le plus
terrible dans cette escroquerie est que, en plus de perdre les frais versés,
vous risquez par la suite de devoir assumer un prêt effectué par le
cybercriminel en votre nom, prêt dont vous ne verrez pas le moindre sou.

Les banquiers vous aiment autant que les algorithmes

60 millions de consommateurs a révélé que les frais bancaires généraient
chaque année 6,5 milliards d’euros aux banques. Un client en difficulté sur
cinq se voit actuellement prélever chaque année par sa banque plus de 500
euros de frais pour incidents de paiement. Selon l’association de
consommateurs, ils sont huit millions, en France, à voir leur compte
régulièrement dans le rouge. Il suffit d’un rien pour mordre un peu sur le
découvert autorisé et se faire immédiatement asphyxier par la banque. Les
banques se sont engagées à plafonner les frais avec une offre « clients
fragiles » mais, même si la loi les oblige à proposer cette offre, une enquête
démontre que certains réseaux ne la conseillent quasiment jamais aux
clients en difficulté, ni ne la mettent en avant sur leur site Internet ! Et les
banquiers continuent à faire preuve d’une belle imagination pour augmenter
cette manne. Un an plus tard, l’association de défense des consommateurs
dénonce un nouveau mode de calcul des banques qui engendrerait des frais
doublés pour les journées avec incident bancaire estimé illégal.

Les diamants sont éternels

Un site qui brille de mille promesses est toujours à prendre avec
précaution, surtout lorsqu’il s’agit de votre argent. L’investissement dans le
diamant présenté comme un placement alternatif au traditionnel immobilier
est un classique de la cyber-arnaque qui a abusé malheureusement beaucoup
d’épargnants à la recherche de diversification. Il y a eu les diamants mais
d’autres appâts ont été utilisés, comme le vin, les énergies renouvelables,
les terres rares, qui n’ont pas laissé insensibles les escrocs pour bâtir leurs
argumentaires d’investissement atypique mais sûr : à haut rendement, de
vraies valeurs refuges. En guise d’abri, les victimes n’ont vraiment pas été à
la fête.
Le miracle de la cryptomonnaie
Tout le monde en a parlé ou en parlera, le bitcoin est devenu l’eldorado
des placements d’aventure à très, très haut rendement. Tandis que la valeur
de la cryptomonnaie atteignait des sommets, passant de 1 000 euros pour un
bitcoin, jusqu’à 4 000, trop contents de bénéficier de cette publicité, les
cyber-criminels ont mis en ligne des sites dédiés aux placements de vos
économies, sur le bitcoin évidemment. Les victimes ont été nombreuses à y
croire et à en parler autour d’elles, jusqu’à ce que la supercherie soit
découverte. L’astuce était d’inciter l’épargnant à miser plus d’argent en lui
fournissant des informations sur les gains de sa première mise, en rapport
avec la réelle spéculation à la hausse de la valeur de la cryptomonnaie. Des
héritages entiers ont été engloutis par cette machinerie infernale.
Ceci étant dit, n’oublions pas non plus que les caractéristiques du marché
des cryptomonnaies n’ont guère besoin des cybercriminels pour se
distinguer comme un marché risqué pour des investissements. Il est non
régulé, extrêmement volatile et dépendant de règles informatiques
complexes à appréhender. Il est constitué de monnaies n’ayant pas de cours
légaux et aucune autorité institutionnelle n’assure la couverture des dépôts
par un fonds de garantie permettant de pallier la faillite des intermédiaires.

La pyramide de Ponzi en ligne

De jeunes entreprises à forte croissance sont présentées sur Internet
comme des investissements prometteurs à saisir. L’escroquerie à la
pyramide de Ponzi repose sur le versement d’intérêts payés aux
investisseurs avec l’argent des nouveaux arrivants. Les premiers
investisseurs sont rémunérés avec l’apport des nouveaux, jusqu’à
épuisement du réseau et disparition des sommes investies qui n’ont jamais
servi à aider le développement des jeunes entreprises initialement vendues.
Faites fructifier votre capital
Sur Internet, le miroir aux investissements chimériques prend toutes
sortes de visages. L’un d’entre eux est l’invitation téléphonique faite à la
victime de devenir elle-même un trader sur les marchés, en utilisant des
outils en ligne ou par téléphone, et ainsi de faire fructifier son patrimoine.
Comme d’habitude, l’offre est alléchante et sophistiquée, puisqu’il peut
s’agir d’investir progressivement, en étant accompagné par des
professionnels (les escrocs) souvent basés à l’étranger, ni plus ni moins que
sur le FOREX (foreign exchange), un marché non réglementé, à l’inverse
de celui des actions, sur lequel s’échangent différentes monnaies. Pour créer
un climat de confiance, certains utilisent le nom de réelles sociétés, à une
lettre près (un pluriel, par exemple), bénéficiant d’une autorisation de
l’autorité des marchés financiers (AMF) et d’une inscription à ce titre sur
les registres officiels.
La fin de l’histoire est connue : non seulement la victime va perdre son
argent mais elle le fera en s’efforçant de le faire fructifier pour de faux,
l’attention fixée sur l’évolution de ses gains en direct, très prometteurs pour
l’inciter à poursuivre l’aventure, avant de s’apercevoir, lorsqu’elle
souhaitera récupérer sa mise, que l’argent a changé de main.

Zorro peut être aussi un escroc

C’est la deuxième conséquence de ces escroqueries à l’investissement :
une fois détroussé par une plateforme de trading bidon, l’épargnant mal en
point est contacté par un cabinet d’avocats ou un mandataire de la Banque
de France ou de l’autorité des marchés financiers, aussi faux que les leçons
de boursicotage précédemment données, pour récupérer les sommes
perdues. Mais il est demandé aux victimes de régler quelques taxes ou un
pourcentage de la somme perdue avant de récupérer leur bien. Pour cela, ils
sont redirigés vers d’autres sites Internet frauduleux.
De la même façon, d’autres sites escrocs usurpent le nom de sociétés
autorisées en France et vont orienter les épargnants vers les registres
officiels pour faire croire qu’ils bénéficient d’un agrément. Les sociétés
dont les noms sont usurpés ne proposent pas de trading pour la plupart.

Document gratuit-payant
 Vous n’avez pas fait attention à l’adresse du site, copie conforme de
l’officiel, sur lequel vous êtes après avoir effectué une recherche pour
télécharger un document de l’administration. Sur gouv.org, l’extrait de
naissance coûte 1 euro et la perte de ses données personnelles de carte de
crédit ; sur gouv.fr, le document est gratuit. Vous avez été dupé par un des
nombreux faux sites administratifs.

***
Les solutions les plus simples

Avant de se faire piéger

Au préalable, il est important de savoir que la liste des mesures de
vigilance, celles préconisées par la Banque de France et l’Autorité des
Marchés Financiers, les autorités en la matière, reste perfectible, elle aussi.
En substance, ne vous croyez jamais à l’abri en les appliquant.
Les sept principales mesures sont à ce jour les suivantes :
1. Portez une attention accrue sur le site de votre transaction et ses
capacités à proposer un règlement sécurisé par identification renforcée
(système 3D Secure avec envoi par SMS d’un code d’authentification de la
transaction avant de la valider définitivement). Et le site doit bénéficier
d’une adresse telle que « https », avec un logo de cadenas visible dans la
fenêtre du navigateur même si aujourd’hui plus de 50 % des sites
frauduleux bénéficient de ces protections. Ce critère est donc de moins en
moins pertinent ;
2. Limitez autant que possible, ou refusez de confier par courriel ou
téléphone votre numéro de carte, malgré l’usage de cette pratique à haut
risque dans le secteur hôtelier ;
3. En cas de transactions bancaires en ligne, n’utilisez jamais un réseau
Wi-Fi public qui inévitablement peut « écouter la ligne » ou des ordinateurs
publics s’ils sont infectés ;
4. Entrez toujours les adresses Web directement dans votre navigateur.
Ne cliquez pas directement sur les liens hypertextes car ils peuvent se «
déguiser ». Si vous remarquez un message suspect, communiquez avec
votre institution financière. Certains pièges utilisent des variantes du nom
de votre banque, de manière à donner à leur appellation le cachet de
l’authentique. Et méfiez-vous d’une session ouverte dans un autre onglet du
navigateur qui pourrait récupérer des informations personnelles ;
5. Après utilisation de votre site bancaire ou autre, utilisez le bouton
déconnexion pour clôturer définitivement la navigation et limiter la
récupération de vos données personnelles ;
6. Configurez une suppression par défaut des cookies et des fichiers
temporaires Internet stockés dans la mémoire de votre ordinateur. Dans
Firefox, allez dans la rubrique « Historique » et supprimez l’historique
récent. Dans Internet Explorer, allez dans la rubrique « Outils »/« Options
Internet » et supprimez l’historique de navigation en quittant le navigateur.
Dans Chrome, allez sur l’icône en forme de clé à molette, dans le coin
supérieur droit et cliquez sur l’onglet « Effacer les données de navigation ».
Et débranchez-vous de votre connexion Internet une fois votre tâche
terminée ;
7. Votre ordinateur doit être une forteresse, à la condition d’activer les
mises à jour automatiques et gratuites proposées par les éditeurs de logiciel
et de l’équiper d’un antivirus et d’un pare-feu activé et mis à jour
régulièrement. Enfin, lorsque vous vous séparez de votre ordinateur soit
vous détruisez le disque dur à la masse, soit vous détruisez vos données
avec un logiciel conçu pour ce travail sous la supervision d’un
professionnel.

Chez un commerçant ou devant un distributeur automatique de billets

(DAB) ou un automate de paiement, veillez :
– À laisser votre carte de crédit à votre vue, qu’aucune copie ni
photographie ne puissent être faites à votre insu ;
– À vérifier le montant affiché sur le terminal de paiement avant de le
valider, notamment avec les paiements sans contact, tout va si vite quand on
appuie sur un bouton ;
– À vérifier l’aspect extérieur du terminal de paiement pour s’assurer
qu’il ne comporte pas un piège (soit un système qui bloquera votre carte,
soit un système qui copiera vos données personnelles, votre code). En cas
de doute, s’abstenir, surtout si une personne essaye de vous aider en même
temps ;
– À faire opposition si la carte a été avalée par un automate et que vous
ne pouvez pas la récupérer chez le commerçant ou au guichet de l’agence
bancaire.

Car pour assurer la protection de vos moyens de paiements (carte de

crédit), ayez conscience que :
– Vos secrets bancaires ne devraient pas être stockés en permanence dans
vos « Oui-Oui » Smartphones, à moins que ce ne soit dans une application
sécurisée et reconnue comme telle par l’ANSSI. Malheureusement, à ce
jour, il n’existe pas encore d’application avec à la fois ce niveau de sécurité
et le bon niveau d’ergonomie, même si des produits comme KeePass ou
celui de la société française Dashlane sont les mieux placés ;
– Vos moyens de paiement sont personnels. Vous êtes le seul détenteur du
numéro de votre carte bancaire, du code secret à quatre chiffres, du
cryptogramme, de vos identifiants bancaires et du mot de passe pour
accéder à votre compte en ligne ;
– Votre code secret à quatre chiffres est à apprendre par cœur. Composez-
le à l’abri des regards indiscrets. N’en conservez aucune copie et prenez
soin de détruire les documents sur lesquels figurent vos données
personnelles financières (RIB compris). Ne divulguez ni sur Internet ni au
téléphone ni à un prétendu service de police vos coordonnées personnelles
financières ;
– Vos relevés de compte doivent être régulièrement contrôlés et, en cas
d’anomalie, réclamez des explications à votre banque ;
– Votre carte de crédit ne doit pas être rangée à proximité d’objets
métalliques (clés, pièces de monnaie, fermeture de sac à main…) qui
pourraient la démagnétiser.

Enfin, on ne sait jamais, en évitant les escroqueries aux produits

financiers, vous aurez peut-être réussi malgré toutes les embûches à
conserver un peu d’épargne parce que vous n’avez pas oublié de :
– Vous assurer avant de signer pour un investissement que votre
interlocuteur ou sa société figure sur la liste des prestataires autorisés à
proposer leurs services en France et ne figure pas sur les « listes noires » de
l’AMF 1 publiées en ligne. Vous pouvez également vous renseigner auprès
du 01 53 45 62 00, du lundi au vendredi, de 9 heures à 17 heures ;
– Vous assurer en cas d’investissement sur des bitcoins que
l’intermédiaire vendeur ou acheteur est bien agréé par l’autorité de contrôle
prudentiel et de résolution (ACPR 2) adossée à la Banque de France ;
– Ne pas vous emballer, surtout si le placement semble idéal, avec
rentabilité garantie, réservé aux clients privilégiés, proposé par un expert
inconnu, avec une date limite de souscription.
– Vérifier que l’on vous a transmis tous les documents obligatoires et que
vous avez bien compris tous les mécanismes et les risques présentés.

Lorsque vous venez de vous faire piéger

 Vous venez de vous faire voler votre carte de crédit ou de constater des
sorties suspectes sur votre compte en banque, vous devez immédiatement
signaler le vol ou l’utilisation frauduleuse de votre compte afin d’obtenir
l’annulation des éventuels paiements engagés et de bloquer toutes autres
opérations de cette nature.
Si vous êtes en France, un numéro interbancaire est à votre disposition 7
jours/7 et 24 heures/24 :
Tél. 0 892 705 705
Si vous êtes à l’étranger, votre banque a mis à votre disposition un
numéro spécifique. Réclamez-le avant de partir en voyage.
N’oubliez pas qu’il vous faut réagir rapidement. Votre banque ne doit pas
pouvoir vous reprocher un manque de réactivité et profiter de cet argument
pour ne pas rembourser le montant de la fraude dont vous auriez été
victime, car aucune opération de plus de treize mois ne sera remboursée.
Pensez également que cette procédure d’opposition est irréversible, votre
carte de crédit sera inutilisable par la suite.
Lorsque vous avez obtenu votre numéro d’enregistrement, la preuve
datée de votre demande, pour plus de sécurité, pensez à avertir de votre
démarche d’opposition votre agence, soit sur place, soit par lettre
recommandée.
Une fois ces démarches effectuées, vous pouvez vous rendre dans un
commissariat ou une gendarmerie près de chez vous pour enregistrer votre
plainte qui sera transmise au procureur de la République. L’enregistrement
en ligne d’une pré-plainte 3 est nécessaire car il permet d’obtenir un rendez-
vous pour l’enregistrement final.
Il est possible également de signaler la fraude sur le système Perceval 4 à
partir d’un compte service-public.fr en utilisant votre identifiant pour les
impôts ou pour le système de sécurité sociale Ameli ou la version béta de
l’identité numérique. Pour cela, il faut être toujours en possession de sa
carte bancaire, de ne pas être à l’origine des achats en ligne et d’avoir déjà
fait opposition.
Le remboursement est intégralement pris en charge par votre banque si
votre code secret n’a pas été utilisé. Dans le cas contraire, 50 euros sont à la
charge de la victime mais la banque devra vous rembourser intégralement si
le vol ne pouvait pas être détecté avant l’utilisation frauduleuse de la carte.
Attention toutefois : aucun remboursement ne sera effectué en cas de
faute ou de négligence de votre part (code inscrit au dos de la carte ou
confié à un tiers), faute ou négligence que la banque devra prouver. De plus,
en cas de cyberattaque du type hameçonnage, méfiance : la cour de
cassation a tranché au détriment de la victime lors d’une affaire en 2016
contre l’avis d’une cour d’appel estimant qu’il y avait eu négligence de la
part de l’internaute qui transmettait ses coordonnées bancaires en réponse à
un courriel truffé d’indices « permettant à un utilisateur normalement
attentif de douter de sa provenance, peu important qu’il soit ou non avisé
des risques d’hameçonnage ».
 Des rencontres sur Internet au chagrin numérique

Les jeux de l’amour passent dorénavant par le numérique.

« Il faut s’aimer, et puis il faut se le dire, et puis il faut se l’écrire, et puis
il faut se baiser sur la bouche, sur les yeux, et ailleurs », disait Victor Hugo
à Juliette Drouet. Autre temps, autres mœurs.
Et puis nos outils informatiques interconnectés de partout ont bouleversé
la donne avec des émoticones en forme de cœur ou de bouquet de fleurs et
maintenant des sextos : « Envie de t’embrasser partout », « En manque de
toi, de nous », de photos de nu et des ruptures amoureuses par SMS : « Plus
sûre de vouloir continuer, je suis désolée », « Tu étais super et c’était génial
d’avoir appris à te connaître, mais je vais poursuivre sans toi », jusqu’au
lapidaire : « C’est fini. »
Des messages aussi variés que les nouveaux usages d’une intimité toute
numérique, souvent importés d’outre-Atlantique, du classique ghosting
(jouer au fantôme progressivement avec son correspondant en invoquant
diverses excuses de plus en plus suspectes) au redoutable benching (coller
sur un « banc de patience » son potentiel prétendant, pas si apprécié une
fois les premières approches effectuées). Pour devenir effective, la
métamorphose des rapports amoureux s’est acoquinée au plus près des
fonctions de nos machines connectées. Le freckling (taches de rousseur),
qui consiste à entamer une relation à l’arrivée des beaux jours, se terminant
à l’automne avant de reprendre l’été suivant, à l’image d’un amour de
vacances uniquement sous le signe du soleil, ne pourrait pas avoir lieu sans
l’existence des réseaux sociaux. Comment voulez-vous suivre la vie d’une
personne, rester à la lisière de son quotidien puis se manifester sans donner
l’impression de débarquer de nulle part, si vous n’avez pas le moyen de
récapituler les nouveautés de son existence en ligne ?
 Sean Rad, cofondateur de Tinder, répondit à la question de l’avenir des
rapports amoureux par un dialogue imaginaire entre son terminal
artificiellement intelligent et lui-même : « Tinder, comment se présente ma
soirée ?
— Une personne qui vous attire est à cinq cents mètres d’ici. Elle est
libre demain soir et vous aimez tous les deux ce groupe de rock qui donne
un concert. On vous prend des billets ? »
L’amour IRL (In Real Life) est passé à l’ère numérique. Il n’y a pas de
doute à ce sujet. Les sites ont rejoint la liste des contextes de rencontre :
lieux de travail, lieux publics et espaces domestiques. Faire une rencontre
sur Internet est devenu banal, au point de finalement faire croire aux
amoureux transis que la rencontre de leur vie pouvait se faire grâce à un site
ou une application de mise en relation.
Contrairement à une idée reçue, les sites de rencontres ne sont pas
devenus un mode de rencontre dominant en France. Ils donnent plus
souvent lieu à des relations éphémères qu’à des couples stables.
Malheureusement pour le romantisme, la réalité de ces pratiques
numériques a démenti la noble promesse d’un amour durable et sincère.
Aujourd’hui, la plupart des témoignages concordent à dire qu’il s’agit de
contacts éphémères, pour ne pas évoquer plus crûment une consommation
sexuelle entre adultes consentants sans volonté de donner suite après coït.
Mais la situation n’est pas si tranchée. Certaines personnes séparées ou
divorcées, n’ayant que faire de partager leur intimité sans lendemain,
aspirent sur Internet à de réelles relations amoureuses suivies.

***

Les pièges les plus courants

Dites Cheese !
Une femme pose nue pour son mari qui diffuse sur des sites pour adultes
les images prises que celle-ci découvre plus tard, stupéfaite. Le préjudice
financier est élevé, à la hauteur du nombre de sites à « nettoyer », obligeant
la femme à porter plainte contre son mari pour exhibition sans le
consentement du conjoint.
Les amateurs pros
Le grand frisson de la transgression, ou plutôt l’urgence des impayés a
poussé votre couple dans les bras de ces professionnels de la pornographie
qui filment les amateurs consentants contre quelques billets. Malgré la
promesse d’une diffusion du film uniquement auprès des abonnés du site,
les accords de diffusion passés au préalable auprès d’autres sites Internet et
le piratage ont placé vos exploits sur YouPorn. Deux mois seulement
suffiront avant que votre entourage ne vous découvre en pleine action, une
bonne âme ayant inscrit votre nom dans le champ des commentaires.

Déshabillez-vous !
Il s’agit d’une arnaque ciblant les hommes. Au début : une rencontre
amicale ou amoureuse en ligne, sur Skype, Facebook, Tinder ou même un
réseau social comme LinkedIn. L’inconnue qui a pris contact avec vous, et
que vous avez acceptée dans vos contacts, présente bien : portrait avenant,
situation visant à éloigner tout soupçon, avocate (le droit est un sésame
quand vous souhaitez vous rendre insoupçonnable). La machine se met en
marche. Conversation chaleureuse, puis intime. L’excitation est à son
comble. La personne vous demande si vous voulez participer à un jeu
coquin au moyen de la caméra de votre Smartphone ou de votre ordinateur.
Votre belle inconnue s’est dénudée. Vous êtes sous le charme et toutes les
barrières de la méfiance sont envolées. Deux adultes consentants, vous ne
faites rien de mal. Mais pendant l’action, ça tourne. L’arnaqueur enregistre
la vidéo de votre « effeuillage ». Lorsque votre anatomie est « dans la boîte
» sous son meilleur profil, le piège se referme. Un message vous informe
que vous devez verser une rançon immédiatement sous peine de voir la
vidéo diffusée à tous vos contacts. La cyberattaque est sophistiquée, une
copie d’écran vous est présentée, que vous puissiez bien vous reconnaître.
Et pour finir de vous mettre la pression, toutes les cinq minutes, un nouveau
message vous arrive, une sorte de compte à rebours. Du grand art, qui a
contraint certaines victimes à des extrémités, comme hypothéquer une
maison pour payer la rançon.

Amoureux d’une fiction

 L’amour n’est pas que charnel. À ce sujet, les escroqueries à la romance,
à l’origine imaginée au Nigeria avec les colons pour cible, comme me
l’expliquait un capitaine de Police, ont aussi leur mot à dire en la matière.
Ce sont des relations amoureuses à distance qui, pour perdurer, coûtent à la
victime de l’argent tant que le lien dure. Victime parfois tellement éprise
qu’il peut lui arriver de nier jusqu’à l’évidence des preuves de l’arnaque en
place, plutôt que de renoncer à son amour et aux affabulations tarifées de
son manipulateur : des motifs d’enfants malades à soigner, de problèmes à
la frontière, etc.

La nuance de gris « chagrin numérique »

Un sexagénaire, sous une fausse identité, doté d’une page Facebook et
d’un compte Twitter, séduisait des femmes sur Internet avec un faux portrait
et une mise en scène érotico-masochiste inspiré du best-seller 50 nuances
de Grey, qui lui donnait un prétexte pour, à son domicile, abuser de la
confiance de ses interlocutrices dont certaines ont porté l’affaire en justice.
Il utilisait les photos d’un mannequin d’un pays du Nord.
Les forceurs
Il existe malheureusement un harcèlement des femmes dans la rue, qui
s’est propagé sur les sites Internet et les applications de rencontres. Insultes,
harcèlement, exhibitionnisme à travers l’envoi de photos dénudées dès les
premiers messages. Certains vont même jusqu’à « espionner » en retrouvant
les comptes Instagram ou l’identité réelle de leur interlocutrice en utilisant
des annuaires de photos inversés. Près de la moitié des femmes fréquentant
des applications de rencontre se sont senties « mal à l’aise ou harcelée »,
contre 17 % des hommes.

***
Les solutions les plus simples

Un réseau d’alerte citoyen

N’hésitez pas à signaler aux autorités sur la plateforme PHAROS 1 des
contenus ou des comportements illicites auxquels vous vous seriez
confrontés au cours de votre utilisation d’Internet. Bien qu’il ne soit pas
possible de signaler les affaires privées comme les propos diffamatoires et
les situations de harcèlement, qui relèvent de la compétence des services de
police du lieu d’habitation, PHAROS permet de signaler les faits de : –
Pédophilie et pédopornographie ;
– Expression du racisme, de l’antisémitisme et de la xénophobie ; –
Incitation à la haine raciale, ethnique et religieuse ; – Terrorisme et apologie
du terrorisme ; – Escroquerie et arnaque financières sur Internet.

Les bons réflexes avant coup

Évident mais pourtant… Éviter de vous déshabiller devant la caméra de
votre ordinateur ou de votre Smartphone, une fois enregistrées, qui sait ce
que vont devenir ces images ? Dans tous les cas, abstenez-vous de faire un
nu avec la photo de votre visage ou d’un tatouage visible permettant de
vous identifier. Et pensez à utiliser des avatars pour vos images et des
pseudonymes lors de vos inscriptions sur les sites de rencontre, si vous
souhaitez utiliser leurs services. En cas de premier rendez-vous, choisissez
un lieu public et si possible soyez accompagné.

Les bons réflexes après coup

Si vous êtes victime d’un chantage à la divulgation d’informations
portant atteinte à votre dignité et à votre vie privée, il ne faut pas céder, en
aucun cas, car rien ne vous garantit de ne pas devoir payer à nouveau. Il
convient également de ne pas communiquer avec votre interlocuteur.
En plus de porter plainte, surtout si votre nom, prénom et lieu
d’habitation, votre visage, votre métier, le nom de votre entreprise ou de
votre association, le nom de vos amis sur les réseaux sociaux sont connus,
vous pouvez effectuer une veille pour vous assurer qu’aucun contenu sur
votre compte n’apparaît, ou pour être en mesure de réagir rapidement en
déclenchant la procédure pour faire déférencer 2 les contenus personnels que
vous ne souhaitez pas voir apparaître sur la toile.
 Gmail, Facebook et autres Twitter sont-ils des amis sûrs ?

Le dilemme est aujourd’hui de taille. Mais il n’a pas tout de suite été une
évidence pour les internautes. Quand les premières applications gratuites
ont été mises en ligne, peu ont saisi de quoi il retournait exactement. Le
réseau n’avait pas encore les capacités qu’il a atteintes de richesse de
contenus, de rapidité d’accès et de facilité d’utilisation des interfaces. Puis
d’autres services gratuits ont proposé à leur tour aux internautes de
s’inscrire, avec toujours le même succès. Était-ce la preuve d’une avidité
sans limite de nos appétits de consommation ?
Le business modèle des services gratuits avait prévu de nous vendre, pas
nous physiquement mais nos comportements. Nous sommes devenus
malgré nous le produit à vendre. Patrick Le Lay, alors président-directeur
général d’un groupe de média précurseur (TF1) avait expliqué clairement le
modèle : « Ce que nous vendons à Coca-Cola, c’est du temps de cerveau
humain disponible. » C’est incroyable mais pourtant vrai. Et le plus étrange
est de savoir que même informé, cela n’empêche absolument pas le
développement de l’usage de ces services offerts. Les impacts à long terme
sont aussi peu compréhensibles que les fameuses conditions générales
d’utilisation qui encadrent juridiquement l’emploi des services Internet, qui
ne sont quasiment jamais lues. Comment en serait-il autrement ? Il faudrait
un juriste spécialisé pour expliquer aux utilisateurs la nature de ce qu’ils
acceptent en cochant la case : « J’accepte les conditions générales
d’utilisation. »
La facilité de la gratuité nous a bel et bien piégés, car nous n’avons plus
l’intention de nous passer de nos applications préférées. Google, Gmail,
Facebook, Snapchat, lnstagram, Pinterest, LinkedIn, Twitter, Tumblr, Skype
et autres WhatsApp nous ont conquis, ou colonisés selon le point de vue, et
nous n’y renoncerons pas. Ce serait trop difficile de se passer de ce
potentiel. Environ 30 000 milliards de pages indexées par Google, soit
exactement mille fois le nombre de documents de la Bibliothèque François-
Mitterrand (BNF). Cinquante millions de vues en quarante-huit heures pour
un clip sur YouTube, soit l’équivalent de mille salles de concerts comme à
l’U Arena La Défense, la plus grande salle de concert d’Europe. Même pour
une artiste musicale élue un jour la plus populaire du monde, cela reste une
performance stupéfiante, rendue possible grâce à un service « gratuit ».
Il y a de la gloutonnerie dans ces chiffres, comme dans les milliards de
données à caractère personnel gérées par Facebook. De quoi s’interroger
sérieusement sur la manière dont notre vie privée numérique est traitée par
ces acteurs devenus de géantes multinationales dont les pouvoirs sont
comparés à des États.
Avec un territoire numérique, une population d’utilisateurs qui se
comptent en milliards, des services « conviviaux » qui « rapprochent les
gens » et « font du bien », les GAFAMI peuvent se sentir au-dessus de la loi
des États. Ils ont refaçonné le modèle du « vivre ensemble » et si l’État est
perçu comme le « père de la Nation », les géants en sont les « grands frères
», plus permissifs. Ils jouissent donc d’une forte popularité, mais ne doivent
pas s’exonérer d’une certaine responsabilité collective.
Car les données sont triées, utilisées, manipulées par les algorithmes.
Penser le contraire indiquerait que nous n’avons rien compris à la valeur
d’un comportement analysé à partir du croisement des informations, à partir
des traces que nos actions sur le réseau laissent derrière nous.
L’intérêt que peut représenter nos informations est assez nouveau. La
métaphore qui vient naturellement est celle du vampire. Un vampire
capable de siphonner les rémunérations engrangées sur tout un territoire,
l’appauvrissant, pour les basculer sur un autre pays plus intéressant
fiscalement. Lors d’un exercice fiscal récent, Facebook a payé à l’État
français 1,16 million d’euros d’impôt pour un chiffre d’affaires de 540
millions, une taxation à hauteur de 0,2 % du chiffre d’affaires. Du super
dumping fiscal au détriment de la collectivité. On vous fait les poches sans
que vous ne vous en rendiez compte.
Le symptôme d’un déséquilibre des forces en faveur de vampires
gourmands en vie privée dûment monétisée. Mais contre quoi ? Pas certain
que les pourcentages octroyés par une plateforme comme YouTube, en
fonction des audiences acquises respectent une quote-part satisfaisante pour
l’auteur. La rémunération des droits d’auteur de nos créations partagées en
ligne est finalement assez ridicule en regard du business réalisé avec la
multitude de ces contenus. Le déséquilibre serait d’un facteur 20. La
rémunération d’un Youtubeur est vingt fois inférieure à ce qu’elle devrait
être. Sans oublier les sites des médias traditionnels, les journalistes qui se
font piller leurs analyses mettant en risque leur modèle économique et la
pérennité de ce pilier de la démocratie. On parle de 100 milliards de
revenus publicitaires pour Google, 10 milliards de bénéfices pour
Facebook.
Il y a la question de l’argent à régler, autant que la question de nos
libertés et du respect de nos vies privées, plus urgente que la première
interrogation, car le contrôle des fonctionnalités des diverses applications et
autres réseaux sociaux sera politique ou ne sera pas. La numérisation n’est
pas uniquement un enjeu économico-technologique, elle est aussi un enjeu
démocratique. « Nous avons la responsabilité de protéger vos données.
Quand nous le faisons mal, nous ne méritons pas de vous servir », déclarait
Marck Zuckerberg dans un statut Facebook à la gloire de son entreprise.
Prononcé par une personnalité contrôlant l’information de plus de deux
milliards d’êtres humains, ce commentaire fait tout de même froid dans le
dos. « Zuck » se prendrait-il pour l’ultime défenseur de nos valeurs
républicaines à croire sur parole ?

Pendant ce temps, aux États-Unis.

Tout a commencé par le quiz mis au point par un scientifique spécialisé
sur les données, Aleksandr Kogan, appelé aussi un temps le docteur
Spectre, de l’agence de marketing politique Cambridge Analytica, pour
évaluer le profil psychologique des internautes à des fins commerciales aux
allures de recherche scientifique. Le quiz donnait également l’autorisation
de télécharger les données de vos amis Facebook. Ce siphonnage toucha
ainsi plus de 87 millions de personnes environ aux États-Unis. Christopher
Wylie, anciennement directeur de la recherche chez Cambridge Analytica et
lanceur d’alerte à l’origine de cette fuite magistrale de données privées,
accusera : « Les NSA ou GCHQ (les Services de renseignements américains
et britanniques) sont encadrés, alors que les entreprises privées peuvent
collecter des données sur les citoyens comme elles le veulent. Cambridge
Analytica a fait disparaître la frontière entre espionnage et recherche
marketing traditionnelle. »
 Facebook est vraiment une puissante machine de propagande. Lorsque
vous menez une campagne électorale par ce canal, vous avez accès à vos
sympathisants, préalablement identifiés par leurs propres actions, les
milliards d’informations livrées sur chaque membre tous les jours : un «
like » concernant votre camp, par exemple. Des sympathisants que vous
inciterez à voter avec des campagnes ultra-ciblées, car, sur les réseaux
sociaux, il est préférable d’inciter vos partisans à faire valoir leur vote
plutôt que chercher à en convaincre de nouveaux. À l’inverse, vous pourrez
parler aux électeurs de votre adversaire en dégradant son image, en les
incitant à rester chez eux ou à aller à la pêche le jour du vote.
Mais Facebook est aussi une passoire qui se découvre de nouvelles failles
informatiques : une énième faille, 50 millions de comptes piratés à cause
d’une fragilité dans le code qui permet de récupérer le « jeton de connexion
permanent » d’authentification à son compte. Un identifiant numérique qui
donne accès à la plupart de vos applications, que voulez-vous, c’est trop
tentant. Notons au passage que ces jetons de connexion, de plus en plus
utilisés par les applications, seront la prochaine cible de choix des pirates.
En France, les grandes institutions en charge de notre défense ont bien
compris l’urgence de communiquer à tous les publics les bonnes pratiques
numériques en matière de sécurité. Mais ce n’est pas si simple à réaliser.
Les messages préventifs mettent toujours plus de temps à circuler que le
mode d’emploi de la dernière manette d’une console de jeux vidéo. Il y a eu
cependant des avancées avec l’application du Règlement général pour la
protection des données (RGPD), infligeant une amende jusqu’à 4 % du
chiffre d’affaires en cas de manquement à la protection de ces données
personnelles. L’effet a été de sensibiliser très activement les entreprises à la
valeur de l’information personnelle dans un monde de plus en plus
interconnecté. Nos données sont des trésors, tel a été le message reçu cinq
sur cinq par le public.
Sachez toutefois que les géants de l’Internet ne restent jamais les bras
croisés très longtemps. Leur force est de connaître la technologie et d’avoir
les moyens d’agir. Sous la pression du débat citoyen et des réalités des
dysfonctionnements, ils sécurisent chaque jour un peu plus leurs
applications. Twitter a suspendu récemment 70 millions de comptes «
agressifs » avec de meilleurs outils automatisés détectant les
comportements « anormaux », notamment les comptes automatisés qui
publient plusieurs centaines de messages par jour. De son côté, Google s’est
engagé à ne pas mettre ses technologies d’intelligence artificielle au service
de l’armement. L’intention est bonne mais peu crédible. Certes, l’entreprise
affiche de grands principes d’éthique, sans aucune personne ou institution
pour contrôler l’application des intentions. L’intelligence artificielle « qui
ne réfléchit pas et qui fait peur » est une belle promesse. D’une façon
générale, il semble que les géants du Net n’aiment guère que l’on mette le
nez dans leurs affaires. En Australie, les GAFAMI se sont opposés à une
proposition de loi les obligeant à réviser la protection de leurs données pour
donner un accès aux services de police. Et c’est ainsi que, trois ans après les
faits, dans une autre partie du monde, un dossier de disparition d’enfant est
au point mort, faute de réponse de Snapchat. Les services de police
attendent que les traces numériques puissent être accessibles. Les géants de
l’Internet ont été critiqués pour cela. Quand, des années plus tard, ils ont
annoncé avoir trouvé une solution, ils ont également été critiqués au motif
qu’ils ne protégeaient pas assez les données. Ces dossiers potentiellement
criminels sont bloqués car il s’agit d’informations relevant de la vie privée
et les critères d’accès à celles-ci, même par les services de police, doivent
être définis par le législateur.
Cet épisode montre que l’e-démocratie se construit au quotidien. La
difficulté étant d’identifier les situations sur lesquelles il faut se pencher.
Alors faut-il couper son compte Facebook pour garder son libre arbitre ?
Ne pas ouvrir de compte LinkedIn pour postuler à un emploi ? Pas si
simple. Disparaître du réseau peut être pris pour un signal suspect. Pour les
forces de Police en tout cas, cela en est un. Elles s’intéressent autant aux
personnes qui ont éteint leur téléphone à proximité d’une scène de crime
qu’à ceux ayant passé un appel au même moment. Nous voilà cernés !
L’une des solutions réside inévitablement dans une gouvernance
mondiale du numérique mais le plus grand défi est à notre portée, et
concerne l’usage que l’on fait de ces applications gratuites. Comment
dépasser la recherche de consensus avec des « likes », signes de
reconnaissance entre amis et oser exposer ses contributions ou créations
pour étendre sa sociabilité ?

***

Les pièges les plus fréquents

Le lanceur d’alerte s’explique
Christopher Wylie accuse la société britannique de marketing politique,
Cambridge Analytica, devenue Data Propria après ce scandale (plus
pratique pour continuer ses activités), d’avoir utilisé en les siphonnant les
données Facebook de dizaines de millions d’individus pour manipuler les
élections aux États-Unis. En analysant les profils de millions d’Américains
(les fameux « likes » sur les photos), ils ont influencé de façon automatique
des populations ciblées.

La voix de son maître

Une faille de sécurité permet de contrôler les assistants vocaux de
Google, d’Apple et d’Amazon, avec la technique dite du Dauphin, qui
consiste à émettre des fréquences inaudibles à l’oreille humaine,
supérieures à 20 kHz à l’assistant vocal, en utilisant du matériel peu
coûteux. D’après les chercheurs de l’université de Zhejiang en Chine, qui
ont testé leur découverte, il est possible de passer des ordres à tous les
assistants vocaux : Siri, Cortana, Google Home, Amazon Echo, etc., à l’insu
des utilisateurs légitimes, et de faire ouvrir à un téléphone ou à un
ordinateur un lien d’une page Web contenant un logiciel malveillant. Cette
cyber-attaque nécessite d’être dans la même pièce que l’assistant vocal ou
de piéger cette pièce avec un émetteur d’onde sonore inaudible (le
Dauphin).
De bien gros couacs
De Facebook qui a perdu durant quelques jours le contrôle du statut de
publication de ses membres, restreint ou public, en rendant publics des
posts pour des millions d’utilisateurs, à Grindr, l’application dédiée aux
rencontres homosexuelles, qui a laissé s’échapper le statut HIV de ses
membres à deux prestataires extérieurs, Localytics et Apptimize, chargés
pour l’une d’analyser les données pour une optimisation de l’application et,
pour l’autre, de tester sur un groupe restreint des modifications de
fonctionnalités, les données privées en ligne ont du souci à se faire. Les
utilisateurs doivent garder à l’esprit que la fuite des données personnelles,
des identifiants ou des documents, a concerné de nombreux sites : LinkedIn,
DHL, Domino’s Pizza, Pokémon Go, Tesco, Qatar National Bank,
Dropbox, Yahoo, MySpace, Adobe, Tumblr, Ashley Madison, YouPorn,
Sony, Bell, Snapchat, pour ne citer que les plus connus.

Presque à l’œil
La Commission nationale informatique et libertés (CNIL) a sanctionné la
société Optical Center de 250 000 euros d’amende pour la sécurisation
insuffisante des données personnelles des clients inscrits sur leur site
Internet.

Suivi pas à pas

Lors de ses contrôles, la CNIL a mis en demeure deux sociétés, Teemo et
Fidzup, spécialisées dans les mouchards publicitaires embarqués avec les
applications des Smartphones, afin que ceux-ci recueillent plus
explicitement le consentement des internautes géolocalisés. Les données
étaient conservées trop longtemps, plusieurs mois, et beaucoup trop
fréquemment, toutes les cinq minutes environ pour Teemo.

Ne dites pas que j’ai été piraté

En matière de services gratuits, un piratage n’est jamais très fructueux
pour les affaires et la confiance des adhérents d’un service. Mais ce n’est
pas parce que cette publicité est mauvaise qu’il faut taire les événements.
Une règle de transparence oubliée par Altaba, ex-Yahoo, qui avait préféré
taire un vol massif de données (courriels, noms, date de naissance, mots de
passe) dont ils avaient eu connaissance dès le début du piratage. Résultat :
35 millions de dollars d’amende.

Cyber harcèlement
Amnesty International a détecté à travers un questionnaire en ligne le
caractère toxique de Twitter pour les femmes, surtout lorsqu’elles sont
militantes, politisées, handicapées ou engagées dans la défense d’une
minorité sexuelle, religieuse ou ethnique. Depuis, l’ONG a mis en place une
patrouille anti-« troll » rejointe par plusieurs milliers d’internautes, pour
débusquer les commentaires haineux. Ce phénomène touche une femme sur
cinq, selon l’Agence pour les droits fondamentaux de l’Union européenne 1,
une violence faite d’injures à caractère sexiste et sexuel, parfois en meute,
déclenchée pour un commentaire jugé négatif, repéré sur Twitter ou sur une
page Facebook de fans, aussitôt décidés à se venger : insultes, menaces de
viol, menaces de mort, des jours, des semaines et des mois durant.
Un clic envahissant
À la terrasse d’un café, un inconnu vous aborde de façon inopportune. Il
insiste même, puisqu’il est votre ami sur Facebook et qu’il a repéré où vous
étiez grâce à la géolocalisation de l’application que vous n’avez pas
désactivée. Quand un réseau social, fort de toutes ses compétences
technologiques, tient absolument à maintenir connectés ses membres, cela
peut aussi devenir rapidement anxiogène.

La notoriété, ça eut payé

Les attaquants ont ciblé les influenceurs, des comptes de réseaux sociaux
avec plus de 100 000 suiveurs, avec une technique d’hameçonnage pour
récupérer les accès (identifiant et mot de passe) et exiger à leur détenteur
une rançon en bitcoins pour retrouver leur compte. L’hameçonnage prend la
forme d’un message commercial attractif de son réseau social préféré :
partenariat, accès gratuit à des services, etc. La victime clique sur un lien
donnant accès à une imitation d’accès à son compte, Instagram, Twitter ou
autres, avec des champs à remplir : informations personnelles, identifiants.
Et le tour est joué, vous avez perdu le contrôle de votre compte.

Allô docteur ?
Un médecin spécialiste d’une maladie létale a les numéros de ses patients
dans le répertoire de son téléphone. Il installe Facebook qui lui réclame
l’accès à son répertoire. Lorsqu’il échange avec un patient, le réseau social,
très loin des préoccupations sur les obligations du secret médical, va
proposer le médecin en ami, aux amis en réseau du patient, qui n’a peut-être
pas très envie de répondre aux questions de ses proches sur les compétences
de cette nouvelle connexion. « Tu l’as connu où le médecin X. ? »

L’arnaque qui atteint à vos libertés

Chaque personnage public (ministre, sportif, etc.) est une victime
potentielle. La facilité de la prise de contact via les réseaux sociaux
professionnels tels que LinkedIn offre des opportunités de créer les
conditions d’une situation propre à mener un chantage. L’entourloupe se
fonde sur la séduction, séduction d’une affaire à venir d’abord, puis
séduction d’une relation plus intime, enfin le chantage proprement dit : la
révélation à tous vos contacts des contenus, où vous n’apparaissez pas au
mieux des règles de la déontologie de votre image publique, des deux
étapes précédentes. C.Q.F.D.

***
Les solutions les plus simples

Je m’organise avant d’aller surfer

Utilisez différents courriels, un par centre d’intérêt ou activité,
communication professionnelle, familiale, divertissement, etc., à partir de
vos initiales, au lieu d’afficher d’emblée votre nom.
Pour vos usages personnels, créez un pseudonyme pour vous inscrire sur
les réseaux sociaux et sites de rencontres afin de ne partager votre identité
que lorsque vous l’estimez nécessaire.

Je réfléchis à deux fois avant de poster

Je modère mes propos et je ne dis pas tout. Vous vous assurez des
contenus que vous mettez sur Internet, photographies, vidéos et textes, en
sachant que leur diffusion n’est plus maîtrisable une fois en ligne.

Je vérifie mon exposition sur Internet

Pas prudence, vous vérifiez régulièrement les liens vous concernant sur
les premières pages des moteurs de recherche et vous faites supprimer les
contenus erronés en invoquant votre droit à la rectification si des fausses
informations sont associées à votre nom. La CNIL peut vous aider dans
cette démarche 2.

J’active la seconde authentification requise

Vous êtes dorénavant habitué à utiliser la seconde authentification mise
en place par les applications bancaires, la confirmation de la transaction en
utilisant un code envoyé sur votre mobile par SMS. Pourquoi n’activez-
vous pas le même mécanisme sur vos comptes, courriels et réseaux sociaux
sensibles, puisque Gmail, LinkedIn, Hotmail, Twitter et Amazon le
proposent ? À la condition que vous conserviez les codes secrets d’accès
ailleurs que sur votre Smartphone. Plus prudent en cas de vol de celui-ci.

Je fais contrôler les liens suspects (hameçonnage)

 Votre compte Gmail vous permet de vérifier, lorsqu’un lien dans un
message vous semble suspect, s’il s’agit d’une tentative d’hameçonnage.
Pour cela, cliquez sur les trois points du menu « Autres » et sélectionnez la
fonction « signaler comme hameçonnage ».

Je gère mes traces ?

Vous avez encore des doutes sur la puissance des nouvelles technologies
en matière de traçabilité… Essayez la fonction « Google Location », vous
découvrirez vos déplacements, les lieux où vous mangez, dormez,
travaillez. Bluffant et inquiétant. Après cette expérience, n’oubliez pas de «
suspendre l’historique des positions » !

Non à la géolocalisation
Sur un iPhone allez dans le menu « Réglages », « Confidentialité », «
Service de localisation » et « Facebook » (ou autres applications). Sur
Android, le gestionnaire d’applications permet, pour Facebook, de décocher
l’option « Position » ou « Géolocalisation ». Si vous ne paramétrez pas vos
« Oui-Oui », ne vous plaignez pas si vos traces sont collectées et utilisées
indûment.

J’active les filtres anti-violence

Les contenus violents et à caractère sexuel peuvent être filtrés dans le
menu « Paramètres » du moteur de recherche de Google, puis en activant le
filtre « SafeSearch ». Sur YouTube, vous devez activer le mode « restreint
».

Je paramètre la sécurité des réseaux sociaux

Instagram, Snapchat, Twitter, etc., tous les grands réseaux sociaux ont
développé des règles de confidentialités et de sécurité pour leurs
utilisateurs, que pas grand monde ne lit et n’active. Par exemple, il est utile
de connaître sur Twitter la façon de rendre ses Tweets privés et de
désactiver sa détectabilité.
Sur Facebook, vérifiez l’accessibilité des données du profil, dans le menu
« Profil » puis « À propos », afin de choisir ce que vous souhaitez montrer :
adresse, date de naissance, entreprise, situation amoureuse, numéro de
téléphone, courriel, à tous, à vos amis seulement, ou à vous seul.
De même, vous pouvez restreindre le ciblage publicitaire dans le menu «
Paramètres » et « Préférences publicitaires », sans oublier de réduire les
informations dans « Vos informations » : situation amoureuse, employeur,
poste occupé, croyance religieuse et scolarité, utilisés également par les
publicitaires. Mais soyez sans illusion, vous n’empêcherez pas les publicités
de venir coloniser vos messages, Facebook n’oublie jamais de transformer
l’activité de ses membres contre espèces sonnantes et trébuchantes.
Dans le menu « Paramètres de confidentialité », profitez-en pour vérifier
si vous êtes en accord avec la liste de ceux qui auront accès à vos
prochaines publications : « Public » ou « Vos amis » ?

Je bloque les mouchards de Facebook

L’extension gratuite « Facebook Container » promue par la fondation
Mozilla, une fois installée sur votre navigateur, empêche Facebook de
collecter vos données de navigation hors du réseau social. Votre passage
devant les innombrables boutons du réseau « like » ou « partager » restera
muet. Ces mouchards ne pourront plus repérer votre visite.

Je récupère mon compte piraté

La plupart des applications ont dorénavant un service permettant de
signaler et d’accompagner cette démarche. Pas d’inquiétude, suivez les
indications directement sur l’application en question.
 Les risques d’une connexion depuis l’étranger

Tout voyage est une aventure, plus ou moins sécurisée.

En Chine, les risques que l’on copie à la douane vos données
personnelles stockées sur votre ordinateur sont assez importants. Et si vous
vous présentez à un contrôle avec des informations chiffrées sur votre
disque dur, il y a des chances que la séance se prolonge, puisque vous
semblez faire obstruction à la justice. D’un autre côté, il faut relativiser. La
fréquence de ce type de contrôle reste faible pour des pays de la taille des
États-Unis, de la Chine ou de la Russie, quelques milliers par année, pas
grand-chose en regard du trafic de passagers dans les aéroports
internationaux de ces destinations.
De toutes les façons, en voyage, les machines connectées sont à
conserver avec soi et non dans une soute à bagages. Première règle à suivre
pour éviter ne serait-ce que les vols, ou les visites impromptues. Une
sécurisation à l’ancienne. Serrez vos affaires et dormez tranquille. Vous
pouvez également vous attacher au « fil d’Ariane 1 », un service du
ministère de l’Europe et des Affaires étrangères, présenté comme un fil de
sécurité pour les Français en déplacement à l’étranger qui souhaitent
recevoir des recommandations de sécurité, si la situation dans le pays le
justifie, et être contactés en cas de crise. Évidemment les informations sur
la réelle nature de ce service sont un peu dissuasives, l’État refusant de
considérer l’inscription sur Ariane comme une obligation d’intervention en
cas de problème, rappelant au passage la loi no 2010-873 du 27 juillet 2010,
relative à l’action extérieure de l’État, article 22 :
« L’État peut exiger le remboursement de tout ou partie des dépenses
qu’il a engagées ou dont il serait redevable à l’égard de tiers à l’occasion
d’opérations de secours à l’étranger au bénéfice de personnes s’étant
délibérément exposées, sauf motif légitime tiré notamment de leur activité
professionnelle ou d’une situation d’urgence, à des risques qu’elles ne
pouvaient ignorer. »
Voilà qui ne donne pas vraiment envie de voyager…
Aujourd’hui le problème n’est plus le voyage mais sa démocratisation,
qui augmente la probabilité du nombre de personnes exposées à un piratage
de leurs données. Nous sommes tous amenés, à un moment ou à un autre, à
voyager, et nous le faisons avec nos ordinateurs et nos Smartphones, même
pour des déplacements de courtes durées. Il nous est devenu impossible de
nous passer de la géolocalisation dans une ville inconnue, de ne pas
partager une photographie avec des amis sur Internet, ni profiter des
applications spécialisées pour réserver nos billets de transport ou un lieu de
villégiature pour les plus chanceux. Et cela vaut aussi pour les
professionnels en déplacement. Nous avons trop pris l’habitude d’être
connectés. Reculer pour des raisons sécuritaires n’est plus une option
envisageable. Nous sommes obligés d’accepter les risques inhérents à nos
nouveaux modes de communication. Ordinateurs, Smartphones, tablettes
sont devenus des outils familiers et indispensables, mais faillibles.
Le problème est que nous n’en avons que « vaguement » conscience. Il
est là, le danger pour nos données. Nous n’avons pas abordé la question
sous le bon angle. Pour tout dire, nous ne l’avons pas abordée du tout et
nous serions prêts à nous présenter à la douane avec un e-book licencieux
ouvert dans notre Smartphone sur un passage croustillant dans un pays aux
mœurs puritaines et à la justice expéditive. Dans un registre plus banal, un
simple dossier de vos films téléchargés peut poser des problèmes légaux de
propriétés intellectuelles.
Et ce n’est pas tout.

***

Les pièges fréquents

Tête en l’air, données envolées

Sur la route de l’aéroport, l’horaire de l’avion à prendre peut occulter le
sac posé à ses pieds dans le taxi, un sac qui, une fois oublié, laissera aux
bons soins d’un inconnu un ordinateur et un Smartphone professionnels.
Qui sera le prochain propriétaire des données confidentielles de l’entreprise
et de son cadre ?

Wi-Fi hôtelier à la mauvaise mine

Le Wi-Fi de l’hôtel, qui n’est pas toujours celui que l’on croit, peut être à
la disposition des clients et de leurs pirates. Aisément connectés, les uns
récupèrent alors les données sensibles (identifiant et mot de passe) des
autres, leur donnant ultérieurement toute latitude pour consulter messages et
informations liées à l’activité de l’entreprise. Un déplacement qui risque de
coûter cher au chef d’entreprise ainsi piraté.

À la frontière
Ne perdez pas de temps, pensez à pouvoir justifier sur facture à n’importe
quel douanier où a été acheté votre matériel numérique, que vos taxes ont
bien été payées dans l’Union européenne, par exemple. Autrement, la taxe
sur la valeur ajoutée (TVA) sera applicable si, en arrivant en France, la
valeur globale de vos biens informatiques excède 430 euros dans le cas où
vous auriez emprunté un transport aérien ou maritime, et de 300 euros en
dehors de ces deux modes.

Port de la cravate conseillé

Les us et coutumes des douanes des différents pays varient selon les
préoccupations sécuritaires. Toutes ont cependant développé des systèmes
de repérage des suspects dont la CIA, l’agence de renseignements des États-
Unis, a compilé les meilleures techniques à destination de leurs agents. La
palette est large pour identifier les incohérences. Est suspect un individu
déclaré comme homme d’affaires alors qu’il ne porte pas de cravate.
Bizarre de se négliger pour faire du business, même en voyage. Suspect
encore un touriste qui prend un billet de classe affaire. Qui n’enregistre
aucun bagage. Pareil pour un voyageur qui règle son billet en argent liquide,
qui achète son billet à l’aéroport. Qui emporte plusieurs ordinateurs avec
lui, part avec une carte mémoire à faible capacité pour son appareil
photographique, alors que son séjour dure trois semaines ? Qui possède des
gadgets électroniques inconnus, etc. Qui n’a pas de compte sur les réseaux
sociaux (ne pas les utiliser laisserait penser que vous cherchez à vous rendre
invisible).

La villa de vos rêves est une mauvaise affaire

C’était écrit sur l’annonce, une villa de rêve pour les vacances, jardin,
piscine et tennis, tout le confort moderne et plus, un loyer au tarif du hors
saison, l’ennui est qu’il y a cinq familles le jour J à la porte de la villa,
effectivement louée par son légitime propriétaire mais pas celui de
l’annonce en ligne.

Le chéquier et ses mystères

Un chéquier volé permet au voleur ou à son complice de demander à une
autre personne rencontrée sur Internet d’encaisser un chèque, envoyé par
courrier, sur son compte, et de lui verser l’argent par un transfert d’argent
liquide. L’escroc s’évanouit alors avec l’argent et la victime, qui avait voulu
donner un coup de main, se retrouve à assumer le montant de la somme
versée d’un chèque volé.

***

Les solutions les plus simples

Sous clé
Un appareil à l’abri est un appareil sous clé, notamment dans le coffre de
votre chambre d’hôtel si, en vacances, vous optez pour un tour à la piscine.
Pour les entreprises dont certains salariés se déplacent à l’international,
l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
recommande de toujours conserver avec soi ses données.

Avec batterie
Investissez dans une recharge de batterie individuelle pour ne pas exposer
vos données en rechargeant votre Smartphone ou tablette sur des bornes
publiques. Et n’utilisez jamais des branchements USB sur des périphériques
mais des branchements électriques sur des prises murales.
Wi-Fi public
Avant d’autoriser votre machine à accéder à un réseau Wi-Fi public
(aéroports, gares, hôtels, cafés), vérifiez l’adéquation du nom proposé et de
réalité sur votre écran. Des petits malins vont jusqu’à créer des réseaux Wi-
Fi avec un nom très proche du réseau à proximité pour que vous les utilisiez
et qu’ils vous volent vos données. Limitez l’usage du Wi-Fi public au strict
nécessaire en évitant de transmettre des données confidentielles.

USB
L’utilisation de clés USB promotionnelles lors d’événements ou de
salons doit être restreinte. La presse italienne évoque qu’un pays hôte du
G20 aurait distribué parmi les goodies des clés USB et des chargeurs de
téléphones portables infectés.

Géolocalisation
La diffusion d’informations sur votre voyage peut être exploitée à votre
insu. L’organisateur présumé du vol des bijoux de Kim Kardashian a
expliqué aux enquêteurs que « tout était sur Internet. Les bijoux présentés
sur Internet, précisant qu’elle ne portait pas de faux bijoux. Les horaires
quand elle venait en France […], il suffisait de regarder sur Internet pour
tout savoir, absolument tout. »

Cet appareil est à moi

Une carte de libre circulation nominative est disponible pour les
voyageurs réguliers qui souhaitent pouvoir transporter leur matériel
informatique sans devoir repayer une taxe douanière. Ce document
s’obtient soit en se présentant à un bureau de douane 2 avec les objets et les
pièces justificatives (factures, certificats de garantie) prouvant que les
appareils ont été achetés en Europe, soit au point d’entrée du territoire visité
(aéroport, port, etc.) muni des mêmes appareils et documents. Déclarez en
France vos achats numériques supérieurs à 430 euros.

VPN very private

 Assurez-vous en déplacement professionnel d’activer le VPN (réseau
privé virtuel) de l’entreprise, véritable tunnel sécurisé de données, et
informez-vous auprès du responsable en charge de la sécurité informatique
des éventuelles recommandations à suivre.

Sauvetage prévisionnel
Frappé au coin du bon sens, la sauvegarde de ses données avant de partir
est une priorité. Soit en utilisant les moyens mis à disposition par
l’entreprise ou en utilisant un système à domicile. Le plus simple étant un
support externe. Pour ceux qui ont des données sensibles comme une micro
PME, la solution de sauvegarde le plus pratique est sans doute une solution
de type NAS (Network Attached Storage ou Unité de Stockage en Réseau)
qui fonctionne comme un « gros disque dur » en réseau (dans les faits, il y
en a plusieurs pour assurer des redondances). Les sauvegardes dans le
Cloud avec des moyens comme Google Drive et OneDrive de Microsoft,
pour les plus connus, sont couramment utilisées. Malheureusement les
sauvegardes sont rarement effectuées, d’après les plaintes souvent
entendues dans les services de police et les bureaux des objets trouvés.

Voyagez léger
En matière d’information, il est préférable de partir muni du strict
nécessaire, au cas où vos données numériques seraient perdues, volées ou
copiées à la douane, voire utilisées par des services d’intelligence
économique. Il convient donc de ne partir qu’avec les quelques fichiers de
travail nécessaires et non avec toute la base client ou documentaire.

Voyagez chiffré
En France, la loi no 2004-575 du 21 juin 2004 pour la confiance dans
l’économie numérique autorise l’utilisation des moyens de cryptologie qui
ne nécessite aucune démarche. La cryptologie est à la disposition de tous,
libre comme l’air. En revanche, la fourniture, l’importation, le transfert
intracommunautaire et l’exportation d’un moyen de cryptologie sont
soumis, sauf exception, à déclaration ou à demande d’autorisation auprès de
l’Agence nationale de la sécurité des systèmes d’information (ANSSI 3).
 Dans les pays étrangers, d’autres usages peuvent vous contraindre à
ouvrir à la douane une session de votre ordinateur ou à fournir les clés de
décryptages de vos données chiffrées. C’est pourquoi il est préférable de se
renseigner sur les règles en cours, car vous serez peut-être contraint
d’obtempérer aux demandes des autorités. Si c’est le cas, réclamez
d’assister au contrôle de votre machine sans oublier, une fois le contrôle
effectué, de changer de mot de passe puis, si vous voyagez dans un cadre
professionnel, d’alerter votre responsable de la sécurité informatique. Dans
la mesure du possible, demandez également à conserver votre carte SIM et
vos cartes mémoires.
Mais, en voyage, le plus simple est de télécharger vos données utiles à la
mission et chiffrée sur un Cloud bénéficiant d’un accès sécurisé (Google
Drive ou OneDrive), et de les consulter en ligne une fois sur place.

L’e-book tricard
Effectuez des recherches sur les lois et règlements du pays que vous
comptez visiter, puisque vous serez assujettis aux lois en matière de
propriété intellectuelle, d’information numérique, de censure et sur les
données chiffrées de ce pays. Par exemple, les livres électroniques qui sont
légaux dans certains pays peuvent être illégaux dans d’autres. Montaigne
avait raison, « les lois sont sujettes à de continuelles agitations ».

Une petite mise à jour

Les pilotes vérifient bien le fonctionnement des commandes de leur
appareil avant le décollage, pourquoi ne faites-vous pas de même, une
check-list sécurité avec la mise à jour de votre système, antivirus, système
d’exploitation, etc., avant et après le voyage ? De retour à la maison,
changez vos mots de passe, effacez les historiques de navigation, cookies et
fichiers temporaires et réalisez une analyse antivirus de vos équipements
 Le cyber-harcèlement chez les jeunes

Tout est à portée de clic, les ennuis aussi

Sur le chemin de l’école, nous laissons nos enfants porter de gros
cartables. Nous l’acceptons car ce poids représente la somme des
connaissances utiles pour appréhender le monde. Nous connaissons le
contenu du « lourd cartable ». En revanche, nous ne maîtrisons absolument
pas celui accessible par les Smartphones, tablettes et ordinateurs, utilisés
sans vergogne et de plus en plus précocement par nos enfants. Les logiciels
de contrôle parental n’empêchent qu’une infime partie des explorations et
restent une solution limitée. Certes, nos écrans interactifs connectés sont
plus légers que les cartables, mais qu’en est-il de la nature des trésors de la
caverne d’Ali Baba qu’ils proposent à la curiosité, et à quelle profondeur
faut-il aller pour en disposer sans risque de s’égarer en chemin ? La part
d’alouette de ce miroir reste une énigme non résolue malgré de nombreuses
études et analyses sur le sujet.
La journée fictive d’un jeune, l’écran en réseau à portée de main, raconte,
sans forcer le trait, que les occasions de visiter la caverne sont nombreuses
et sources de toutes sortes de problèmes. Cela peut commencer au lever
avec quelques vidéos sur YouTube, un dessin animé ou la consultation de
nouveaux messages sur les réseaux sociaux, puis par un interlude musical
durant le trajet jusqu’à l’école ou au lycée, et une pause déjeuner en
compagnie d’un écran pour passer le temps avec un jeu vidéo par exemple,
quelques consultations à la sauvette avant le moment des devoirs, puis
d’autres nouveaux contenus, après le dîner, clôtureront le temps de veille
jusqu’au matin suivant.
Être connecté à tout moment, voilà l’impératif, le mot d’ordre
indiscutable.
L’offre numérique est un domaine que les enfants investissent sans peine.
Chez eux, la pratique numérique serait presque permanente s’il n’y avait
pas encore quelques freins actifs sous la forme de craintes et de doutes du
côté de l’autorité parentale. À quel âge peut-on s’inscrire sur un réseau
social : onze ans ? quatorze ans ? Méfiance, le grooming (une prise de
contact en ligne avec un mineur par un adulte aux intérêts sexuels déviants)
requiert de préciser quelques règles de prudence, comme de ne pas honorer
seul dans un lieu privé un rendez-vous pris en ligne. Il y a aussi le
phénomène de la banalisation de la représentation consumériste de la
pornographie. Pour un adolescent, la découverte du corps marchandise est
un apprentissage peu respectueux de l’autre, une forme de violence faite à
l’individu dont il convient d’évoquer les enjeux au lieu de les ignorer. Mais
ce ne sont pas les uniques dangers à la portée des mineurs. Jouer
raisonnablement à un jeu vidéo massivement multijoueur (MMORPG,
Massively Multiplayer Online Roleplaying Game ou jeu de rôle en ligne),
quand il est possible à n’importe quelle heure du jour et de la nuit
d’affronter quelqu’un en ligne, relève de cette problématique du risque née
de la pratique des systèmes d’information. La simplicité de l’accès au
réseau et à ses innombrables propositions, ainsi que la permanence de leur
disponibilité sont les deux faces du même problème rencontré par les
utilisateurs. Ils sont vraiment trop nombreux statistiquement à se relever la
nuit pour consulter leur Smartphone, au cas où un ami ou même un inconnu
leur aurait laissé un message.
Le manque de sommeil est un des premiers symptômes d’un usage
excessif des écrans qui peut devenir un fléau sinon le signal de
débordements plus douloureux, parfois sous la forme de violence subie ou
de cyber-violence. Avec le repli sur soi, le stress, le décrochage scolaire, il
précise une indication de cyber-harcèlement caractérisée, « un acte agressif
et intentionnel perpétré par un individu ou un groupe d’individus au moyen
de formes électroniques de communication », téléphones portables,
messageries instantanées, chats, jeux en ligne, courriels, réseaux sociaux,
etc. Le cyber-harcèlement, des attaques au moins une fois par semaine et
pendant un mois, est tristement incarné par une longue liste de propos
diffamatoires, discriminatoires, humiliants, agressifs ou injurieux,
d’informations divulguées contre son gré, d’images personnelles volées,
modifiées pour être choquantes, de rumeurs malveillantes, d’intimidations,
d’insultes, de moqueries et de menaces ou d’incitation à la haine,
d’usurpation d’identité, de piratage de compte. Et c’est hélas une liste non
exhaustive, comme celle des victimes qui s’allonge à mesure que nos
pratiques numériques se banalisent. L’Unesco comptabilise une statistique
effarante de plus de 10 % des enfants et adolescents européens soumis à ces
attaques répétitives, les filles devant subir dans une proportion trois fois
plus importante que les garçons la diffusion non autorisée d’images de leur
intimité lors de ruptures amoureuses. Les sextos (sexe + texto) envoyés
auparavant en toute confiance deviennent alors des armes avec intention de
nuire. Et leur divulgation tombe sous le coup de la loi.
Car l’injure (toute expression outrageante, termes de mépris ou invective
qui ne renferme l’imputation d’aucun fait), la diffamation (toute allégation
ou imputation d’un fait qui porte atteinte à l’honneur ou à la considération
de la personne ou du corps auquel le fait est imputé), et le droit à l’intimité
et à la vie privée sont encadrés par l’article 9 du Code civil : « Chacun a
droit au respect de sa vie privée. » Ces trois infractions sont passibles d’une
amende, notamment de 45 000 euros pour l’atteinte volontaire à la vie
privée, et même de 75 000 euros pour la diffusion de l’enregistrement
d’image liée à la vie intime (art. 222-3 du Code Pénal). Quant au fait
d’usurper l’identité d’un tiers, un an d’emprisonnement est prévu et 15 000
euros d’amende, tout comme le cyber-harcèlement (loi no 2014-873 du 4
août 2014 pour l’égalité réelle entre les femmes et les hommes) qui peut
voir cette peine aggravée à deux ans de prison et jusqu’à 45 000 euros
d’amende.
Au-delà de la loi, que nul n’est censé ignorer mais que personne ne
connaît, dans une cour de récréation, le cyber-harcèlement peut commencer
par de l’intimidation avant de se propager sur le réseau et de devenir un
groupe de discussion sur WhatsApp visant un élève en particulier. Dans ce
cas, le mieux est d’agir préventivement, ce que fait une grande proportion
de parents, alertés par l’importance du sujet et disposés à mettre en place
des mesures de restriction et d’information, sans se bercer d’illusions non
plus sur l’efficacité de ces mesures. Dans l’ensemble, les bonnes pratiques
restent toutefois méconnues, comme le signale la CNIL (Commission
nationale informatique et libertés) : plus de 80 % des enfants ignorent qu’il
est interdit de diffuser une photo sans le consentement de l’intéressé.
Sur le chemin de l’école, la découverte du cyber espace et de ses libertés
ne doit pas se faire au détriment du vivre ensemble.

***
Les pièges les plus fréquents
La chasse en meute
Un amoureux éconduit diffuse à l’ensemble de ses contacts une image
intime de sa victime, une photographie ou une vidéo faite à l’origine avec le
consentement de l’intéressée. Les amis de ses amis s’emparent alors de ce
contenu greffant leurs commentaires agressifs tout en étant dans l’ignorance
la plus totale du réel contexte de départ. Ainsi se constitue une meute
indéterminée dont les membres, habités d’un sentiment d’impunité,
participent à une forme de lynchage numérique. Un harcèlement qui peut
aller jusqu’au chantage financier et à des pressions exercées pour obliger la
victime à accepter des jeux sexuels. Parfois, ces contenus servent à des
Webmasters qui créent de faux profils sur des sites de rencontres, point de
départ d’arnaques financières.

Le harcèlement de masse
Cette fois la meute, cachée derrière des pseudonymes, ne vise pas une
seule personne mais plusieurs. Insultes, photos dénudées, montages
pornographiques, coordonnées complètes sont ainsi diffusés avec une
prédilection pour Snapchat, le réseau social préféré des adolescents.
Le suicide
Dans la foulée de la découverte d’un chantage à la diffusion de son
intimité (une vidéo compromettante bientôt en ligne si la rançon n’est pas
payée), l’adolescent affolé tente de se suicider.

***
Les solutions les plus simples

Les premiers réflexes

Le principe est de ne pas garder le problème dans l’enceinte familiale en
cherchant à le résoudre seul. Rencontrer le harceleur sans un médiateur
officiel est une très mauvaise idée. Il est plus efficace de parler à son enfant
et de commencer à rassembler des preuves (copie de SMS et des différents
messages) afin de signaler les faits au directeur de l’établissement scolaire
et de porter plainte le cas échéant, selon la gravité de la situation, voire de
se constituer partie civile.

Une association de spécialistes à votre service

Victimes ou témoins de harcèlement, les enfants et les adolescents
disposent en cas de problème d’un numéro vert national gratuit et anonyme,
Net Écoute, au 0800 200 000, du lundi au vendredi, de 9 heures à 19 heures,
mis en service par l’association reconnue d’utilité publique, e-Enfance 1,
dont la mission est de sensibiliser les enfants, les parents et les
professionnels de l’éducation aux usages responsables de l’Internet et aux
risques afférents comme le cyber-harcèlement, le cyber-sexisme et les
autres formes de cyber-violence.
La prise de conscience
Les enfants doivent apprendre à faire face, aidés de leurs parents, à
identifier les abus et les situations où il faut intervenir, et à solliciter
rapidement de l’aide pour ne pas laisser les événements s’envenimer. De
même que l’école leur a fait découvrir l’existence des droits de l’enfant,
leur statut au sein de la société et ses lois, il est important qu’ils connaissent
l’existence des différentes formes d’aide en cas de cyber-harcèlement, ainsi
que les façons de les solliciter (informer ses parents, appel téléphonique,
signalement à l’établissement scolaire, etc.). De plus, un enseignement sur
les attitudes qui participent à l’apaisement des situations de conflits, respect
des règles communes, responsabilité, écoute, empathie, rejet de toutes les
formes d’intimidation et de violence sont des prérequis efficaces en cas de
déminage à mener. La compréhension de soi et la maîtrise de ses mots, pour
une communication débarrassée d’affects perturbateurs, jouent un grand
rôle dans ces processus.

La prévention douce
Les quelques règles pour mieux vivre sa relation au réseau à destination
des enfants et des adolescents à la maison n’ont pas beaucoup changé
depuis la multiplication dans nos foyers des écrans interactifs. Pourtant,
bien qu’elles relèvent du bon sens, elles ont toujours eu du mal à être
appliquées au sens strict, comme si leur nature même était de rester des
panneaux préventifs inemployés alors qu’elles pourraient rendre de grands
services.
Il faut reconnaître qu’il est très difficile pour les parents de contrôler
l’usage d’Internet tant les pratiques sont addictives (notamment le jeu
vidéo). Lors des conférences animées par Anne Bacus, psychologue
spécialisée de l’Enfance, cette difficulté est signalée fréquemment par les
mères de famille. Pour qu’Internet ne menace pas la dimension collective
de la famille, il n’y a pas d’autres choix que de fixer des règles de «
connexion » et des règles de « déconnexion ». Est-ce raisonnable de laisser
le « Oui-Oui » seul avec l’enfant dans sa chambre ou faut-il centraliser dans
une pièce l’usage ? Il semble indispensable de définir un temps
d’utilisation, d’activer les contrôles parentaux 2 en fonction de l’âge de
l’enfant, de sensibiliser aux dangers des réseaux sociaux et de surveiller
régulièrement l’historique de navigation de votre enfant. Il est rappelé que
la plupart des services de réseaux sociaux demandent un âge minimum de
treize ans pour ouvrir un compte. En France, un mineur peut consentir seul
à un traitement de données à caractère personnel à compter de l’âge de
quinze ans. Lorsqu’il a moins de quinze ans, le traitement n’est licite
qu’avec le co-consentement du représentant de l’autorité parentale et de ce
mineur 3.
Et pourquoi ne pas lui expliquer les méthodes pour éviter d’exposer sa
vie privée et l’intérêt à le faire en exposant les scénarios qui
malheureusement arrivent trop souvent (cyber-harcèlement, utilisation
illégitime…) ?
Évidemment, pour avancer dans l’adoption de ces pratiques, il ne faut pas
oublier l’importance du dialogue avec l’enfant.
 Comment ne pas être exclu et être un cyber-papi
ou une cyber-mamie heureux ?

L’outil numérique n’est inné pour personne. Enfant, adolescent, adulte,

sénior, c’est toujours l’usage qui détermine les compétences des utilisateurs.
Mais une prime va à ceux qui expérimentent assidûment les fonctionnalités
des interfaces numériques. Les jeunes générations adeptes de jeux vidéo,
ludo-éducatifs ou non, sont plus aguerries que des sexagénaires n’utilisant
jamais ou très peu Internet. Cependant, lorsque perdure l’absence de
pratique ou lorsque l’outil n’est pas intuitif, un fossé se creuse. Il participe à
une fracture numérique constituée entre autres d’un manque de réseau mais
aussi d’un faible apprentissage du bon fonctionnement des outils
numériques. Car la technologie n’attend pas les retardataires. Elle n’a pas le
temps. Les modèles des Smartphones changent à un rythme effréné, leur
puissance de calcul s’accroît et avec elle le nombre de possibilités :
communication, photographie, vidéo, musique, etc. Les versions des
logiciels évoluent en un rien de temps. D’une interface à une autre, certains
utilisateurs, peu habitués à ces changements, se sentent complètement
perdus.
Pris dans son ensemble, ce phénomène participe à la fragilisation des
cyber-papis et des cyber-mamies. On le retrouve également à l’œuvre dans
la numérisation des activités. Nombre de métiers sont touchés. Un
journaliste proche de la retraite peut se sentir en danger devant la vague de
transformation numérique qui a secoué son secteur, dématérialisant
complètement le processus de production des contenus. L’époque où les
négatifs photographiques devaient être transmis au chauffeur du bus de la
région pour rejoindre la rédaction du centre-ville en plein bouclage est
complètement révolue. Les circuits de création de l’information ont
radicalement changé avec les sites Web et les applications mobiles gérés par
des systèmes de management de contenu (CMS : Content Managment
System) où chacun contribue à construire pas à pas l’édition du moment.
Les habitudes qui séparent le reporter muni de son calepin et de son
appareil argentique et celui adepte du MoJo (Mobile Journalism) pratiqué
avec un Smartphone et ses périphériques, n’ont plus rien à voir les unes
avec les autres.
Nous oublions trop souvent que l’informatique est une formidable
opportunité de se créer aussi des problèmes. Et quand il n’y a pas un
technicien, un ami, un membre de la famille au bout du fil pour expliquer à
l’utilisateur dépassé comment répondre au SMS qui vient de s’afficher sur
l’écran de son appareil, la question de la solidarité intergénérationnelle se
pose. Car l’exclusion numérique n’est pas seulement incarnée par la
difficulté d’accéder à du matériel pour des raisons financières ou à du
réseau pour des raisons géographiques, il ne faut pas non plus négliger la
difficulté d’appréhender les nouveaux codes de la communication à l’ère du
numérique. Il n’y a aucune raison qu’un grand-père ou une grand-mère
soient mis à l’index à cause d’une incapacité à accéder aux images
envoyées par ses petits-enfants. Est-il normal qu’ils ne puissent pas
commenter, s’ils le souhaitent, les pages Facebook ou Instagram des
membres de leur famille, ou partager sur WhatsApp une alerte d’un emploi
repéré, toujours pour leurs petits-enfants, parce qu’ils ne savent pas où
cliquer ou comment lancer un navigateur et écrire la bonne adresse ?
Pour le pire et le meilleur, notre société contemporaine s’est dotée d’une
part numérique impossible à mettre de côté. À ce propos, la concurrence
entre les pays a déclenché la course. Partout les plans d’équipement du
territoire pour le très Haut Débit à un stade industriel sont déjà à l’œuvre :
fibre à la disposition de la demande selon le maillage le plus étendu
possible ; 5G qui apportera du Haut Débit par voie hertzienne, une
souplesse d’utilisation lors des déplacements et un confort comparable à la
fibre optique. Mais le numérique n’est pas une fin en soi ni une obligation.
Les cyber-papis et les cyber-mamies pourraient s’en passer. Sauf qu’il est
devenu aujourd’hui un vecteur incontournable de la sociabilité, à la fois un
outil de lien social, d’insertion, d’apprentissage et de divertissement.
Pourtant, tout le monde n’en profite pas. La start-up d’Emmaüs,
WeTechCare 1, annonce plus de 32 % de la population française, toutes
catégories confondues, incapable de mener seule des démarches en ligne. Il
reste des efforts à faire. Aucun indicateur ne mesure le taux d’échec des
démarches. Vous voulez modifier le nom de propriétaire de votre carte grise
sur le site dédié et vous n’y arrivez pas. D’après son responsable, le site
fonctionne parfaitement (un taux de disponibilité proche de 100 %), mais
vous, vous avez calé. Cela fonctionne en général, mais pas dans votre cas
particulier.
Les sites de commerce doivent faire quelques efforts car sinon ils seront
touchés directement au portefeuille. Mais on a vu des cas croquignolesques
comme la nouvelle version d’un site d’une enseigne de la grande
distribution française qui était incapable de trouver une simple « boîte de
tomate ». Vous aviez beau faire tout le tour des mots clés « conserve », «
bocaux », il vous trouvait tout sauf la boîte en question. Remplir son panier
peut aussi devenir une épreuve digne des dicos d’or. Astuce : la bonne
réponse était « jus de tomate ».
Les sites Internet des services publics fonctionnent-ils ? J’ai un doute.
Sans vouloir généraliser, quand je constate mes difficultés et la nature des
échanges avec ma conseillère Pôle emploi dans le cadre d’une création
d’entreprise (qui doit avoir ses propres difficultés avec l’outil numérique et
l’organisation derrière), j’ai de sérieux doutes. La responsabilité de
l’évaluation du service rendu ne peut incomber qu’à l’organisme en charge
de ce service. Pour mener efficacement cette démarche bénéfique à tous, il
faut garder la possibilité de la critique, de pouvoir bousculer les idées
reçues. Le service public mérite qu’on s’occupe de lui car il s’occupe de
nous.
On se cache derrière « l’erreur informatique » (le bug de la machine)
alors qu’il s’agit d’une erreur de conception, humaine, d’un système
complexe. Et il n’y a personne derrière la vitrine pour trouver une solution
quand vous utilisez le site le week-end après une semaine de travail
acharné. Aucune intelligence malgré ce que l’on essayerait de nous faire
croire. L’intelligence artificielle, « qui ne réfléchit pas et qui fait peur »,
n’est pas pour tout de suite. Vous tournez en rond durant des semaines avant
d’abandonner pour ne pas devenir fou. La machine vous renvoyant vers une
impasse, une boucle algorithmique vous posant incessamment la même
question ou une question hors contexte. Vous demandez un rendez-vous, on
vous répond : « Je ne comprends pas votre demande. » Ce qui permet sans
doute d’offrir l’avantage d’un délai de traitement plus grand à des hommes
et des femmes courageux qui pédalent derrière les ordinateurs de leur open-
space avec des indicateurs de performance plus difficiles à atteindre que la
porte de sortie de l’entreprise.
 Le problème du numérique, outre le fait qu’il fonctionne moins que ce
qu’on le laisse croire au prix d’efforts coûteux, est qu’il enrichit toujours les
mêmes personnes : les géants de l’Internet et sa queue de comète de
sociétés de services, de femmes et d’hommes (dont je fais partie) qui
consacrent une grande partie de leur vie à cette révolution. Il faut donc des
mécanismes nouveaux pour inventer l’Internet au service de tous.
L’exclusion numérique est vraiment un phénomène de masse qu’il convient
de réduire rapidement, pour que chaque citoyen retrouve le pouvoir d’agir
quels que soient sa condition sociale ou son âge. En effet, moins vous êtes
connectés, plus la probabilité de rattraper ce retard est faible, provoquant un
réflexe dissuasif des utilisateurs devant les efforts à fournir pour monter
dans le train en marche.
Et pour ne rien arranger, la Direction générale de la concurrence, de la
consommation et de la répression des fraudes (DGCCRF 2) a repéré que les
populations âgées ne disposant pas d’Internet sont plus facilement prises
pour cible au téléphone par les escrocs, car plus isolés que leurs
contemporains connectés.
« Oui, bonjour madame, nous vous appelons au sujet de votre
abonnement… » ou « Bonjour monsieur, nous sommes heureux de vous
proposer… »
Finalement, malgré les risques, faire l’effort de devenir un cyber-papi ou
cyber-mamie, même en ayant raté quelques épisodes de l’aventure
numérique, n’est-il pas plus prudent ?

***

Les pièges les plus fréquents

Le faux contact
Lorsque vous recevez un appel, un SMS, un courriel, une sollicitation par
un réseau social, d’un organisme ou d’une personne ou, d’une façon plus
générale, lorsque vous êtes exposé à un contenu qui ne fait pas partie de vos
habitudes, soyez vigilant à bien identifier votre interlocuteur car les signes
d’une arnaque imminente sont là.
Le faux service
Un faux technicien se propose d’actualiser votre antivirus et en profite
pour s’emparer du contrôle de votre ordinateur.
La fausse administration
Tellement plus pratique de régler ses impôts avec un opérateur bien gentil
qui vous a contacté pour vous aider à devenir un cyber-papi ou cyber-
mamie.
Le faux courriel
Un courriel avec deux liens : le premier, très tentant type gain conçu pour
hameçonner vos données (phishing) ou infecter directement votre
ordinateur ; et le second, un lien de désabonnement, pour s’assurer, si vous
cliquez dessus, que vous êtes bien un courriel actif à pirater.
La fausse romance
« Je t’aime mais cela va coûter un peu d’argent, mon amour. »
Un prêt, un virement, parfois pour des personnes uniquement croisées sur
Internet.
La fausse bienfaisance
De faux sites ressemblant à s’y méprendre à ceux d’associations réelles,
pour récolter vos dons. Dans ce cas ne donnez pas suite à la sollicitation
cyber et allez de vous-même sur le site officiel à partir de votre moteur de
recherche.
Le faux cadeau
Il y aura, hélas, des frais à payer pour obtenir ledit cadeau (par exemple,
une magnifique tablette).
Le faux investissement
La même opération, sauf que le cadeau c’est la rentabilité garantie de
votre investissement, toujours avec les frais à régler avant.

Le faux médicament
C’est un produit incroyable pour maigrir en trois jours mais il faut,
comme d’habitude, payer pour s’inscrire au programme capable de réaliser
ce miracle. Des faux témoignages viennent renforcer ces belles promesses
de santé et de bonheur.

La fausse enchère
L’objet convoité vous revient d’après le vendeur puisqu’il n’y a plus
qu’un enchérisseur, vous. Le vendeur vous incite alors à négocier en dehors
du site jusqu’à ce qu’il encaisse votre argent et disparaisse.

La fausse identité
Votre identité piratée par hameçonnage va servir à contracter des crédits
que vous devrez payer sans avoir vu la queue d’une cerise.
Le coup de main financier
Un inconnu vous propose de partager une somme d’argent qu’il ne peut
pas toucher, sauf si vous acceptez de lui transmettre vos coordonnées
bancaires et de lui reverser la somme, moins votre commission, qu’il vous
fera envoyer à votre nom, lui ne pouvant pas encaisser directement cet
argent tombé du ciel. Vous avez compris quelque chose ? Non, c’est normal,
personne n’a jamais rien compris, mais pourtant il y a bien eu des victimes
et cette arnaque est même devenue un classique du genre.

***
Les solutions les plus simples

Méfiance, méfiance
Vous êtes bloqué devant votre écran, vous avez cliqué partout et plus rien
ne se passe, la consigne est la même que devant un distributeur automatique
de billets, n’écoutez pas les conseils d’inconnus, ne laissez pas l’accès à
votre machine sans vérifier l’identité de votre bon samaritain, surtout à
distance.

Sécurité renforcée
Actualisez et paramétrez la sécurité de vos « Oui-Oui » à l’aide de tous
les chapitres de ce livre.

Paiement comme d’habitude

Utilisez les méthodes de paiement classiques des sites d’e-commerce.
Évitez les méthodes « trop exotiques » qui n’ont été promues par aucune
source sérieuse.
Mot de passe au coffre
Traitez vos données personnelles (mots de passe, coordonnées
bancaires…) comme s’il s’agissait d’argent à ne pas laisser traîner, à moins
que vous comptiez vous les faire voler.

Rien ne sert de se hâter

Ne prenez aucun engagement dans l’urgence, celui d’une transaction
téléphonique par exemple, pressé par le bagout du vendeur. Une décision
d’achat, cela se réfléchit.
 On attaque les démocraties
et tous les citoyens sont concernés

Confiant dans les principes démocratiques de votre pays, vous avez glissé
un bulletin dans l’urne. Votre candidat n’est pas parfait, vous en êtes
conscient, mais il est le moins éloigné de vos convictions et vous l’avez
choisi après une longue réflexion. En sortant de l’isoloir, vous êtes fier
d’avoir contribué à faire vivre cet édifice que les hommes ont mis des
siècles à édifier : la démocratie. Ce que vous ne savez pas, c’est qu’une
campagne de désinformation orchestrée depuis l’étranger a cherché durant
de nombreux mois à influencer et manipuler votre opinion.
Ces scénarios, encore imaginaires il y a quelques années, sont devenus
aujourd’hui d’inquiétantes réalités. Plusieurs élections majeures ont été
victimes d’actes de déstabilisation, en France et aux États-Unis par
exemple. Le processus est à chaque fois le même. Pendant les campagnes
électorales, pour des raisons géopolitiques ou mafieuses, des informations
confidentielles sont volées, trafiquées, afin de discréditer les candidats.
Que des pays tiers s’immiscent dans la vie politique d’alliés ou
d’ennemis, ce n’est pas une nouveauté. Ce qui est nouveau, c’est la
visibilité de ces manœuvres clandestines, dynamisées par les nouvelles
technologies. Les opportunités d’interférer et les tentations de prendre des
avantages décisifs dans le cadre des échanges internationaux ont multiplié
les affaires autant que leur révélation, pour certaines d’entre elles.
L’affaire Echelon (un système d’interception massive des
communications privées et économiques mis en place secrètement par cinq
pays : les États-Unis, le Royaume-Uni, le Canada, l’Australie et la
Nouvelle-Zélande) révélée par le journaliste Duncan Campbell, donne une
idée, désormais documentée par les travaux 1 du Parlement européen, des
risques encourus par nos démocraties.
 Echelon, selon le rapport du parlement publié sous l’égide d’une citation
de Juvénal, Sed quis custodiet ipsos custodes (mais qui gardera les gardiens
d’eux-mêmes ?), n’a peut-être pas été en mesure, pour des raisons
techniques, d’intercepter toutes les communications. Son champ d’action a
été contraint à l’analyse d’une quantité réduite de communications. Mais
Echelon a néanmoins été utilisé pour intercepter les télécommunications
d’entreprises européennes, au motif de la lutte contre la corruption
internationale. Des informations qui ont pu être utilisées pour fournir des
avantages aux entreprises américaines.
À ce propos, la philosophie de nos alliés est explicite. William Webster,
un ancien directeur de la CIA, en a précisé la nature : « Nos alliés politiques
et militaires sont aussi des rivaux économiques et les capacités d’un rival
économique à créer, capturer ou contrôler des marchés dans l’avenir ont des
implications en matière de sécurité pour les États-Unis. » Difficile d’être
plus clair.
Un message parfaitement reçu par nombre de pays. Sachant que d’autres
États possèdent des systèmes d’interception analogues, l’Europe a
finalement rattrapé son retard en matière d’armes cyber, notamment avec
des « moyens de défense offensifs ». De son côté, la France s’est dotée d’un
armement adéquat, sous le contrôle du ministère de la Défense, pour mener
des cyberattaques en cas d’agression. De plus, chaque année, pour lutter
préventivement contre les cyber-menaces, l’agence nationale de la sécurité
des systèmes d’information (ANSSI) et ses quatre cents agents environ ont
contribué et contribuent activement à former les ressources nécessaires, à
instruire les incidents majeurs et à publier une documentation technique de
choix.
Partout dans le monde, la cyber-menace est devenue une priorité.
Du côté de l’OTAN, face aux opérations de la Russie et de la Chine, les
États-Unis ont proposé à leurs alliés l’utilisation de leurs ressources de
guerre électronique offensives et défensives. Ces débats ont contribué à
esquisser quelques « bonnes pratiques » entre les membres du pacte, qu’une
interception de communication en dehors d’un État ne se réalise qu’avec le
consentement de l’État ciblé, souverain en son pays. En Europe, le cadre
juridique s’appuie sur la convention européenne des droits de l’homme : «
Toute personne a droit au respect de sa vie privée et familiale, de son
domicile et de sa correspondance. » Un État peut toutefois procéder à une
interception des communications mais pour des motifs précis mentionnés
dans la Convention. La Cour européenne des droits de l’homme signale que
les États ne sauraient prendre unilatéralement, au nom de la lutte contre
l’espionnage et le terrorisme, n’importe quelle mesure.
Pourtant, les observateurs n’ont pas manqué de souligner un écart
important entre les possibilités légales, les intentions affichées, et la réalité
des pratiques. À ce titre, les anciennes affaires ne manquent jamais de
ressembler aux nouvelles. « J’ai toujours eu de très bons contacts avec la
National Security Agency (NSA) à Washington. Elle vérifie régulièrement
nos systèmes (de chiffrement) pour voir s’ils sont bien verrouillés et s’ils
sont correctement utilisés », déclarait Desmond Perkins, l’expert chargé du
chiffrement des communications à la commission européenne, à propos de
l’affaire Echelon, lors des auditions du Parlement. Évidemment, la
découverte d’un système d’écoute du réseau téléphonique et Internet à
proximité des bureaux permettant aux représentants des pays de passer des
communications protégées, avec un branchement vers un site contrôlé par la
NSA, situé au quartier général de l’OTAN à Bruxelles, n’arrangeait pas
vraiment le crédit accordé aux déclarations des États en matière de respect
de la vie privée et de la souveraineté des états.
Mais nous n’avions rien vu. Les révélations d’Edward Snowden, ancien
consultant de la NSA et ancien agent de la CIA, sur l’existence de
programmes de surveillance généralisés, n’avaient pas encore été faites. Et
jusque-là personne n’avait imaginé les captations des communications
téléphoniques dans les avions, les aspirations des flux de données des
câbles sous l’Atlantique, les ciblages des ingénieurs des opérateurs
téléphoniques avant l’infiltration des routeurs, les vols des clés de
chiffrement des cartes SIM du constructeur Gemalto, pour suivre les
conversations des portables, les écoutes des conversations des chefs d’État,
des membres des délégations des Nations unies, des ONG comme Médecins
du monde, etc. Des milliards de données électroniques captées tous les
mois.
Du bon travail en quelque sorte.
Et ce n’est pas terminé. Américains et britanniques, main dans la main,
NSA et GCHQ, piégeaient automatiquement les routeurs américains qui
font transiter l’information que l’on retrouve chez les opérateurs, dans les
locaux techniques des entreprises ou chez les particuliers (les boîtes
Internet). La NSA avait également accès aux serveurs de géants du Web
comme Facebook, Google et Microsoft. Les documents de Snowden
révélaient la capacité de la NSA à écouter l’intégralité des communications
d’un pays. De quoi s’interroger sérieusement sur l’avenir de nos
démocraties et sur notre capacité à résister à une possible manipulation de
masse, aussi insidieuse que puissante.
Les faits sont là. Pas un pays en capacité de mener des actions cyber ne
s’en prive. Les États-Unis, l’Angleterre, la France, etc., mais aussi les
autres, la Russie et la Chine en particulier, qui ne restent pas les bras croisés
malgré les erreurs menant à des arrestations et à la révélation d’épisodes
compromettants de ces combats des titans de demain.
Dernièrement, quatre membres du GRU, le renseignement russe qui
abriterait des groupes de pirates informatiques (APT28, Fancy Bears,
Sofacy, etc.), ont été mis en examen par le renseignement militaire
néerlandais (MIVD). Sur la plage arrière de leur véhicule, camouflé, tout
l’équipement informatique pour compromettre le réseau Wi-Fi d’une
organisation pour l’interdiction des armes chimiques (OIAC) enquêtant sur
l’empoisonnement à l’agent neurotoxique de l’ex-agent du KGB, Sergueï
Skripal. Des accusations absurdes selon les autorités russes, en réaction à
l’expulsion de ses ressortissants pris la main dans le sac.

À chaque pays ses méthodes

En Chine, les États-Unis soupçonnent depuis plusieurs années un
piégeage informatique très en amont, à la construction des ordinateurs, ce
qui n’est pas idiot compte tenu de la présence sur le territoire chinois de la
quasi-totalité des usines de fabrication du monde. Une société, Super Micro
Computer, un des leaders mondiaux de la construction des cartes mères,
aurait livré du matériel infecté par des nano-puces réservant un accès
clandestin à distance, placée sous l’influence musclée d’une unité de
l’Armée populaire de libération. Des serveurs utilisés par Apple et Amazon
auraient été touchés, malgré un démenti des deux sociétés.
Mais si voulez la suite de l’histoire, il va falloir être patient. Les enjeux
de la sécurité informatique posent plus de questions qu’ils ne fournissent de
réponses. Quel est le rôle de la surveillance de masse ? Est-ce que les
activités de renseignement des pays se limitent au contre-terrorisme ?
Luttent-ils contre l’émergence de nouvelles opinions ? Et ont-ils les moyens
de faire taire les leaders de demain ? Quel est le prix à payer pour faire face
à la menace cyber ? Faut-il sacrifier nos libertés ?
 Qu’un général, directeur de la NSA, chef de l’US Cyber Command,
explique les bienfaits des dispositifs de surveillance relève de la pure
communication. Avertir les leaders américains des événements
potentiellement critiques à partir de l’analyse des informations collectées ou
se défendre contre l’espionnage étranger ne constituent pas en soi de
surprises particulières. Président, Barack Obama dira que les programmes
de surveillance des États-Unis ont été officiellement autorisés et que
personne n’écoute les conversations téléphoniques des Américains, seules
les métadonnées sont analysées, comme les numéros et les dates d’appels.
Tout le monde se réjouit de voir un complot portant atteinte à la sécurité
intérieure déjoué. Et tout le monde se réjouit de voir son camp gagner. C’est
la face de la pièce de l’enjeu cyber la mieux éclairée. En revanche, la partie
sombre n’évoque pas l’opacité des mécanismes de contrôle de ces
dispositifs de surveillance, aujourd’hui omniprésents. Dans le cadre de
PRISM, le programme de surveillance électronique de personnalité hors des
États-Unis, à peine sait-on que les analystes doivent entrer des mots-clés de
recherche atteignant une probabilité de la nationalité étrangère de la cible
au-dessus de 51 %. Mais, d’une façon générale, peu importe le pays, les
raisons sont toujours bonnes pour défendre son armement et ses budgets.
L’équation est aussi financière, sachant que la réelle valeur au sens de
leur efficacité n’est pas définitivement fixée. Des doutes subsistent. Les
nombreuses données à traiter déclenchent des « faux positifs », c’est-à-dire
des alertes nécessitant une analyse humaine. Et les interventions humaines
ne sont pas gratuites. Les détracteurs de ces programmes aux coûts
pharaoniques – 500 milliards sur dix ans pour les États-Unis depuis le 11
septembre – ne se privent pas pour indiquer l’obtention possible de résultats
équivalents avec des moyens de renseignement traditionnels, beaucoup
moins intrusifs pour la vie privée. Mais, aux yeux des spécialistes de la
surveillance électronique, l’intelligence artificielle gommera à terme ces
défauts.
Le débat est ouvert. Et pas près de se refermer, le temps que les citoyens
se rendent compte de la complexité du sujet, des rapports de force entre les
pays, des coopérations utiles, le patron de la DGSE a remercié dans un
courrier le directeur de la NSA pour l’identification et la localisation des
ravisseurs de deux journalistes français enlevés en Irak, des intérêts
divergents un temps, puis à nouveau synchrones. La position des
Américains sur les rançons est de ne pas les payer. Elles entretiennent le
terrorisme. Sur le sujet, l’État français est plus nuancé et réagit au cas par
cas.
Tous les cas de figure sont à envisager pour aborder le sujet de la sécurité
informatique. Même l’idée que les services de renseignement français
auraient établi une coopération étroite depuis longtemps avec « un
opérateur de télécommunication majeur », selon les services de
renseignement britanniques, pour accéder sans contrôle aux flux de données
des clients dudit opérateur. Ou que plus de la moitié de la population
américaine jugeait normal, après les événements du 11 septembre, de
disposer des outils pour surveiller n’importe qui, n’importe quand.
N’oublions tout de même pas qu’il serait tellement dommage que le
réseau Internet, faute d’un débat public éclairé sur les enjeux de nos
activités numériques, devienne une zone de non-droit, le refuge des
cybercriminels, indifférents aux principes du respect de la vie privée et
d’une souveraineté numérique nationale et européenne, internationale.

***

Les pièges les plus simples, ou presque

Le brouilleur embrouillé
Dans le cadre d’une réunion stratégique, rassuré par l’activation d’un
brouilleur, un conseiller laisse son téléphone allumé. Compromis, celui-ci a
permis à un groupe aux intérêts douteux d’accéder a posteriori à
l’enregistrement de la réunion.
Le super cadeau USB
À l’occasion d’une conférence, un conseiller ministériel se voit offrir une
clé USB qu’il connecte à son ordinateur professionnel. La clé hébergeait un
programme malveillant de type rançongiciel. Automatiquement chiffrées,
les données stockées deviennent inaccessibles. Seul le paiement d’une
rançon permettrait au conseiller de les récupérer, sans certitude cependant
sur leur restitution une fois le versement de la rançon effectué.

Le casse du siècle à 50 milliards d’euros

L’arnaque connue sous le nom de CumEx, « avec » et « sans » en latin,
avec l’aide de l’État et sans les impôts, a rapporté sur quinze ans cinquante-
cinq milliards d’euros aux escrocs payés par les fiscs de plusieurs états
européens, nos impôts donc, en ce qui concerne le territoire français. Des
banques, des fonds de placement, des courtiers et des avocats ont
joyeusement abusé de cette complexe martingale basée sur le principe fiscal
de non-imposition des dividendes des propriétaires étrangers d’actions de
sociétés françaises. Ceux-ci, par un jeu de mouvements d’actions échangées
sur une courte période entre complices, se faisaient rembourser par l’État
français des impôts qu’ils n’avaient pas payés et que l’État n’avait
évidemment pas perçus. Grâce au caractère simultané, numérique et
prolifique de ces échanges d’actions d’un pays à l’autre, les fiscs européens
n’étaient plus en mesure d’identifier les réels propriétaires des actions.

Sauvons la planète, pas la taxe carbone

Lorsque la France annonça l’ouverture d’un marché des quotas sur
l’émission de carbone par les entreprises, Blue Next, les escrocs familiers
de la TVA se précipitèrent sur cette aubaine, les 20 % à récupérer dans les
caisses de l’État. Le marché était ouvert à toutes les sociétés et instituait une
TVA sur les quotas carbone. En quelques clics, les escrocs récupèrent la
TVA sur chaque transaction avant de faire disparaître leurs sociétés aux
noms exotiques tels que Label 5 Great Luck International, International
Conqueror, Enthousiasm for Life, servant de couverture à des activités très
immatérielles, complètement inexistantes en fait. Un milliard d’euros payé
par les contribuables.
Les coulisses électorales
En pleine campagne présidentielle, l’avant-veille du scrutin pour être
précis, le contenu de six boîtes courriels de responsables du mouvement «
En marche » a été piraté et mis en ligne, à la disposition de la curiosité des
internautes. C’était à eux de se débrouiller pour y retrouver, entre les
factures de taxi et de sandwich, l’information compromettante qui ferait
exploser la popularité du candidat Macron. La méthode de déstabilisation
employée consistait à faire passer ces documents anodins pour une source
émise par un lanceur d’alerte, alors qu’il s’agissait d’un piratage de données
avec de faux documents au milieu des vrais, immédiatement relayés sur les
réseaux sociaux à la façon d’une traînée de poudre. Sauf que le baril n’a pas
explosé, car ce n’était pas un « Macron Leaks », juste des « fake news »
relayés par les réseaux sociaux et les sites apparentés à l’extrême droite
américaine.

Cyber-armement de la NSA à vendre

Lorsqu’un groupe de hackers, The Shadow Brokers (les courtiers
fantômes), met en vente un armement cyber d’une unité d’élite de hacker de
la NSA, Equation Group, et bien que cela ne fasse pas très « élite » pour les
victimes, il reste néanmoins inquiétant d’apprendre que n’importe quel
amateur peut acquérir sur le darknet le dernier cri des logiciels de prise de
contrôle à distance de votre ordinateur, le cheval de Troie United Rake pour
n’en citer qu’un, avec un manuel de l’utilisateur fort pédagogique. Rien
n’est dit sur la façon d’installer les implants de la NSA telle que la prise de
contrôle de votre caméra d’ordinateur (Gumfish) ou de votre micro
(Captivated Audience), mais il est certain que cette simple offre ne risque
pas d’arranger les statistiques des hameçonnages ou le coût de dégâts
comme ceux provoqués par le rançongiciel Wannacry, dopé par les
informations de The Shadow Brokers, publiées sur plusieurs vulnérabilités
de Windows.

Nos amis sont les amis de nos amis, parfois

Avant le Brexit, au milieu de négociations commerciales stratégiques,
notamment du traité transatlantique de libre-échange, aidé d’une arme cyber
développée par la NSA, le Government Communications Headquarters
(GCHQ), le bras cyber des services secrets britanniques, a espionné les
communications des institutions européennes (commissions, parlements et
délégations gouvernementales des États membres) compromettant le réseau
de Belgacom, l’opérateur de téléphonie belge. Le premier mouvement a été
de repérer les responsables Belgacom à partir de données Facebook,
LinkedIn, et autres réseaux sociaux, afin d’infecter leurs machines et de
compromettre de l’intérieur, dans un second temps, les serveurs du réseau
Belgacom.
Terroriste depuis sa prison
Prolixe sur les réseaux sociaux en matière d’apologie du terrorisme, le
prédicateur déversait ses diatribes sur les réseaux sociaux depuis sa cellule
de prison. Malgré l’utilisation de cartes SIM prépayées et de l’usage de
nombreux Smartphones, les services de Police ont réussi à remonter la
source de ces contenus violents : quinze mois de prison ferme
supplémentaires pour apologie du terrorisme et provocation directe à un
acte de terrorisme.

Des vulnérabilités remarquées dans les systèmes de vote numérique

aux États-Unis.
Malgré les contrôles récents dans les États de Washington et de Caroline
du Nord, il serait possible de supprimer des bulletins de vote, ou des noms
d’électeurs, et de dépasser les exigences d’authentification sur le système
d’inscription des électeurs qui choisissent de voter par correspondance. Un
attaquant pourrait ainsi effacer des demandes de bulletins, qui n’arriveraient
donc jamais par la poste chez l’électeur en question. Des garanties avaient
pourtant été formulées par les États concernés.

Le Pentagone met en place un dispositif de contre-attaque cyber

contre la Russie
Le renseignement américain et le Pentagone se sont mis d’accord sur les
modalités d’une contre-attaque cyber possible dans l’éventualité où la
Russie s’immiscerait dans le processus électoral. Le plan prévoit l’accès
aux systèmes d’information russes nécessaires à la mise en œuvre rapide du
plan. Cette autorisation permet l’approbation de contre-mesures par les
chefs militaires et du renseignement, parfois sans l’accord du président.

***
Les solutions les plus simples

Identifiez et soutenez les sources fiables

Utilisez et soutenez financièrement les sources d’information fiables,
abonnez-vous à des médias, en ligne ou non, tels que Le Canard enchaîné,
Le Monde, Le Figaro, Mediapart, etc. Ne perdez plus votre temps sur les
sites d’informations aux sources difficilement identifiables (actionnaires
inconnus, modèle économique incompréhensible). Facebook, Twitter,
Snapchat ou YouTube ne sont pas des sources d’information en soi. Les
publications peuvent venir de sources réputées sérieuses comme
d’internautes mal intentionnés ou négligents. Installez dans votre navigateur
le plug In « Decodex » du journal Le Monde pour évaluer la fiabilité des
sources lors de votre navigation Internet.

Quand les rumeurs circulent, la peur s’y engouffre.

Ne relayez pas les rumeurs. Vérifiez-les sur des sites qui ont fait leur
spécialité de les chasser 2.
L’information circule très vite. Souvent elle est erronée, voire manipulée,
partiale, ne présentant qu’une partie de la réalité. Mais dans tous les cas,
quelle que soit sa valeur, elle trépigne, impatiente de poursuivre sa route,
comptant sur vos réflexes pour la transférer à votre carnet d’adresses. La
réactivité peut aussi devenir un fanatisme. Ne soyez pas son bras !

Soutenez les initiatives visant à collecter et partager une

information qualitative.
Les organisations citoyennes et humanistes sont nombreuses – Reporters
sans Frontières, Wikipédia, Human Rights Watch, Amnesty International,
WWF (Fonds mondial pour la nature), etc. – et les besoins financiers
dépendent des dons individuels pour une très grande part.

Méfiez-vous comme de la peste du vote électronique

 La centralisation des résultats facilite les bidouillages, tout comme
l’usage des machines dont il est très difficile de garantir l’absence de
corruption. La démocratie n’y survivrait pas, même pour un scrutin de
moindre importance, car tout vote implique le respect des fondamentaux
démocratiques.

Encouragez les projets informatiques de l’État et surveillez leurs

coûts
Même si « la dématérialisation de l’administration est inhumaine et
brutale », comme l’explique Dominique Pasquier auteur de l’ouvrage
L’Internet des familles modestes : enquête dans la France rurale (Presse
des Mines, 2018), les usagers ne sont pas contre la dématérialisation. Les
coûts des programmes informatiques de l’État doivent être surveillés et les
compétences internes formées en permanence et valorisées, pour éviter des
surcoûts à venir. La numérisation (e-démocratie, e-administration)
nécessitera de plus en plus d’investissements et le travail en réseau des
administrations et de leurs organismes rattachés sera la clé de la réussite.

Achetez des livres à vos enfants et aidez-les à décrypter

l’information
Apprendre à lire et à s’informer correctement est un enjeu stratégique
pour demain : l’éducation à l’information. Instaurez un rituel culturel avec
un passage à la bibliothèque le samedi matin ou l’abonnement à un
magazine.

Soyez prêt à accueillir ou apporter de nouvelles solutions face aux

nouveaux problèmes de l’Internet (même si pour cela il faudra faire un
effort et changer vos habitudes), à condition que le remède ne soit pas pire
que le mal. La France souhaite relancer les négociations sur la paix dans le
cyberespace. Le discours du président de la République française lors du
Forum sur la gouvernance de l’Internet est annonciateur de l’Internet de
demain. Construisons ensemble l’Internet de demain. Le texte de l’Appel de
Paris pour la confiance et la sécurité dans le cyberespace est en fin
d’ouvrage.
Les cinq extraits suivants sont tirés du discours d’ouverture :
Le réseau est menacé dans ses contenus ainsi que dans les services qu’il procure. Parce que la liste
des pathologies du Net s’allonge de jour en jour, parce que le terreau sur lequel ont germé les
printemps démocratiques, les mobilisations pour le climat, ou pour les droits des femmes, nourrit
du même engrais le développement des organisations criminelles et la propagande du terrorisme.
Et aujourd’hui, soyons lucides, nous parlons davantage de l’Internet en parlant de ces menaces
que nous ne voyons des révolutions démocratiques formidables se propager par celui-ci. […]
Aujourd’hui, quand je regarde nos démocraties, Internet est beaucoup mieux utilisé par les
extrêmes, par les discours de haine ou par la propagation des contenus terroristes que par
beaucoup d’autres ; c’est une réalité, on doit la regarder en face. Et aujourd’hui, les interstices
d’ailleurs… nos propres faiblesses sont utilisées beaucoup mieux que nous-mêmes par les régimes
autoritaires, qui utilisent ces leviers pour pénétrer dans les démocraties, essayer de les affaiblir,
quand ils les ferment chez eux. […]
Nos gouvernements, nos populations ne vont pas pouvoir tolérer encore longtemps les torrents de
haine que déversent en ligne des auteurs protégés par un anonymat devenu problématique. Nous
sommes en cette fin d’année 2018 à un tournant : non seulement Internet est menacé, mais
Internet commence à être décrit lui-même par certains comme une menace, singulièrement dans
les sociétés démocratiques. Et il faut faire attention à une coagulation possible entre le discours de
régimes autoritaires, qui ont toujours vu Internet, par essence, comme une menace, parce que
c’était une façon d’ouvrir les sociétés civiles, et les anticorps démocratiques qui sont en train de
voir le jour parce que cet espace n’est pas dûment régulé. […]
Le réseau enfin est menacé dans ses idéaux et ses valeurs. Parce que la tentation existe, via la
remise en cause du principe de neutralité du Net, d’introduire un biais dans l’accessibilité des
contenus par les utilisateurs, parce que les plates-formes géantes risquent de ne plus être de
simples gateway ou passerelles, mais des gatekeepers ou gares de triage, contrôlant à leur profit
les données personnelles de leurs membres ou les contenus qu’elles mettent en avant. […]
Et je crois qu’une des erreurs que nous sommes en train de commettre, ce serait, au nom de la
neutralité, de céder à une forme d’indifférenciation dans les contenus. Ce serait au nom de la
neutralité de renoncer à l’universalisme des valeurs que nous portons depuis le début et qui ont
fait ces lieux. Et je crois que c’est une limite conceptuelle que nous n’avons pas intégrée dans
notre réflexion collective à ce stade, et qui a fait qu’au nom de la liberté, on a laissé avancer à
visage découvert tant d’ennemis de la liberté ; on les a laissés entrer dans tous nos systèmes, en
faisant croire qu’ils avaient les mêmes droits que les autres, alors qu’ils foulaient aux pieds tout ce
qui nous avait rassemblés et tout ce qui avait permis à l’Internet de se déployer.
 Mais qui a pris le contrôle de mon ordinateur ?

Un consensus des utilisateurs s’est construit au fur et à mesure du

déploiement des nouvelles technologies de l’informatique autour de
l’importance de la sécurité et de la protection des données. Très
curieusement, plus le numérique a pris de l’importance, plus la prise de
conscience de la nécessité de protéger ses données et ses machines a pris
corps dans les esprits, sans pour autant devenir un réflexe au quotidien. Les
utilisateurs connaissent l’existence du problème mais pas les réponses à
leurs questions, notamment sur les hommes et les femmes qui font
l’actualité du piratage, et la réelle teneur de leur motivation.
Les hackers fascinent.
Ils savent exécuter ce que le commun des mortels est incapable
d’envisager. Leur connaissance (comprendre et parler le langage des
machines) est rare, très recherchée car leurs talents servent aussi à sécuriser
les systèmes. Dans ce cas, il s’agit de « hackers éthiques » qui interviennent
lors de la construction des systèmes, en phase de test final. Leur rôle est
alors de s’assurer de la robustesse de la solution, que toutes les failles ont
bien été supprimées. Très souvent, ils révèlent des situations désastreuses en
matière d’« architecture de la sécurité ». Il manque systématiquement des
mesures de sécurité pour implémenter le Privacy by design, c’est-à-dire
l’intégration de la protection de la vie privée dès la conception telle que
promue par le RGPD.
Les hackers n’ont pas tous fait de grandes écoles.
Ils sont en quelque sorte la revanche de David contre Goliath. Du point
de vue des entreprises privées ou publiques, ils sèment la zizanie en
révélant des secrets ou en participant à la composition de virus pernicieux et
destructeurs. Du point de vue des citoyens, ils peuvent révéler des
informations utiles. Dans ce cas, le hacker devient un lanceur d’alerte.
Edward Snowden est l’exemple le plus connu, et il a fait des émules. «
Reality Winner », une Américaine de vingt-six ans, a révélé les tentatives de
piratage des registres des électeurs lors de la présidentielle américaine de
2016 par les Russes. Elle s’est fait attraper alors qu’elle faisait des
photocopies de documents confidentiels dans les bureaux de l’Agence
nationale de sécurité (NSA) où elle travaillait. Il semble que les
photocopieuses aient remonté une alerte. Le lendemain, la police était à son
domicile.
Agissant seul, pour le compte de groupes mafieux ou au service
d’entreprises privées ou étatiques, la frontière départageant les différents
types de hackers est en constante évolution. Il y a ceux qui protègent les
systèmes, aident à en renforcer les défenses, et ceux qui tentent d’exploiter
leurs vulnérabilités à des fins délictueuses. Tous ne sont pas des virtuoses
de la technologie. Parfois, il suffit d’un rien pour tromper la vigilance des
utilisateurs, un clic inopportun sur un message pour gagner un voyage ou le
dernier Smartphone en vogue. On parle d’ingénierie sociale quand l’attaque
exploite la « psychologie humaine ». Des techniques anciennes sont mises
au goût du jour. Un « cheval de Troie » consiste non pas à déposer un
cheval de bois au pied d’une forteresse, mais à déposer une clé USB piratée
dans le parking d’une entreprise. Ce sont des attaques peu fréquentes. Elles
ne permettent pas de multiplier les occasions de contrôler des machines en
adressant en même temps à des milliers de cibles potentielles un courriel,
un SMS ou une adresse de site Internet.
Enfin, il y a les hackers repentis. C’est le cas des pirates à l’origine du
ransomware TeslaCrypt, un logiciel de racket qui chiffrait les données de
ses victimes. Donner de l’argent contre la clé de déchiffrage des fichiers
était la seule alternative des victimes jusqu’à ce que les concepteurs livrent
publiquement la clé en s’excusant d’un laconique : « Nous sommes désolés
! » Depuis, la clé a été ajoutée aux outils des sociétés d’antivirus permettant
de lutter contre les ransomwares. Mais, pour appréhender la complexité des
modes opératoires, le mieux est encore de suivre les hackers sur le terrain,
sachant que certaines informations du rapport d’investigation d’intrusion
mené avec l’aide de hackers éthiques ont été modifiées afin de préserver
l’anonymat des victimes.

Premier éclairage : De l’Internet clandestin (darknet) aux

Anonymous
 La clandestinité est un business parfois florissant. Sur Internet, cela a
donné naissance à des sites d’e-commerce pour acquérir des produits
illégaux (drogues, armes) connectés à un réseau préservant l’anonymat des
vendeurs et des acheteurs. Des affaires fructueuses si l’on en juge les
estimations faites à ce sujet, autour du milliard de dollars de transactions
environ, de préférence en bitcoins, la cryptomonnaie dont les propriétaires
sont des codes cryptés aux mains de ceux qui les détiennent, tout
simplement. À ce propos, la difficulté de la traçabilité de ces
cryptomonnaies, bitcoin, Ether et autres, participe au succès des
transactions du darknet. Surtout depuis que des services de « mixage »,
comme la Bitcoin Laundry (les transactions sont mélangées en plusieurs
adresses d’utilisateurs pour encore plus d’anonymisation), ont été mis en
place.
Cependant, ce ne sont pas des affaires qui se mènent sans risque.
Récemment une opération de police a fermé Silk Road, le plus célèbre des
sites de vente de produit illégaux, ainsi que AlphaBay, 400 000 produits
dont plus de la moitié sont des drogues, et le site Hansa. Les responsables
de ces sites prélevaient une commission sur chaque transaction, qu’ils
faisaient transiter sur des comptes installés dans des paradis fiscaux. Avant
leur arrestation, ils avaient accumulé des fortunes de plusieurs dizaines de
millions de dollars.
L’Internet clandestin (darknet) est la partie de la toile la moins connue du
grand public. Il s’agit d’un réseau de machines isolées et de contenus non
référencés par les moteurs de recherche classiques tels que Google, Bing et
Yahoo ou leurs concurrents locaux comme Baidu en Chine et Yandex en
Russie. L’autre caractéristique est le mode de navigation qui facilite
l’anonymat. Parfait pour les personnes souhaitant agir discrètement pour
trafiquer des armes, de la drogue, des coordonnées bancaires ou des images
pédopornographiques pour citer quelques sinistres exemples. Mais il est
aussi utilisé par les internautes qui ont besoin de rester anonymes pour
défendre leurs opinions (dissidents, journalistes d’investigation, lanceurs
d’alerte, membres de la communauté LGBT aux pratiques sexuelles
interdites dans certains pays). Reporters sans frontières, une organisation
non-gouvernementale, défend et promeut cet usage qui « sauve » des vies.
Le réseau TOR est l’outil le plus utilisé pour se connecter à l’Internet
clandestin. L’anonymat est facilité à travers des mécanismes visant à
masquer derrière trois « nœuds » la véritable adresse IP. C’est le routage en
oignon (« The Oignon Routeur »). Le réseau TOR compte plus de deux
millions d’utilisateurs et environ 60 000 sites clandestins, dont la moitié
serait hors la loi. Ainsi, l’activité commerçante liée aux outils de la
cybercriminalité (logiciel malveillant, kit d’exploitation de botnet, RAT) sur
le site AlphaBay comprenait 75 000 inscriptions.
Un hacker se prétendant membre du groupe Anonymous a revendiqué
avoir piraté Freedom Hosting II, un hébergeur majeur de l’Internet
clandestin, gérant 10 à 20 % des sites undergrounds. Son étude a révélé que
50 % des sites, avant d’être effacés par l’attaque, étaient des émetteurs de
contenus pédopornographiques.
Après la cyberattaque, les visiteurs étaient salués par un message : «
Bonjour Freedom Hosting, vous avez été piraté », signalant le décalage
entre leur politique affichée d’une tolérance zéro sur la pornographie
infantile et leurs nombreux contenus pédopornographiques en ligne.

Deuxième éclairage : Privacy of Miss Teen USA

L’atteinte à la vie privée n’a pas de frontière. Dans le cadre d’une enquête
lancée par le FBI à partir des informations collectées sur les agissements
d’un citoyen américain, William Hogue, créateur d’un des outils de prise de
main à distance, le RAT (Remote Access Tools), ayant impliqué les policiers
d’une vingtaine de pays (Australie, Belgique, Canada, Chili, Croatie,
Danemark, Estonie, Finlande, France, Allemagne, Italie, Pays-Bas,
Moldavie, Slovénie, Suède, Suisse, et Royaume-Uni), plus de 500 000
ordinateurs ont été compromis à travers une centaine de pays.
L’outil portait bien son nom de rongeur, RAT. Appelons plutôt cela un
logiciel malveillant, la traduction du terme malware. Le terme de virus est
devenu désuet tant le code est aujourd’hui polymorphe. Un malware est un
code ou un logiciel malveillant. La particularité de RAT était son faible coût
à l’achat sur Internet (de 50 à 100 dollars) et sa facilité d’utilisation, prise
de contrôle des caméras, ransomwares, saturation des sites Web, lecture des
touches saisies sur les claviers, comme les données personnelles de type
carte bancaire. Une vraie boîte à outils !
Pour réussir leur méfait, le groupe de hackers qui utilisaient l’outil de
William Hogue amenait leurs victimes à cliquer sur un lien piégé transmis,
selon la désormais classique technique de l’hameçonnage. Le logiciel
apportait une aide pour conquérir de nouvelles victimes en adressant le lien
piégé à partir du réseau social de la première victime. Il s’assurait une
propagation rapide en utilisant les réseaux sociaux et les messageries
instantanées.
Miss Cassidy Wolf, une des Miss Teen USA, en a fait les frais. Avec le
RAT, une de ses connaissances a activé le contrôle de la caméra de son
ordinateur et a pris des photos dénudées de l’adolescente. Le hacker a
essayé de la faire chanter, en vain : il a été inculpé de dix-huit mois de
prison pour avoir essayé d’obtenir d’autres images de l’intimité de la jeune
fille.
Ceci étant dit, il est très difficile d’évaluer la réalité des dégâts
occasionnés par le RAT. De nombreuses années se sont écoulées entre le
moment où ce programme démarra sa funeste carrière et où les services de
police purent ouvrir l’enquête, se coordonner avec Europol (European
Police Office) et Eurojust (unité de coopération judiciaire de l’Union
européenne) et d’autres pays, pour obtenir les premiers résultats. Les
condamnations touchèrent de nombreux responsables, d’un simple
détenteur convoqué par la police au coupable de la diffusion internationale
du logiciel. Quoi qu’il en soit, la présence du RAT est maintenant détectée
par les bibliothèques des logiciels de sécurité tels que les antivirus.

Troisième éclairage : Stuxnet ou la première arme cybernétique

sophistiquée
Vous avez aimé le RAT. Vous adorerez Stuxnet, sans doute l’une des
premières armes cybernétiques conçue par les États-Unis et Israël, avec
l’objectif de neutraliser furtivement le développement de l’arme nucléaire
iranienne. Sa cible était les centrifugeuses d’uranium. Stuxnet provoquait
des vitesses anormales des centrifugeuses qui s’usaient prématurément. Le
logiciel était prévu pour fonctionner tous les quinze jours afin de ne pas être
détecté et poursuivre sa tâche de destruction aussi discrète que certaine. Il
avait la particularité d’exploiter plusieurs failles inconnues du fabricant et
de la communauté, on parle de Zero day 1, et d’avoir utilisé les sociétés de
maintenance comme vecteur d’infection à travers leurs clés USB. Environ
20 % des centrifugeuses iraniennes auraient été neutralisées par ce procédé.
Un chiffre approximatif car, dans ce domaine, la statistique n’est jamais
fiable à 100 %.
 À cette époque, et c’est encore le cas aujourd’hui, il était assez difficile
d’attribuer un programme informatique à un État. Les auteurs étaient
identifiés par déduction car les candidats ayant la capacité de déployer un
tel programme étaient peu nombreux. C’était la première fois qu’un logiciel
ciblait des infrastructures de contrôle en utilisant le langage de
programmation des automates, jusqu’à ce jour assez éloigné des
préoccupations cybernétiques. D’un coup, le monde s’est réveillé nu.
C’était il y a une dizaine d’années à peine. Chaque État comprit la
vulnérabilité de l’ensemble de ses infrastructures. S’il était possible de
commander un automate sans que les capteurs détectent une anomalie, il
était possible d’empoisonner un château d’eau en neutralisant les capteurs.
Depuis, la France a lancé des programmes pour sécuriser ses
infrastructures vitales : l’alimentation en eau, les transports, l’énergie, la
santé, l’aéronautique, les centrales nucléaires, le contrôle d’accès aux
ministères… Autant de systèmes où les automates pullulent, de plus en plus
proches du réseau Internet à travers les systèmes de télémaintenance. Des
efforts considérables ont été menés pour éviter que l’insouciance fasse
dérailler un tramway à cause du bidouillage du système d’aiguillage par un
adolescent irresponsable. Ce scénario n’est pas tout à fait imaginaire car il
est survenu en Pologne. L’adolescent polonais avait réussi ce méfait en
reprogrammant une télécommande de télévision. Il n’y eut que douze
blessés légers.
La course à l’armement numérique et à sa guérilla collatérale – il faut
bien tester ses créations – venait de commencer, en l’absence de débats
citoyens sur l’impact possible de ces armes sur notre quotidien. Mais c’était
avant que certaines armes développées par des États ne se retrouvent entre
les mains de cybercriminels.

Quatrième éclairage : Les bugs bounty ou la prime à la

récompense
Les bugs bounty sont des opérations visant à mobiliser les communautés
de hackers en leur offrant une récompense à la suite d’une découverte de
vulnérabilités non identifiées par la communauté (Google a déjà versé deux
millions de dollars de primes à quelque trois hackers). Le risque est de voir
un hacker découvrir une vulnérabilité pour la revendre ensuite au plus
offrant.
 Les entreprises ont également le moyen de réunir une équipe de hackers
éthiques, qui est la méthode de toute société sérieuse qui souhaite protéger
les données de ses clients. Avec un bémol cependant : comment s’assurer
que la personne à l’autre bout de la ligne est bien celle qu’elle prétend être ?
Une fois l’équipe de hackers mobilisée, des tests sont menés sur des cibles
ou à partir de scénario de risque, comme la porosité de l’accès aux données
personnelles des clients. Les hackers mandatés réalisent ensuite un rapport
et classent les actions prioritaires. Alors les ennuis commencent.
Si quelques jours sont nécessaires pour trouver les vulnérabilités et les
failles d’un système informatique, il faut des mois, voire des années, pour
corriger les failles en question, tant ces congénères sont interconnectés, liés
à une maintenance insuffisamment prise en compte en amont de leur mise
en activité. Et les personnes en charge sont prudentes quand il s’agit de
toucher un domino au milieu d’une composition de dominos.

Cinquième éclairage : Partez à l’assaut du réseau avec un hacker !

Accrochez-vous ! Nous allons suivre pas à pas le protocole du piratage
de MaKantine.
Aucun système n’est sûr à 100 %. Il ne suffit pas de le dire pour s’en
rendre compte, parfois on le découvre aussi en direct et cela peut devenir
coûteux. La société MaKantine, leader de l’approvisionnement des cantines
scolaires en France, s’en est rendu compte assez brutalement. Son
infrastructure informatique a été la cible d’une cyberattaque de pirates
bloquant pendant deux jours les commandes des milliers d’établissements
de la moitié du pays. Les équipes en charge des écoles concernées, de leur
propre aveu, se sont senties démunies devant la catastrophe.
Le serveur de MaKantine a été utilisé pour réaliser de la cryptomonnaie.
Les attaquants ont utilisé les ressources informatiques pour réaliser des
opérations gourmandes en microprocesseur, comme la création de
cryptomonnaie. Le serveur de gestion des commandes de MaKantine a été
connecté à un réseau mondial de machines comprenant onze millions
d’adresses uniques, afin de propager par un effet boule de neige le dispositif
malveillant de cryptomonnaie.
Ce réseau mondial de machines compromises est ce que l’on appelle un «
botnet », pour réseau de robots, ou un réseau de « machines zombies » car
les machines vont être utilisées à l’insu de leur propriétaire légitime. On se
demande comment cela est possible mais c’est plus simple qu’on ne
l’imagine. Les machines sont faites pour communiquer entre elles grâce à
leur carte réseau. Un peu comme un téléphone portable qu’il suffit
d’appeler pour entrer en communication. Elles sont conçues pour cela. Dès
que le mot de passe est découvert, il suffit d’ajouter l’adresse IP dans une
liste pour être en capacité de communiquer avec elle et des millions
d’autres.
L’analyse de l’incident a montré que l’impact aurait pu être beaucoup
plus important, toute l’informatique de l’entreprise étant centralisée et
mutualisée. Cette cyberattaque a toutefois affaibli l’infrastructure de
MaKantine, faisant prendre un risque aux données des enfants : nom,
prénom, photo, âge, adresse, numéro de téléphone des parents et régime
alimentaire. Plusieurs millions de données sur les écoliers ont été ainsi
exposées aux indiscrétions. Bien qu’aucun vol de données n’ait été détecté,
des zones d’ombre persistent, notamment l’effacement des traces laissées
par les attaquants.
La première chose à faire après un incident de sécurité est de récupérer
les traces pour comprendre ce qui s’est passé et rechercher les causes.
Il a suffi d’un compte inutilisé du serveur FTP (File Transfer Protocol),
d’un mot de passe faible et de l’obsolescence de certains composants. En
plus de ces manquements aux règles élémentaires de l’hygiène
informatique, les attaquants ont profité d’une récente erreur de paramétrage
puisque la liste de contrôle d’accès des adresses IP des partenaires avait été
désactivée par mégarde.
La première étape s’est faite vraisemblablement selon une cyberattaque
appelée « brute-force SSH par dictionnaire » qui consiste à tester les uns
après les autres tous les mots de passe d’un dictionnaire sur un compte de la
machine nommé « Administration ».
Les vagues de cyberattaque ont mobilisé quarante adresses IP au total,
impliquant plusieurs attaquants, qui n’étaient pas coordonnés car l’un
d’entre eux a modifié le mot de passe d’une machine pour éviter que
d’autres personnes en prennent possession.

Ce n’est pas tout. Une seconde cyberattaque, la plus importante, a priori

d’un hacker différent, a utilisé un autre compte installé par défaut sur la
machine. La méthode était similaire, pas les outils, et la cryptomonnaie était
également différente. Cependant, les étapes du mode opératoire étaient
proches :
1. Compromission :
La prise de contrôle total de la machine autorise la possibilité d’y
installer le logiciel de son choix.
2. Minage :
Les opérations de cryptomonnaie sont réalisées.
3. Téléchargement de fichiers utiles pour le pirate :
Il s’agit du kit avec les logiciels utilisés pour l’opération de piratage.
4. Propagation via SSH sur d’autres cibles :
Un grand classique des cyberattaques pour la création de botnet.
L’utilisation du protocole SSH.
5. Cyberattaque de type « SYN FLOOD » :
La machine de MaKantine devient auteur d’une attaque informatique par
saturation de requêtes sur d’autres machines.

Cette nouvelle intrusion touchant un autre compte de la machine a généré

plusieurs saturations. Mais c’est le hasard qui a permis la détection de
l’intrusion. MaKantine avait mis sous surveillance une ressource fragilisée,
un équipement de contrôle des flux de sécurité, qui devait être changé
depuis longtemps si la charge de la production n’en avait pas décidé
autrement. Il était donc paramétré pour déclencher une alerte en cas de
dépassement d’un seuil d’utilisation fixé à 80 %. Palier que l’attaque
franchit allégrement, provoquant un pic de charge qui déclencha l’alarme.
L’alerte passée, les spécialistes venus en renfort ne trouvèrent pas de
traces de propagation de l’attaque au reste du réseau de l’entreprise.
Toutefois, le dispositif de gestion des traces rendait difficile la
compréhension d’une telle situation par les équipes internes, qui signalaient
des compétences et des moyens insuffisants en interne pour assurer la
sécurité. En fait, il n’y avait personne dans l’entreprise dédiée à la gestion
de la sécurité. Ce sujet passait au second plan des préoccupations des
dirigeants de MaKantine.
Aujourd’hui, sonnée par ce réveil brutal, la direction souhaite davantage
protéger les données qui lui sont confiées en traitement. La complexité
réside dans l’adhérence entre le socle technique et le socle applicatif qui
freine la décision tant les investissements sont importants. Elle a établi une
fiche de poste de leur prochain gestionnaire opérationnel de la sécurité :
réaliser la veille sécuritaire, la gestion des traces, la gestion des correctifs en
préventif, le contrôle de l’application de la politique de sécurité, la gestion
des outils de sécurité et la détection, l’analyse et la remédiation des
incidents de type intrusion. Elle se demande même s’il ne faudrait pas
plusieurs personnes. Mais comment financer cet investissement alors que
les actionnaires attendent davantage de résultats depuis des années ? Le
nouveau Règlement général sur la protection des données (RGPD) vise à
renforcer la protection des données et assurer un haut niveau de fiabilité des
services. Il oblige les entreprises à informer les personnes dont les données
personnelles ont été divulguées, sous peine d’une lourde amende chiffrée à
4 % du chiffre d’affaires. Pour MaKantine, l’entreprise fictive qui
ressemble à tant d’autres, cela correspondrait à environ 5 millions d’euros.

***

Les pièges les plus fréquents

Le coup de la panne
Votre PC est en panne et vous accordez un droit d’accès à un technicien
de la maintenance que vous ne connaissez pas. En l’absence de chiffrement
de vos données, le technicien mal intentionné copie vos images qui, pour
les plus intimes d’entre elles, se retrouveront sur Internet.

S.O.S. dépannage
Des messages indiquant la présence d’un virus actif s’affichent sur votre
écran, assortis des coordonnées d’un dépanneur informatique. C’est
l’escroquerie au faux support technique afin que vous autorisiez la prise de
contrôle de votre machine et de son contenu. Le but est de vous extorquer
de l’argent après un dépannage fictif, si vous comptez réutiliser votre
machine et son contenu.

Une ville rançonnée

L’attaque du pirate a bloqué une grande partie des services informatiques
de la ville canadienne de Midland : courriels, paiements, titres de transport
ou encore émissions de permis divers. Après deux jours de blocage par le
ransomware, la municipalité a décidé de payer la rançon exigée en bitcoins,
précisant que cela restait le moyen le plus rapide de rétablir le système et
qu’une assurance avait été prise pour couvrir les frais de cet événement.

La vente en ligne détournée

Après un règlement Paypal, un vendeur livre en toute confiance à
l’adresse indiquée par l’acheteur le produit vendu. Quinze jours plus tard, le
paiement Paypal est refusé par l’acheteur qui a tout de même pris le soin de
récupérer le colis à l’adresse du complice, victime malgré lui de recel.

Romance rime aussi avec méfiance

Une petite annonce pour rencontrer l’âme sœur et vous voilà entre les
mains des escrocs à la romance qui, une fois votre profil psychologique
établi, vous réclameront de les dépanner car l’amour n’a pas de prix, surtout
à distance. Ça tombe bien, les solutions de transfert d’argent sans disposer
d’un compte bancaire ne manquent pas.

C’est arrivé près de chez vous

Un couple d’Américains devise tranquillement sans se rendre compte
qu’un mot de leur échange a déclenché l’enregistrement de leur
conversation par le robot Amazon en charge de la domotique de la maison
(réglage de la lumière, de la température, etc.), puis l’envoi du fichier son
de leur conversation aux contacts clients du carnet d’adresses de la maison.
Le système a interprété des fragments de leurs paroles comme des
demandes qui ont été traduites en action. Il s’agit d’une erreur, mais
imaginez ce que cela pourrait produire en cas de piratage.

***
Les solutions les plus simples

Parce qu’une trop longue liste de précautions a peu de chance d’être prise
en compte à large échelle, le FBI a restreint le nombre de recommandations
pour se protéger des pirates. Une philosophie de simplification reprise par
la CNIL, qui s’est assurée de rester accessible à tous les néophytes car elle
est le point de départ menant à une protection plus sophistiquée de nos
outils informatiques, impossible à réaliser sans la bonne volonté d’un
premier pas comme ceux décrits à la suite de ce paragraphe.
1. Utilisez une solution de sécurité de type antivirus et assurez-vous qu’il
est actif et à jour. Cette solution doit avoir une fonction « filtre anti-pourriel
» complémentaire à celle de la plupart des navigateurs contre les liens et les
sites suspects ;
2. Activez la mise à jour fréquente de vos systèmes d’exploitation et
navigateurs ;
3. Utilisez des mots de passe forts, efficaces contre les attaques par force
brute, c’est-à-dire qui consistent à calculer toutes les combinaisons
possibles de votre mot de passe jusqu’à la bonne. Plus votre mot de passe
sollicitera de grosses capacités de calcul, plus il sera capable de résister à ce
type d’attaque. Un mot de passe fort sera composé a minima de huit
caractères incluant des lettres minuscules et majuscules, des chiffres et des
caractères spéciaux. De plus, il est préférable d’utiliser un mot de passe
différent selon les usages et de gérer l’ensemble de ses mots de passe sur
une liste à mettre à l’abri, à travers un outil de gestion des mots de passe.
Un bon mot de passe est construit à partir d’une phrase. Exemple : « J’ai
faim trois fois par jour » devient, Gfaim3x/j. Il comporte à la fois majuscule
et minuscule, chiffre et symbole et fait plus de huit caractères.
Merci de ne pas utiliser celui-ci, il est déjà pris ! ;
5. Téléchargez vos logiciels exclusivement sur des sites de confiance, à la
notoriété établie, surtout pour des logiciels gratuits comme des jeux, des
programmes de partage ou des barres d’outils, qui peuvent servir d’appâts
pour installer des logiciels malveillants ;
6. N’ouvrez jamais les pièces jointes des courriels non sollicités, même
émis par un de vos contacts, peut-être lui-même piraté, et ne cliquez pas sur
un lien contenu dans ce type de courriel, même s’il vous semble sain. Il est
plus simple de vérifier sa validité en retrouvant le nom de l’organisation sur
Internet ;
7. Prévoyez dans un délai raisonnable un mécanisme de verrouillage
automatique de votre session en cas d’absence temporaire et quittez-la une
fois vos tâches accomplies ;
8. Limitez à l’indispensable l’usage des supports amovibles (clés USB,
disques durs externes), objets certes très pratiques mais trop souvent volés
ou perdus ;
9. Vérifiez régulièrement les sauvegardes de données faites en les
réactualisant, soit sur un disque dur externe soit sur un site en ligne. La
fréquence de ces sauvegardes est à déterminer en fonction de la valeur que
vous attribuez à vos données. Ne pas en faire est une façon d’accepter le
principe de tout perdre, en cas de ransomware, par exemple.
 La cybercriminalité au sein des entreprises

La cybercriminalité est passée d’un sujet réservé aux spécialistes à un

sujet incontournable pour tout le monde. Au quotidien, les affaires et les
victimes se succèdent faisant du risque cyber, incluant le cyber-crime, les
défaillances IT et les fuites de données, une actualité permanente.
Chaque année depuis sept ans, le premier assureur européen, la société
Allianz, interroge ses clients et les acteurs de l’assurance pour cerner les
risques pesant sur les entreprises. Le risque cyber est aujourd’hui à la
deuxième place au niveau mondial, juste derrière une interruption des
activités de l’entreprise liée à une rupture de la chaîne
d’approvisionnement. Asie, Amérique, Europe, quel que soit le continent, la
cybercriminalité est aux premières places des préoccupations. Presque tous
les secteurs sont concernés : aéronautique et défense, culture et média,
services financiers, produits manufacturés (dont l’automobile), énergie,
services liés à la confidentialité (les avocats), grande distribution et
commerce de gros, technologies et télécommunication. Même le secteur
agricole est concerné, dans la mesure où les technologies de pointe (objets
connectés, outils d’administration à distance, géolocalisation des machines)
sont de plus en plus adoptées pour la supervision des rendements des
grandes exploitations.
Mais toutes les entreprises ne sont pas égales face au risque cyber. Les
grandes et les moyennes capitalisations ont un interlocuteur dédié à la
cyber-sécurité. Près de 80 % pour des entreprises de plus de 1 000 salariés
selon le Club de la sécurité de l’information français (CLUSIF). Parfois
c’est une équipe entière, comme dans le secteur bancaire et dans la majorité
des grandes entreprises. Mais ce n’est pas une assurance tous risques pour
éloigner les menaces, car le panel des compétences requises pour se
défendre correctement est conséquent.
 Il y a le Responsable sécurité des systèmes d’information (RSSI), au four
et au moulin, depuis les feux à éteindre (les mesures correctives) et jusqu’à
faire tourner la roue de l’amélioration continue en promouvant
l’implémentation de mesures de sécurité (les mesures préventives) tout en
présentant des indicateurs lisibles à une direction générale ou une direction
informatique à laquelle il est de plus en plus rattaché. Le RSSI est un
incontestable leader de la démarche mais il ne doit pas être le seul à croire
dans le projet. Il s’agit d’un projet collectif où chacun à un rôle à jouer. À
défaut, il s’agira d’une démarche paravent et d’une forteresse de pacotille.
Le métier de la cyber-sécurité révèle une diversité de profils. Cette plongée
dans le quotidien d’une équipe de lutte contre les risques sécurité permet de
mieux comprendre pourquoi il y a autant de problèmes de sécurité et
comment les réduire. Contrairement à une idée reçue qui laisserait croire
qu’il suffit de fermer quelques portes, l’arme absolue n’existe pas. Il n’y a
ni marteau de Thor, ni bouclier de Wonderwoman. Tout est une histoire
d’organisation.
La maîtrise d’ouvrage sécurité, axée sur le management, généralement
pilotée par le RSSI, est en charge du « quoi faire » et du « pourquoi ». Elle
définit les besoins de l’entreprise et des projets en fonction des risques liés
au numérique. Elle a en charge d’animer l’acceptation des risques résiduels,
ce risque que l’entreprise est prête à prendre. Elle a également en charge le
référentiel de la politique de sécurité de l’entreprise (le « quoi faire »). Elle
s’occupe de sensibiliser à la cyber-sécurité les collaborateurs et d’encadrer
les sous-traitants de plus en plus nombreux. C’est un métier à la croisée de
plusieurs aptitudes, techniques, managériales et relationnelles.
Les maîtres d’œuvre sont en charge du « comment faire » le « quoi faire
». Plus axés sur les technologies, ce sont par exemple les architectes de
sécurité. Ils définissent les mesures techniques en les documentant. Ce qui
permet aux administrateurs de la sécurité de s’assurer du bon
fonctionnement au quotidien de ces mesures. Ensuite, les auditeurs
fonctionnels ou techniques scrutent la présence et l’efficacité des mesures.
Il y a également les veilleurs qui surveillent régulièrement les nouvelles
vulnérabilités ou alertes de sécurité.
Le collectif au service de la protection des données se renforce avec
l’Officier à la protection des données ou DPO (Data Privacy Officer) tel que
voulu par le nouveau règlement RGPD.
 Malheureusement, cette configuration d’équipe dédiée à la cyber-sécurité
reste rare. D’abord ce sont des ressources compliquées à recruter. La
demande est forte. Même l’armée américaine s’inquiète de voir ses effectifs
de développeurs, auditeurs en sécurité ou administrateurs systèmes, se
réduire faute de remplaçants pour combler les départs à la retraite. En
France, trop d’entreprises se contentent de quelques ressources, brouillant la
distinction entre les détenteurs du besoin et ceux de la mise en œuvre,
demandant aux uns de faire le travail des autres. Un peu comme si vous
donniez la truelle à l’architecte et la création des plans au plombier ou au
maçon, en demandant à tous de faire vite et bien. Dans les faits, les petites
et moyennes entreprises, qui représentent la moitié de la richesse produite
en France, sont trop souvent seules face au cyber risque.
Pourtant, la gravité du risque est clairement identifiée. Les autorités
européennes citent 4 000 offensives quotidiennes de logiciels rançonneurs
sur le territoire européen. On comprend que Bruxelles s’agite pour que les
États membres se préoccupent d’implémenter juridiquement sur un plan
national la directive « sur la sécurité des réseaux et des systèmes
d’information ». Des drames pourraient être évités aux PME, notamment
celles des secteurs technologiques (médical, numérique, industrie,
recherche…) qui se font souvent piller.
Lundi, un investisseur étranger vous sollicite pour devenir un actionnaire
partenaire de votre start-up. Mardi, vous déclinez cette offre peu crédible à
vos yeux. Une semaine plus tard, vos serveurs chauffent anormalement.
Vous êtes en train de vous faire siphonner vos données. Un courriel est
parfois plus redoutable encore. Un lien trop vite cliqué a conduit une société
de vente d’appareils électroménagers au bord de la faillite, le clic en
question ayant déclenché le chiffrement des fichiers des clients, de la
gestion des stocks et de la comptabilité.
Tout cela aurait pu être évité, à la condition d’investir, et c’est bien là tout
le problème : l’argent, ce nerf si sensible, est un des principaux freins, en
plus des contraintes organisationnelles et du manque de personnel qualifié.
À force de se concentrer sur ce qu’elles devraient payer pour renforcer la
sécurité sans regarder ce que leur ferait gagner une sécurisation de leurs
données et de leurs systèmes, inconscientes des risques à leur porte, les
entreprises s’affaiblissent à court et moyen terme. Les prix pratiqués par les
professionnels du secteur sont également un frein. Les salaires de la
profession se sont envolés et l’on peut se demander où cette course folle va
tous nous mener.
Les solutions paraissent non seulement coûteuses mais parfois trop
spéculatives, à l’encontre du pragmatisme à l’œuvre lorsque l’on préside
aux destinées d’une entreprise. Il peut y avoir un problème de
compréhension entre les dirigeants et les experts en sécurité, appliqués à
anticiper des risques à la probabilité faible, comprise comme trop faible en
regard de la dépense faite pour l’éviter. Ceci étant dit, un programme de
gestion des droits d’accès aux applications, de détection et de réaction aux
intrusions, de classification des données, d’analyses des risques projets et
d’évaluation des mesures de sécurité représente un investissement à long
terme, raison pour laquelle il est difficile de sécuriser des systèmes sans un
budget et un solide appui de la direction.
Le responsable sécurité théorise les risques, c’est une part de son métier,
car un risque qui n’est pas théorique est un risque avéré, un incident. Et si la
liste de solutions « ratisse large », ce n’est pas pour étaler ses compétences,
mais simplement pour ne rien oublier, même lorsque cela pose un problème
au chef d’entreprise, la capacité à investir dans la prévention étant limitée
par définition. Seule la direction générale peut réaliser ces arbitrages et
exiger un plan d’action opérationnel.
Le défi est là : dans un premier temps, réduire le risque à coût modéré, le
maîtriser en développant les compétences de l’entreprise en matière de
cyber-sécurité, à savoir les bonnes pratiques élémentaires relatives à la
protection des serveurs, au poste de travail et aux données. Pour simplifier
la tâche des PME, la confédération des PME en collaboration avec
l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a
publié douze règles 1 essentielles pour sécuriser ses équipements
numériques. Une fois ce cap franchi, l’entreprise a toujours la possibilité de
tenter l’escalade des quarante-deux mesures standards du guide d’hygiène
informatique 2 publié par l’ANSSI.
Les risques sont partout et protéiformes, inattendus ou si simplets que
l’on peine à y croire, comme ce membre de la direction d’un groupe
d’édition dont l’ordinateur fut volé sous le nez d’une assistante. « Vous êtes
de la maintenance informatique ? », demanda-t-elle par habitude. Le voleur
opina du chef et fila avec la machine sans demander son reste. Une autre
entreprise découvrait à la suite d’une cyberattaque par rançongiciel que la
cassette de sauvegarde de ses données n’avait pas été enclenchée comme
cela aurait dû l’être, immobilisant d’un coup ses activités. Une faiblesse aux
lourdes conséquences.
La règle d’or est d’anticiper les erreurs internes, les malveillances à la
suite de départ d’un collaborateur sur fond de crise, les failles
technologiques et la réaction à enclencher à chaque intrusion. L’État a
d’ailleurs ouvert une plateforme, cybermalveillance.gouv.fr, de mise en
relation des entreprises avec une sélection de prestataires spécialisés dans
les cyber-attaques. En sécurité, une suspicion d’incident doit être traitée
dans le processus d’incident et une vulnérabilité est considérée comme un
incident.
Pour ceux qui hésitent encore à enclencher une démarche, il suffit
d’imaginer l’impact lorsque votre informatique est bloquée ou que vos
informations sont divulguées.
À chaque fois que l’informatique de cette organisation sensible
connaissait quelques tracas, un général prenait un malin plaisir à passer
nous voir pour souligner que « l’informatique, ça ne marche jamais » ! La
réponse était systématiquement la même : « Nous sommes heureux de vous
entendre dire qu’elle est importante pour vous, mon Général. »
Une liste synthétique des dix principaux risques, qu’il conviendra de
mettre à jour avec l’évolution des menaces, pourrait être la suivante :
1. Risque de rançongiciel par suite d’un clic dans un courriel ;
2. Risque d’une arnaque type fraude au fournisseur ou au président ;
3. Risque de code malveillant, d’intrusion (à cause de logiciels non à
jour) et de vol de données sensibles ;
4. Risque d’erreur lié à une défaillance du système d’information
(coupure Télécom) ;
5. Risque de défiguration et interruption du site Web ;
6. Risque d’utilisation d’une ressource exposée sur Internet pour de la
cryptomonnaie ;
7. Risque lié à une absence de sauvegarde ou à un plan de reprise
inopérant ;
8. Risque lié à une erreur interne à la suite d’un manque de procédure et
de sensibilisation ;
9. Risque d’intrusion physique dans les locaux dans un but de
malveillance ;
10. Risque de vol, perte et accès aux données d’un matériel nomade
comme un ordinateur portable ou un téléphone portable.
 Ces conseils donnés aux PME sont aussi un piège. Sous prétexte de les
aider, il s’agit aussi d’une manière de leur faire porter une responsabilité
qu’elles n’ont pas à endosser. En quoi sont-elles responsables des lacunes
de sécurité des outils technologiques, des services Cloud et de la menace
que représentent les groupes mafieux ? Environ 19 000 nouvelles failles de
sécurité ont été découvertes cette année dont plus de la moitié son qualifié
de « critiques » ou de « très graves ». À quand l’appel des PME qui
représentent 75 % de l’emploi en France pour un soutien renforcé de la part
de l’État ? Quelle est l’offre de l’État pour les aider concrètement dans ce
combat ? Ces patrons n’ont pas encore pris conscience que la tâche était
impossible pour eux tant la montagne à gravir est haute. Ils en sont à la
phase de culpabilisation. Comment voulez-vous négocier de façon
équilibrée les clauses de sécurité d’un contrat avec un acteur leader du
Cloud quand vous êtes une PME ? Je n’arrive pas à me résoudre à l’idée
que chacune de ces PME affronte seule la menace alors qu’il pourrait être
envisagé des alliances et davantage de soutien de l’État.

Il existe un second piège qui consiste à croire que la tâche est simpliste et
qu’il suffit de dix recommandations dans un rapport. Ce serait aussi simple
que de faire appel à un hacker éthique qui identifie vos failles exposées sur
Internet. La démarche de sécurité est une véritable opération de gestion du
changement, d’approche de la culture d’entreprise et d’évolution des
méthodes de travail collectif. La principale clé réside dans la capacité de
l’organisation à comprendre la profondeur du défi et à y apporter une
réponse pérenne avec des efforts continus. Tout le monde est prêt à ce que
les autres fassent des efforts mais quand il s’agit de modifier son propre
comportement ou de ralentir de quelques minutes les processus de
l’entreprise, c’est une autre affaire. Nous rencontrons des chefs d’entreprise
pleins d’enthousiasme sur le principe mais rechignant dès qu’un impact sur
l’organisation est identifié. Combien de démarches de sécurité se sont
arrêtées aux portes des PME ? Allez chez le médecin de façon préventive
n’est déjà pas dans nos habitudes de Français, alors suivre les prescriptions
médicamenteuses préventives… Lors de nos interventions en entreprise,
avec les collègues, nous proposons très rapidement des évaluations,
diagnostics, plans d’action et indicateurs. Mais ensuite, pour ma part, je
souhaite avoir un discours de vérité. Même avec tout cela nous rencontrons
des difficultés à faire progresser rapidement les niveaux de maturité de
sécurité globaux. Les freins sont trop nombreux et se révèlent le plus
souvent au fil de l’eau : coût, délai, compétences, objectifs non prioritaires
dans les fiches de mission, perte de motivation, charge de travail et
épuisement des équipes, faiblesse dans la gouvernance, méthodes de travail
collaboratives hasardeuses, rumeurs – jeux d’influence et circuit décisionnel
non transparent, interopérabilités des systèmes, manque de sensibilisation
aux enjeux… Combien d’organisations sont capables de déployer à partir de
rien un programme « Privacy By Design » qui consiste à insérer les bonnes
pratiques de protection de l’information sensible dès la conception d’un
nouveau projet IT ? Nous identifions les ambassadeurs de la sécurité, les
chefs de projet, les sponsors et les équipes de soutien, en les éveillant aux
enjeux et en les responsabilisant. Nous demandons qu’il leur soit octroyé un
droit à l’erreur pour prendre des initiatives car, pour obtenir quelque chose
de nouveau, il faudra bien faire ce qui n’a jamais été fait. Sans cela, les
rouages sont bloqués, les problèmes cachés au management et les
opportunités non saisies. Peu de directeurs ont le courage de prendre le sujet
à bras-le-corps et d’en faire une mission d’entreprise. Un directeur avait
tout compris quand il usait de cette formule devant chaque poche résistance
: « La sécurité a un coût, mais l’absence de sécurité coûte bien plus. »

***

Les pièges les plus fréquents

Rumeur presque fatale
Un communiqué de presse adressé à quelques rédactions et agences
habituellement en charge de l’activité du groupe Vinci et de son cours en
Bourse, signé du vrai nom de la responsable des relations presse mais avec
une erreur dans le numéro de téléphone, et une fausse adresse de site
Internet « vinci.group » au lieu de « vinci.com », annonce le licenciement
du directeur financier pour cause d’erreurs comptables dans les précédents
bilans, un couac à hauteur de 3,5 milliards d’euros. En quelques minutes,
une fois la nouvelle diffusée, le cours en bourse dévisse de 19 % de sa
valeur, soit une perte de sept milliards. Puis un faux démenti parvient aux
mêmes interlocuteurs. Trop tard, le cours remonte mais pas exactement au
même niveau. Le doute s’est installé malgré tout. Les enquêteurs
privilégieront la piste d’une manipulation à des fins politiques, le groupe
Vinci étant engagé dans plus de cent pays et divers projets, dont certains
controversés (aéroport landais).
Les Yes Men
À ne pas confondre avec les activistes Andy Bichlbaum et Mike Bonanno
qui, depuis plus de vingt ans, munis des armes de la dérision et de la
provocation, ont érigé l’activisme antilibéral au rang d’art. Ces Yes Men-là
ne sont pas drôles, plutôt les victimes dites de « la fraude au président ». La
veille d’un long week-end, généralement dans un contexte économique ou
social compliqué, l’escroc adresse un faux courriel au directeur financier
doublé d’un appel téléphonique à la voix pouvant être revisitée par
vocodeur, pour exiger en tant que président un virement justifié par une
offre publique d’achat (OPA) très importante. L’urgence, la confidentialité,
la bonne connaissance de la psychologie des protagonistes, le respect
hiérarchique, la technicité des outils (courriel, enregistrement vocal du
responsable) transforment le directeur financier en « Yes Man », « Oui, M.
le président ». Mais ne vous y trompez, ces arnaques aux allures d’un
mauvais film de James Bond ont été à l’origine de millions d’euros
détournés.

Intrusion épistolaire
Un important cabinet d’Audit et de conseil a été victime d’une attaque
persistante avancée, c’est-à-dire de l’infiltration et de l’installation au long
cours d’un pirate dans un des systèmes de l’entreprise, en l’occurrence il
s’agissait de la plateforme de courriers électroniques externes et d’une
attaque furtive qui a duré plusieurs mois. C’est embêtant de découvrir qu’un
inconnu a lu toute votre correspondance professionnelle, quand votre métier
est fondé sur vos capacités à conserver confidentielles les données que vous
êtes amenés à traiter.
Le maillon faible
Un salarié qui détient la possibilité de choisir son mot de passe, sans
avoir été formé aux règles de la mise en place d’un mot de passe fort, peut
décider de choisir ses initiales suivies des chiffres de sa date de naissance,
et d’appliquer sa « trouvaille » à l’ensemble de ses comptes (courriel privé
et professionnel, Smartphone, ordinateur, etc.), créant une faille de taille
dans le réseau de son entreprise. Le pirate n’aura aucun mal à retrouver sur
la page Facebook la date de naissance de sa cible et de tester ce type de
combinaison, initiales + dates, basique pour un expert en abordage
(hacking). En matière de sécurité informatique, c’est souvent en voulant se
simplifier l’existence que l’on est assuré de la compliquer.
La double peine
D’abord le piratage des données de milliers de comptes clients, pouvant
être utilisées pour d’autres actions illégales comme l’hameçonnage – il n’y
a pas de raison de se gêner, puisque le dernier rapport de la menace liée au
numérique publié par le ministère de l’Intérieur faisait état d’un Français
sur deux qui continuerait à répondre au courriel façon hameçon. Tant que ça
mord, le pêcheur reste sur zone, c’est bien connu. Le second temps, qui
n’est pas incompatible avec le premier, est d’utiliser les données comme
monnaie d’échange avec la victime, en lui faisant payer une rançon contre
la récupération de ses informations et les explications pour corriger la faille
de sécurité à l’origine du piratage.
Attention aux fuites
Un haut dirigeant d’une entreprise du CAC 40 se fait voler son ordinateur
personnel dans le coffre de sa voiture. Sur la machine se trouvait
l’intégralité de ses contacts professionnels, information que la victime
signale aux autorités, et que la presse reprend à la manière d’un fait divers
mettant à mal l’image de marque de l’entreprise.
On trouve tout sur Internet
Même des kits pour pirates amateurs sans expertise particulière cherchant
à attaquer une entreprise. Car le darknet met à disposition des RAT, les
outils d’administration à distance, des crypteurs de malware, des RaaS
(Ransomware as a Service) sur des plateformes de location de rançongiciel,
tout ce qui est nécessaire pour devenir un cybercriminel en quelques clics.
Dans le plus grand cynisme, le cyber-crime s’est organisé à la façon d’une
start-up toujours soucieuse d’améliorer son modèle économique. La
dernière offre serait une répartition des gains, 30 % pour le concepteur du
logiciel de piratage qui s’occuperait de le télécharger et 70 % pour celui qui
mènerait l’attaque. Et si les cyber-armes vous tentent, le groupe The
Shadow Brokers, du nom d’un personnage de jeu vidéo de science-fiction,
Mass Effect, a toujours à votre disposition le dernier cri d’un arsenal de la
National Security Agency (NSA).

On n’est plus chez soi

Un appel d’offres de la plus haute importance pour l’entreprise.
Consciencieux, le cadre qui supervise l’opération emporte chez lui tout le
dossier sur une clé USB. À son domicile, son ordinateur privé est
compromis par un pirate qui intercepte les nouvelles données et fait échouer
le projet en communiquant ces informations confidentielles à la presse.

Plus c’est confidentiel, plus ça rapporte

Selon l’étude d’un directeur de recherche au Massachusetts General
Hospital’s Center for Quantitative Health à Boston, le siphonage préféré des
pirates est celui des bases de données des compagnies d’assurances maladie
(63 %). Il faut dire qu’elles font un travail formidable de collecte
d’informations personnelles avant de contracter avec leurs assurés. À
revendre, ces données qui se comptent en centaine de millions sont celles
qui ont le plus de valeur.
Pirate estudiantin
L’irrésistible attrait pour obtenir de bonnes notes a poussé un étudiant à
louer un serveur OVH afin de pirater celui de son école en utilisant les
identifiants et les codes d’accès d’une employée de l’établissement durant
son absence. Ce sont les traces de la modification des quatre fichiers de
notes qui ont déclenché une enquête et la découverte de logs de connexion
menant droit au serveur loué par l’étudiant, alors confondu.

Les hommes et les femmes font la sécurité

La directrice des systèmes d’information du département de la Défense
(DoD) US a déclaré lors d’une audition que l’administration militaire avait
perdu plus de 4 000 de ses profils professionnels sur la dernière année, dont
des auditeurs de sécurité. Afin de contenir ces pertes, l’administration
militaire prévoit notamment de revoir la grille salariale. Si l’armée la plus
puissante du monde lance un cri d’alarme, qu’en est-il des autres ?

***
Les solutions les plus simples

Il existe différentes approches pour les entreprises qui souhaitent mettre

en place ou renforcer leur sécurité informatique. Elles se résumaient en
quatre pratiques essentielles et abordables. Ce sont les quatre piliers d’une
politique réussie de sécurisation informatique :
1. Le premier pilier implique de pouvoir assurer des réponses concrètes
aux équipes impliquées dans la numérisation de l’entreprise ;
2. Le second pilier est d’être en capacité de définir et de promouvoir les
bonnes pratiques adaptées à l’entreprise. C’est un document, référentiel
sécurité, à établir sur les sujets les plus évidents : mot de passe, sauvegarde
des données, déplacement à l’étranger, procédure en cas d’intrusion, etc. ;
3. Le troisième pilier consiste à évaluer régulièrement l’écart entre les
règles établies de sécurité et les pratiques du terrain, ce qui permet
d’améliorer son référentiel ;
4. Le quatrième et dernier pilier est la capacité à arbitrer les moyens
financiers et humains à allouer à sa sécurité informatique, pour obtenir des
résultats mesurables.
Vous pouvez aussi rejoindre un des groupes de travail du Club de la
sécurité de l’information français (CLUSIF 3), membre du réseau cyber-
malveillance 4. Ou vous lancer dans la mise en place du standard de
référence, la norme ISO 27001, une démarche fondée sur l’amélioration
continue. Sans entrer dans le détail, cette norme recommande la mise en
œuvre de mesures de sécurité techniques et organisationnelles (une centaine
de mesures) pour faire face aux risques liés à la technologie et aux usages.
Mais ce sont des démarches plus abordables par les grands groupes qui
disposent d’une équipe pluridisciplinaire pour instruire la question de la
sécurité sous la conduite d’un responsable sécurité des systèmes
d’information (RSSI) ou responsable Cyberdéfense.
Pour les entreprises de taille plus modeste, la Confédération générale des
petites et moyennes entreprises (CGPME) a publié douze règles simples de
sécurité numérique à mettre en place :
1. Choisir avec soin l’ensemble de ses mots de passe ;
2. Mettre à jour régulièrement le parc logiciel ;
3. Bien connaître utilisateurs et prestataires ;
 4. Effectuer des sauvegardes régulières ;
5. Sécuriser l’accès Wi-Fi de l’entreprise ;
6. Être aussi prudent avec son Smartphone, sa tablette qu’avec son
ordinateur de travail ;
7. Protéger ses données lors de ses déplacements ;
8. Être prudent lors de l’utilisation de la messagerie ;
9. Télécharger les programmes sur les sites officiels des éditeurs ;
10. Être vigilant lors d’un paiement sur Internet ;
11. Séparer les usages personnels des usages professionnels ;
12. Prendre soin des informations personnelles, professionnelles et de son
identité numérique.
 Sommes-nous au bord du cyber-chaos ?

Les objets connectés s’installent dans nos vies doucement mais sûrement.
Bientôt leur nombre devrait dépasser le ratio de trois objets pour un
individu (une trentaine d’objets connectés d’ici 2020 d’après le très sérieux
cabinet McKinsey). Cela peut démarrer par une enceinte réactive à la voix,
qui lance votre musique préférée sur un ordre de votre part. Ou par des
imprimantes proposant de commander sur Internet automatiquement des
cartouches d’encre, à l’approche de la pénurie, afin que vous ne tombiez
plus jamais en panne. Ou encore par l’équipement de votre réfrigérateur de
capteurs automatiques de l’information sur les produits à disposition,
toujours dans l’idée de lancer des commandes en ligne quand le beurre ou le
lait viennent à manquer. Sans oublier l’aspirateur qui traque la poussière de
vos lieux de vie et se recharge automatiquement sur une borne.
Peu à peu la « maison intelligente » s’installe, au moyen de commandes
vocales et manuelles, avec pour objectif de faciliter la gestion du confort, de
la sécurité et des communications. Si vous vous équipez d’une montre
connectée à votre Smartphone, la promesse est faite de vous informer de
votre rythme cardiaque, de votre tension, du nombre de pas effectués dans
la journée ou de la qualité de vos cycles de sommeil.
Les compteurs Linky du gestionnaire Enedis ont réveillé les habitudes
des Français. Ils permettent de relever à distance les données de
consommation d’un foyer. Les informations sont alors transmises par le
biais du courant porteur en ligne (CPL). Il n’y a pas de données
personnelles directement identifiables transmises, telles que le nom ou
l’adresse. La CNIL et l’ANSSI, références en la matière, accompagnent la
protection des données personnelles et la sécurisation des processus de
collecte et de transmission.
Et si vous ne vous êtes pas encore décidé pour une caméra, une machine
à café, un climatiseur, un radiateur ou un drone connecté au Wi-Fi, cela ne
va pas tarder. En espérant que la modeste, pour ne pas dire l’inexistante
sécurité informatique dont bénéficient pour l’instant ces objets, soit un
problème du passé. Une situation que vous devrez subir jusqu’à ce que les
industriels se décident à résoudre ce défaut.
Les premiers tests sur les caméras, le haut de gamme de l’offre, pourtant
des objets servant à des visées sécuritaires, ont rapidement révélé leurs
faiblesses. Un paradoxe pour du matériel de sécurité. Les fonctions
d’administration étaient accessibles sans mot de passe ou avec des mots de
passe « constructeurs », les mêmes pour toute la production. Il était donc
possible de contrôler ces caméras à l’insu de leurs propriétaires et ainsi de
récupérer les images filmées. Pire, comme dans un film d’espionnage, il
était possible de passer de fausses images sur les moniteurs de contrôle !
La caméra est un bon exemple pour illustrer les dangers des objets
connectés et de la multiplication des connexions entre les hommes et les
machines, elles-mêmes connectées à d’autres machines. C’est une
information peu relayée mais extrêmement importante pour comprendre la
notion de cyber-chaos, la plupart des industriels et des entreprises ont eux
aussi leurs systèmes connectés directement ou indirectement à Internet :
alimentations, transports, médias, infrastructures d’alimentation en eau et en
électricité, services administratifs, banques… Imaginez le jour où un virus
malin déclencherait une panne générale. Plus de café, ni de transports en
commun, ni de surveillance de certaines zones sensibles, tous les outils
électroniques, nos « Oui-Oui » du quotidien seraient temporairement à
l’arrêt. En mode « Non-Non ».
C’est une définition du cyber-chaos, situation vers laquelle nous nous
dirigeons inexorablement avec la multiplication des objets connectés dans
nos existences. Pas forcément un cyber-chaos total, à l’échelle de la planète,
mais à l’échelle d’un pays, sur des services essentiels et d’une durée
limitée, c’est une hypothèse à ne pas écarter.
En France, des compteurs électriques Linky connectés aux serveurs de
l’opérateur Enedis équiperont tous les foyers prochainement, afin de mieux
gérer la consommation électrique par foyer selon une directive européenne
de 2009. Ces compteurs seront des objets connectés piratables, comme tous
ceux de leur catégorie. Quoi que puissent déclarer les autorités sur le sujet,
ils représentent une faille de sécurité et une porte d’entrée intéressante à
étudier pour accéder frauduleusement à l’alimentation électrique de
millions de foyers.
 Aux États-Unis, ce sont des chercheurs de l’université de Princeton qui
se sont penchés sur ce type de problématique en menant des simulations
pour évaluer la faisabilité et les dégâts potentiels d’une attaque visant les
équipements des foyers : les chauffe-eau, les radiateurs numériques Q.rad et
les climatiseurs connectés à Internet via le Wi-Fi. Leurs identifiants (IP)
tiennent sur quelques caractères et le fichier numérique de milliers
d’adresses ne pèse que quelques kilo-octets.
Les chercheurs ont alors imaginé un réseau de machines zombies de
domestic intelligence, appelé les « Domilles », vendues sur le darknet. Lors
de l’attaque, en prenant le contrôle des équipements domestiques via ce
réseau constitué de machines piratées ou achetées à d’autres hackers, les
pirates provoqueraient une hausse subite de la consommation électrique. La
surcharge déclencherait les coupures de sécurité des lignes concernées,
reportant la charge sur d’autres lignes qui, à leur tour, satureraient et
entraîneraient une coupure. Et ainsi de suite. Dans le modèle utilisé par les
chercheurs, une augmentation de 1 % de la consommation électrique
provoquerait une panne de courant générale pour 38 millions d’habitants,
avec la prise de contrôle de seulement 210 000 climatiseurs ou 42 000
chauffe-eau.
La fragilité de nos infrastructures informatiques, sur lesquelles nous nous
appuyons de plus en plus dans notre quotidien, n’est pas un fantasme.
Certains en prennent conscience et réagissent, comme l’État de Californie
devenu le premier à disposer d’une loi sur la sécurité des objets connectés.
Dès 2020, les constructeurs devront équiper leur production connectée de
dispositifs sécurisés, c’est-à-dire de dispositifs empêchant les accès non
autorisés, la modification ou l’exposition de données. D’autres
organisations se contentent de participer à la prévention en dressant un état
des lieux pas vraiment optimiste.
Un rapport de la célèbre compagnie d’assurances Lloyd’s chiffrait le coût
d’une attaque informatique sur le réseau électrique américain à 1 000
milliards de dollars. Le scénario prévoyait la paralysie de quinze États
plongés dans le noir, ainsi que la ville de Washington, soit 93 millions
d’Américains sans électricité. Les impacts se traduiraient par une
augmentation de la mortalité due à la défaillance des équipements de santé
et de sécurité, à la paralysie des infrastructures de transport, à la diminution
des échanges commerciaux et à la rupture des approvisionnements en eau (à
cause de l’arrêt des pompes électriques).
 La cyber-panique nous guette, pour l’instant à des échelles modestes (300
000 ordinateurs infectés dans cent cinquante pays en quelques heures), mais
coûteuses. La propagation du virus Wanacry a été estimée à un milliard de
dollars. Ce rançongiciel bloquait les ordinateurs contre une rançon, 300
dollars en bitcoins, pour retrouver l’usage de ses données. Il exploitait deux
failles de sécurité de Microsoft Windows et un mécanisme de partage de
fichiers. Un seul poste contaminé, à la suite de courriels non sollicités ou de
visites de sites Web, suffisait à contaminer tout le réseau de l’entreprise. Et
le niveau et la qualité du chiffrement étaient tels qu’il n’était pas possible de
retrouver ses données, même pour des experts sécurité. Il a ainsi bloqué les
activités de nombreuses entreprises et administrations, dont le service de
santé britannique.
Le plus effrayant dans cette histoire, c’est la façon dont il a été stoppé
net, quasi par hasard, par un jeune chercheur en sécurité informatique qui
avait remarqué une URL du code (adresse Internet) dont il avait acheté le
nom de domaine, déclenchant, sans le savoir, une procédure de secours
prévue par les concepteurs du virus.
« Nous n’avions encore jamais rien vu de tel », a déclaré Europol,
l’agence européenne de police criminelle. Un tel cyber-chaos ou un avant-
goût de ce que pourrait être une cyber-panique générale ? Prudent, le
directeur de l’ANSSI privilégia une motivation criminelle et non étatique,
tandis que de nombreux pays désignaient la Corée du Nord comme
attaquant, sans étayer d’éléments techniques leurs affirmations.
Microsoft pointa d’ailleurs dans un communiqué la responsabilité de la
NSA : les failles utilisées par Wanacry étaient celles mises à profit par les
outils de piratage appartenant à la NSA et volées par le groupe The Shadow
Brokers. L’entreprise comparait ce vol d’arme numérique à un vol de
missiles Tomahawk, posant implicitement la question de la responsabilité
gouvernementale dans la protection de nos e-démocraties. La sécurité d’un
pays est-elle un projet à mener au détriment de celle de ses concitoyens ?
Le chemin sera long avant que les mentalités évoluent dans le sens d’une
coopération renforcée. Les consommateurs et les citoyens que nous sommes
ont le droit d’utiliser des systèmes informatiques en toute confiance et de
conserver la maîtrise de leurs données. Avec le Règlement général sur la
protection des données (RGPD), c’est aujourd’hui un droit affirmé avec
détermination. Mais de nombreux efforts restent à faire, pour que chacun
puisse réclamer à tous les acteurs impliqués des comptes sur son activité
numérique. N’oublions pas que l’essence même du principe des réseaux
c’est l’interconnexion permanente des systèmes entre eux et les utilisateurs.
Et si les choses sont bien faites, en cas de cyber-chaos, des solutions de
secours non-numériques devraient être envisagées très sérieusement.

Devant nos « Oui-Oui », nos rêves les plus fous prennent corps. Nous
menons mille vies : apprendre et perfectionner une passion, poursuivre la
gestion de son entreprise en déplacement, créer une chaîne d’information
(youtubeur) ou se détendre en s’immergeant dans des histoires racontées à
travers des films et des jeux vidéo. Nous communiquons avec plusieurs
personnes à la fois en des lieux différents. Nous l’avions rêvé. Le don
d’ubiquité a été créé. Le numérique a aussi quasiment supprimé pour
certaines professions l’épuisement physique de nos corps au travail.
Toutefois, nos cerveaux sont en ébullition permanente générant du stress
et des conséquences sur notre santé comme sur celle des organisations qui
amène à se préoccuper sérieusement du « bien-être » au travail collectif et
individuel. Nous « likons » en permanence. Notre cerveau doit réguler les
réactions hormonales de milliers de stimuli quotidiens. Est-ce qu’il fait la
différence entre la perception d’une menace à la survie, au bien-être et à
l’égo dans ces jeux numériques ? Est-ce que notre réaction est suffisante à
l’égard de notre perception des effets négatifs du numérique ? Comment ne
pas avoir peur et bâtir l’avenir avec confiance ?
Pendant que nous nous posons ces questions préalables à l’action, des
entreprises de premier ordre détectent des accès non légitimes dans leurs
réseaux qui semblent repérer les lieux. Mais pour faire quoi ?

***

Les pièges émergeant

Quand il n’y a plus d’eau

Un simple rançongiciel a bloqué le circuit de distribution d’eau d’une
ville de 70 000 habitants à Onslow en Caroline du Nord. Il fallait payer 23
000 dollars au pirate pour récupérer les données du système informatique,
serveurs et ordinateurs inclus. Une copie des données a toutefois permis de
reconstituer certains circuits. Le FBI et le Département de la sécurité
intérieure (DHS) ont ouvert une enquête.

Ni lumière, ni d’électricité
Un logiciel malveillant introduit chez un fournisseur d’électricité
ukrainien via un fichier Excel piégé a permis de donner un accès aux
attaquants. Ceux-ci ont pris la main sur les systèmes et désactivé trente
postes électriques à distance, plongeant près de 230 000 habitants de l’ouest
de l’Ukraine dans le noir durant plusieurs heures.
La banque
Le Fonds monétaire international (FMI) estime qu’une attaque cyber sur
le secteur financier mondial aurait pour conséquence une perte de 9 % de
leur bénéfice, soit jusqu’à 555 milliards de dollars. Bien qu’il s’agisse
d’estimation au doigt mouillé car il n’existe pas de centralisation des
incidents de sécurité aujourd’hui, en s’intéressant à ce sujet, le FMI apporte
une crédibilité à un tel scénario.

L’attaque qui compte

La cyberattaque internationale NotPetya a détruit les postes de travail de
ses victimes en moins d’une heure. L’épicentre était situé en Ukraine et les
dégâts ont été estimés à plus de dix milliards de dollars à travers le monde.

Mettre la clé sous la porte

Une PME de pièces détachées en électroménager de Clermont-Ferrand a
dû mettre la clé sous la porte après avoir été victime d’un rançongiciel qui a
bloqué l’accès à ses fichiers d’entreprise (base client, fournisseur, paye…).

Mirai ou « futur » en japonais

Le botnet Mirai a montré comment il pouvait contrôler des objets
connectés, 11 000 machines en une dizaine de minutes, à partir d’une faille
laissée béante par les fabricants qui attribuent souvent les mêmes mots de
passe faibles à leur production et ne diffusent pas les correctifs. Mirai
s’appuyait sur une liste de mot de passe pour s’emparer des machines de «
monsieur et madame Tout-le-monde » et constituer ainsi un réseau d’objets
connectés zombies prêts à attaquer leur cible, le fournisseur américain de
DNS Dyn, en le saturant de demandes de connexion, empêchant les sites
servis par le fournisseur de fonctionner normalement. Près de 600 000
machines (caméras, routeurs ou autres objets connectés à Internet) ont
généré des attaques simultanées paralysant Internet aux États-Unis pendant
plusieurs heures. Plus de 40 % des appareils infectés se situaient au Brésil,
en Colombie et au Vietnam, trois pays où ces objets connectés vulnérables
sont le plus présents.
La sécurité informatique des voitures connectées
Au volant de votre voiture connectée, vous êtes le maître à bord, enfin
presque, car les vulnérabilités critiques existent. Les composants liés à la
sûreté du véhicule et les données personnelles ne sont pas inviolables, loin
de là. Le Bluetooth, le GPS du véhicule, votre système d’accès et de
démarrage sans clé (Passive Key Entry System), identifié par les experts en
sécurité comme faillibles depuis une dizaine d’années, sont autant de portes
bénéficiant de modestes protections en regard des compétences actuelles
des pirates.

De la voiture connectée à l’homme connecté

Un employé mécontent peut représenter une faille de sécurité notable,
surtout lorsqu’il a accès à des données sensibles de son entreprise sur le
réseau interne. C’est l’expérience vécue par Tesla, le fabricant de voitures
électriques, qui s’est fait dérober des informations sensibles par un employé
à qui une promotion avait été refusée. Un préjudice qui rappelle la nécessité
de s’assurer de la sécurisation de tous les types de connexion, de machine à
machine et d’homme à machine.

L’info confidentielle d’Amazon rapporte

Malgré les systèmes de contrôle d’accès aux données de l’entreprise, son
trésor composé des coordonnées des clients et des vendeurs, de toutes les
habitudes des uns et des autres, Amazon a détecté des employés revendant
de leur initiative pour plusieurs milliers de dollars à des marchands Amazon
ces informations volume des ventes et adresse électronique des clients. Une
enquête interne est ouverte.
Le policier commerce en ligne
Un agent de police de la Direction générale de la sécurité intérieure
(DGSI) revendait sur le darknet des renseignements que son poste lui
permettait d’obtenir. Il était en contact avec des cybercriminels et des
spécialistes de l’intelligence économique. Écroué, il risque une peine de
sept ans d’emprisonnement et de 100 000 euros d’amende pour violation
par un agent de l’État de données classées « confidentiel défense » ou «
secret-défense ».

***
Les solutions les plus simples

À la maison
– Modifiez les noms par défaut et utilisez des mots de passe forts pour
votre Wi-Fi et vos appareils intelligents en prenant les quelques minutes
nécessaires pour suivre les guides de paramétrage.
– Évitez d’utiliser un repère permettant de remonter à votre identité
comme votre nom ou prénom.
– Isolez le réseau des objets connectés de votre réseau principal afin
d’éviter qu’ils soient une porte d’entrée pour accéder à vos données
sensibles.
– Désactivez les fonctions inutiles comme la géolocalisation, le micro et
la caméra lorsque vous n’en avez pas besoin.
– Faites les mises à jour de vos appareils connectés.
Dans votre voiture
Emballez votre clé sans contact dans de l’aluminium pour faire office de
cage Faraday dès que vous vous éloignez de votre voiture, ou achetez un
étui ayant les mêmes caractéristiques, ou retirez la pile de votre clé pour
éviter que l’on pirate votre signal avec un matériel à deux sous mais très
efficace.
 Conclusion : devenons vigilants !

Mettre en place des recommandations, ou mesures de sécurité, est un

exercice délicat qui doit tenir compte de l’efficacité de celles-ci non pas en
laboratoire mais dans la vraie vie. De prime abord, certaines pourront
sembler évidentes et indispensables mais, au bout du compte, totalement
inefficaces.
Le déploiement de caméras et systèmes de vidéoprotection sur la voie
publique est un bon exemple. L’objectif « d’améliorer les capacités
opérationnelles des forces de sécurité en matière d’interpellation, d’enquête
et de maintien de l’ordre », annoncé lors de la mise en route d’un vaste
programme de vidéoprotection des collectivités du pays, sonnait à l’origine
comme une réponse pertinente à l’insécurité. Il oubliait d’évoquer l’effet «
plumeau », c’est-à-dire le report de la délinquance vers les zones moins
éclairées et non surveillées, mais le public lui pardonna ses effets de
manche.
Plus tard, la Cour des comptes remit toutefois en cause l’efficacité de ces
mesures de vidéoprotection en signalant deux points importants : le
premier, que la France se caractérisait par la quasi-absence d’enquêtes
scientifiques sur le sujet, et le second, que les études menées à l’étranger ne
permettaient pas de conclure à l’efficacité de la vidéosurveillance de la voie
publique. Les acteurs politiques (maître d’ouvrage) et les sociétés de
vidéoprotection (maître d’œuvre) avaient finalement été un peu vite en
besogne.
Ce programme avait peut-être permis de conforter un sentiment de
sécurité dans le pays mais la mesure de son efficacité restait plus que floue.
Dans ce domaine, la prudence est de mise.
« Si vous pensez que la technologie peut résoudre vos problèmes de
sécurité alors vous n’avez rien compris aux problèmes ni à la technologie »,
déclarait l’expert en sécurité Bruce Schneier, connu pour son approche
pratique, notamment sur les mots de passe.
Comment voulez-vous vous souvenir d’une dizaine de mots de passe
différents ? C’est impossible mais personne ne se l’avoue. Même les outils
dédiés à la gestion des mots de passe ne sont pas des solutions tant leur
ergonomie est perfectible. Comme pour les systèmes de vidéosurveillance,
il n’existe pas d’étude en France pour évaluer leur efficacité.
Que faire dans ce cas ? Réagir de la même façon que la Russie, avec le
FSO (le service fédéral de protection issu de l’ancien KGB) qui a lancé,
après les révélations de l’affaire « Snowden », un appel d’offres pour
acheter des machines à écrire mécanique, afin de taper ses documents top
secret à l’abri des pirates de l’informatique ? Je pense que nous devons
apprivoiser nos peurs. La crainte des risques numériques ne doit pas nous
empêcher d’utiliser ces outils d’avenir. Restons plutôt vigilants sur la
gestion de nos libertés individuelles en participant activement à tous les
débats politiques, que le sens du mot citoyen soit réactivé d’un engagement
concret contre les abus, tous les abus, numériques comme les autres.
D’une manière générale, il faut trouver le juste chemin entre la maîtrise
des risques (qui pourrait devenir un job à plein-temps) et avoir une vie
sociale épanouissante. Sortir de chez soi, c’est déjà prendre un risque qu’il
faut assumer et en savourer tout son goût de liberté.

***

Les pièges rares et extrêmes

Un récital accidentel
Le Centre de Données (data center) hébergeant le logiciel comptable de
l’État français a subi un accident ayant pris de court les bonnes pratiques de
sécurité mises en place sur ce site sensible. Un intervenant a déclenché par
mégarde le système anti-incendie. Du gaz à haute pression s’est déversé
pour étouffer les flammes imaginaires. Le bruit produit par les buses,
l’équivalent de 120 à 130 décibels (un avion en train de décoller) eut un
effet dévastateur sur les disques durs et leurs têtes de lecture. Les vibrations
produites les ont détruits. Résultat, la chaîne comptable de l’État a été à
l’arrêt durant cinq jours.

Un cerveau présumé
Des pirates russes et ukrainiens, un cybercriminel chevronné, des
logiciels codés sur-mesure aux effets redoutables… Cinq ans durant, des
banques russes (une cinquantaine au total) sont attaquées et pillées à
hauteur d’un milliard de dollars. Vingt-sept pays ont été des cibles de ce
groupe à la panoplie ultra-sophistiquée, combinant hameçonnage, signature
de code ou logiciel malveillant, RAT, manipulation de bases oracles,
transfert de fonds, détournement de DAB, etc. Mais le cerveau présumé a
été arrêté en Espagne après une longue enquête soutenue par Europol, le
FBI, les polices roumaines, biélorusses et taïwanaises, ainsi que par des
sociétés de cyber-sécurité privées.

Au secours, Kafka !
Pendant deux ans, un abonné à Numericable a été signalé à la justice par
son opérateur. Perquisitionné, matériel saisi, accusé de pédopornographie et
inculpé sept fois, le malheureux, qui n’avait commis aucun des délits dont
on l’accusait, dut se défendre pied à pied contre ses accusateurs. Une erreur
dans la conversion de l’identification machine/homme était à l’origine de ce
malentendu préjudiciable. Numericable transmettait obstinément son
identité aux services de Police. La CNIL a donné un avertissement à
Numericable pour les torts causés.

Rien ne vaut un bon vieux fax

D’un hôtel d’Aix-en-Provence, un complice fit libérer trois personnes
incarcérées au centre pénitentiaire corse de Borgo, en adressant par fax de
faux ordres de libération mais avec le numéro de téléphone d’émission du
fax similaire à celui d’un juge d’instruction. La levée d’écrou eut lieu et
plusieurs jours passèrent avant que ne soit découverte la manœuvre dont le
levier n’était pas technologique mais psychologique.
Tout le monde au trou
Quand l’informatique fait des siennes, tout le monde est coupable ou
presque. À partir d’une base de 500 000 clichés de personnes à surveiller, le
système de reconnaissance faciale utilisé par la police galloise pendant la
finale de la Ligue des champions fut pris de folie. Il comparait en direct les
visages avec la base à surveiller et 93 % des signalements, après
intervention d’un agent, aboutissaient à une fausse alerte, des faux positifs
sur les écrans et innocents dans la vraie vie.

***

Les solutions les plus extrêmes

Le bout de scotch
À placer sur la focale de votre caméra d’ordinateur ou de votre tablette.
Avec ce système primitif, vos micros resteront actifs. On pourra vous
écouter mais pas vous voir.
La cape de Snowden
Edward Snowden, dans son reportage, porte une cape comme métaphore
d’un mot de passe efficace. Comme lui, au moment de saisir votre mot de
passe, protégez-le des regards, avec une cape si vous avez le sens du
spectacle, car une fois dans la nature, vos données ne seront plus à vous.

Le trou d’air
Pour restreindre l’accès à vos données, les gouvernements et des
organisations comme l’ONU utilisent des ordinateurs non connectés à
Internet, sans aucun système de connexion (Wi-Fi, Ethernet, etc.). Il ne faut
pas oublier de prévoir un lecteur de disque pour pouvoir installer vos
logiciels, ni un endroit sûr pour ranger votre matériel.

La machine à écrire mécanique

Pas de connexion, pas de danger. Seulement les limites de ne plus avoir
de ruban pour taper vos documents et le risque de vous les faire dérober
physiquement ou copier par un visiteur anonyme. De nos jours, il n’est
quasiment plus possible d’avoir un ordinateur déconnecté d’Internet.
Les vertus du froid
Testez le principe de la cage Faraday, visant à isoler de tout champ
électromagnétique vos « Oui-Oui », en mettant votre Smartphone au
réfrigérateur et essayez de l’appeler. Normalement il ne doit pas sonner,
preuve de l’efficacité de votre équipement domestique. Faites ensuite un
test pour vérifier que votre micro ne détecte pas votre voix. Auquel cas vous
pouvez avoir une conversation confidentielle, il y a peu de chance que votre
« Oui-Oui » réussisse à vous espionner.
Un bon coup de masse
Les supports de stockage de type clé USB n’offrent pas de garantie de
suppression de l’information lorsque vous n’en avez plus besoin. Les clés
USB transportent beaucoup d’informations. Une fois par an, cela doit
devenir un rituel, partez en forêt, ou à la campagne, détruire vos clés USB à
coups de masse, à la condition de les détruire consciencieusement, jusqu’au
processeur de la clé. Un petit maillet en bois fait aussi très bien l’affaire
pour les clés USB. Ensuite, utilisez des clés neuves achetées chez le
marchand.
Procédez de même avec vos vieux disques durs d’ordinateur.

Vos enfants à la trace

Il existe des traceurs électroniques qui peuvent très bien se glisser dans le
cartable de vos enfants. Ce sont des outils qui font l’objet de
recommandations de la part de la CNIL afin que ces objets ne portent pas
atteinte à la vie privée des individus. Ils ont donc un cadre d’emploi très
strict.
Fermer les portes
La sécurité contre les intrusions, c’est aussi la sécurité physique, avec un
local muni de portes et de serrures renforcées. L’enjeu est de retarder le
chemin jusqu’à vos ressources informatiques. Un système de détection
d’intrusion peut être utile, comme un appareil photo à mise au point
automatique et silencieux pour se déclencher au passage de l’intrus et vous
envoyer son portrait sur votre Smartphone. Bien évidemment, ce dispositif
est lui aussi piratable et donc à surveiller de très près !

Gardez vos vieux téléphones

Plus vos téléphones utilisent d’anciennes technologies, plus vous pensez
être à l’abri des piratages de votre époque. Il faut toutefois connaître les
vulnérabilités de la technologie employée, le protocole 2G présente, par
exemple, des risques d’interception de vos communications. Et pensez que
des problèmes de maintenance vont se poser à terme. Cette stratégie a pu
marcher, mais elle a perdu en pertinence. Ce n’est donc plus une très bonne
idée.

Dépoussiérez vos locaux

« Dépoussiérer » est le terme utilisé par les services de contre-espionnage
pour vérifier l’absence de dispositif d’écoute. Avec la baisse des coûts de
ces dispositifs, la mesure revient en force. Il faut se munir de patience et
d’une bonne lampe pour inspecter l’ensemble des recoins d’un local ou
d’une voiture, et passer en revue l’ensemble des objets !

Vive le cash !
Lorsque vous faites vos courses avec un moyen de paiement
électronique, vous laissez une trace informatique qui vous relie à un lieu, à
une action et à une date. Si Big Brother n’est pas fait pour vous, utiliser du
cash est LA solution.
 Lexique de la cyber-sécurité

Administrateur de sécurité
Bien que vous ne le sachiez pas, vous avez déjà accordé votre confiance
à des centaines voire à des milliers d’administrateurs de données à travers
vos achats sur Internet ou vos démarches administratives. Ils travaillent
pour vous et se sont engagés à faire preuve de loyauté (un peu comme des
chevaliers du Moyen Âge) à travers une charte des administrateurs. Une
entreprise sérieuse minimise et trace l’accès aux données pour les
administrateurs, contrôle leur travail et désigne des administrateurs de
sécurité pour contrôler les fonctions de sécurité utilisées par les
administrateurs.

Adresse Web (URL ou Uniform Resource Location en anglais)

Lorsque l’on navigue sur le Web, le navigateur Web affiche dans la barre
supérieure l’adresse Web du site que l’on souhaite consulter.

Air Gap ou la séparation des réseaux

Un peu comme pour l’isolation thermique, l’air est un très bon isolant de
la menace Internet. Le principe consiste à isoler physiquement un réseau de
l’Internet. Pour ce faire, les ordinateurs, les réseaux, les logiciels, les câbles,
les locaux de stockage… sont tous séparés. Ce principe est utilisé avec une
efficacité prouvée par les armées du monde entier, comme par l’OTAN.

Alice et Bob (chiffrement asymétrique)

Pour illustrer les mécanismes de sécurisation des échanges, on utilise
l’exemple d’Alice qui émet un message à Bob. Un mécanisme compliqué
(pour le commun des mortels) permet de s’assurer que l’émetteur est bien
celui qu’il prétend être et à la fois que le message a été protégé durant le
transport. Une répartition de clés (des bouts de code, pas de vraies clés en
métal) permet d’allouer une clé partagée (la clé publique) et une clé qui ne
doit pas vous quitter (la clé privée). Il arrive dans certaines entreprises
qu’au lieu de partager une carte de visite, vous demandiez à votre
interlocuteur s’il a une clé publique pour lui communiquer une information
sensible.
Voir : chiffrement, signature, cryptographie asymétrique ou à clé
publique, clé privée.

Amélioration continue (l’arme de « construction massive »)

L’important dans une chaîne de production d’un produit sécurisé, c’est
d’apprendre de ses erreurs, et de construire inlassablement l’amélioration de
ses produits et services. W. Edwards Deming était l’un des pionniers en la
matière. C’est sans doute le meilleur état d’esprit pour construire un
système sécurisé avec l’analyse des risques.
Voir : homologation, analyse de risque.

Analyse de risque
Art délicat consistant à identifier l’usage détourné ou imprévu dont le
système serait potentiellement l’objet. L’objectif est d’apporter le plus en
amont possible des fonctions ou mesures de sécurité adaptées. L’analyse de
risque est indispensable pour les projets innovants. Pour les systèmes
éprouvés, il est plus efficient d’utiliser des guides de sécurisation existants.
Voir : homologation, dossier de sécurité.

ANSSI (Agence nationale de la sécurité des systèmes

d’information)
Autorité nationale en matière de sécurité et de défense des systèmes
d’information, l’ANSSI est le plus important pôle de compétences en
matière de sécurité de l’information en France (cinq cents collaborateurs).
Elle assiste et met son expertise au service des administrations et des
opérateurs d’importance vitale. Elle est chargée de la promotion des
technologies, des systèmes et des savoir-faire nationaux. Elle contribue au
développement de la confiance dans le numérique. Ce service à compétence
nationale a été créé par le décret no 2009-834 du 7 juillet 2009 (Journal
officiel du 8 juillet 2009).

Arc-en-ciel (Rainbow table en anglais)

Attention, ça pique les yeux. Passez votre tour si regarder le soleil des
mathématiques vous fait mal à la rétine. Cette technique est utilisée en
cryptanalyse pour récupérer des mots de passe à partir de leur trace chiffrée,
en s’appuyant sur des tables précalculées (les fameuses tables « arc-en-ciel
»). L’efficacité des tables diminue lorsque les concepteurs des fonctions de
gestion de mots de passe utilisent du « sel ».
Voir : salage.

Architecte de sécurité
L’architecte de sécurité est celui qui, en fonction de la réglementation,
des normes et de l’analyse de risque, va identifier et mettre en œuvre (ou
faire mettre en œuvre) une ou plusieurs mesures de sécurité techniques et
organisationnelles. On peut considérer que dans une entreprise privée ou
publique mature, l’architecte de sécurité en chef est celui qui tient à jour le
catalogue des services et des mesures de sécurité (comment rendre
anonyme un fichier ? Comment gérer les mots de passe des applications e-
commerce ?, etc.).

Arnaque à la romance
Cette arnaque consiste à vous demander de l’argent alors que vous êtes
épris de sentiments pour une personne que vous n’avez jamais rencontrée.
Les raisons invoquées peuvent être : soigner un enfant, payer une taxe pour
rentrer au pays, etc.

Arnaque à l’effeuillage
Cette arnaque consiste à vous demander une somme d’argent en
contrepartie d’une non-divulgation d’une vidéo dévoilant des parties
intimes de votre corps. Elle démarre en général par une prise de contact à
travers les réseaux sociaux professionnels ou personnels (sites de
rencontres) et un scénario de jeu coquin via la caméra. Elle cible en priorité
le désir masculin mais également de jeunes femmes prises dans un jeu de
surenchère et de chantage (« je ne divulgue pas ta photo dénudée si tu m’en
montres plus »).

Avatar
Votre Avatar est une identité virtuelle importante. Constitué d’un nom et
d’une photo, l’Avatar vous permet de rester anonymes sur Internet à
condition qu’il ne soit pas possible de le relier à votre identité. Cet
anonymat vous protège des cyber harceleurs. Il est important de pouvoir
parfois rester anonyme et que l’on respecte votre vie privée.

Bac à sable
Un bac à sable est un environnement contrôlé permettant d’exécuter du
code suspecté d’être malveillant. L’accès aux autres réseaux est limité
depuis ce bac à sable afin d’éviter tout risque de contamination.

Big data
Avec le développement des nouvelles technologies (Cloud, Internet des
objets, GAFAMI…) et la transformation numérique des usages (réseaux
sociaux, e-commerce…) qui s’opère, il y a une prise de conscience qu’une
masse de données importantes se constitue : textes, photos, vidéos, etc.
Le Big data fait référence aux capacités d’analyse et d’exploitation
inégalées de ces informations.

Biométrie
Dispositif visant à reconnaître une personne. Adoptée par le cinéma, la
biométrie est en apparence une bonne solution : simple et a priori fiable
pour reconnaître automatiquement un individu à partir de ses
caractéristiques physiques, biologiques, voire comportementales. Dans les
faits, c’est beaucoup plus compliqué ! C’est la raison pour laquelle il a fallu
plus de vingt ans pour qu’elle arrive dans nos Smartphones.
En effet, les données biométriques sont des données à caractère personnel
et elles ne doivent pas être rendues publiques. Cela induit que le système
qui les utilise est sécurisé et « labellisé » par un tiers de confiance. De
nombreux systèmes biométriques ne tiennent pas quelques minutes face à
un pirate. Ce ne sont donc pas des solutions de sécurité mais de facilité (à
l’égard de votre enfant de moins de quinze ans). Par ailleurs, il faut que
l’individu puisse révoquer ses authentifiants en cas de suspicion de vol ou
de vol avéré de ses données de connexion. Comment faire quand il s’agit de
l’empreinte de votre doigt ?

Blanchir
Opération consistant à effacer et détruire de façon sécurisée des données
numériques. Avant réutilisation ou mise au rebut, si vous voulez éviter que
des données personnelles ou confidentielles soient réutilisées à votre insu, il
convient de « blanchir » tous les supports de stockage de la donnée.

Blockchain (ou chaîne de blocs)

Technologie de mise en forme de l’information sécurisée et distribuée
fonctionnant sans organisme central de contrôle. Elle permet de rassembler
tout l’historique du traitement d’une information (comme une transaction,
par exemple) de façon sécurisée. Elle est utilisée pour les échanges de
monnaie virtuelle.

Bug (bogue en français)

Défaut de conception d’un programme informatique, qui se manifeste par
des anomalies de fonctionnement.

Bug Bounty
Méthode d’audit de cyberdéfense participative faisant appel à des hackers
sélectionnés au sein de la communauté afin de favoriser l’émulsion et
l’efficience.

Canari
Mécanisme de défense inspiré des techniques de mineurs de fond qui
plaçaient des canaris pour détecter des émanations de gaz toxiques, le «
canari » dont nous parlons est une méthode de protection contre les
débordements de mémoire tampon sur la pile.

Cape de Snowden
 Edward Snowden utilise cette cape, dont il se couvre de la tête aux
mains, pour saisir ses mots de passe à l’abri de tout regard. Nous devrions
tous avoir une grande cape…

Centre de données (data center en anglais)

Lieu sécurisé façon « bunker » où sont localisées les machines réalisant
le traitement des données (stockage, transport…). Un centre de données
sécurisé prend en compte un ensemble complet de menaces
environnementales : télécommunications, énergies chaudes (électricité) et
froides (eau de refroidissement), gaz inerte ou sprinkler (extinction
incident), intrusions physiques et même perturbations sonores (buse
silencieuse pour éviter de casser les têtes de lecture des disques durs).

Centre de sécurité (Security Operating Center en anglais)

Lieu où tous les indices visant à suspecter un incident de sécurité arrivent
: tentative d’intrusion, défiguration de site Web, divulgation de données à
caractère personnel, code malveillant… Il convient à l’équipe de lever le
doute et de prendre les mesures d’alertes et de protections adéquates.

Certificat (contribue à l’identité numérique)

« Bouts de code » informatiques qui permettent d’authentifier des
individus, et même des machines. Ce n’est pas l’individu que l’on
authentifie mais un objet qu’il possède comme une carte à puce ou un «
Oui-Oui ». Ils sont construits sur des principes cryptographiques qui
assurent leur robustesse et sont parfois confinés sur les puces de cartes à
puce. Ils nécessitent une réelle gestion en exploitation, ne serait-ce que pour
les dates de validité et les nouvelles demandes.

Cheval de Troie
Logiciel malveillant déguisé en programme légitime. Il peut par exemple
vous observer par l’intermédiaire de votre caméra, utiliser votre ordinateur
pour pirater d’autres ordinateurs, enregistrer vos frappes de claviers,
recueillir vos mots de passe ou détruire des données.
Voir : logiciel malveillant.
Chiffrement
Procédé fondé sur la cryptographie visant à rendre illisible l’information
durant son transport ou son stockage. Le chiffrement est considéré comme
la principale défense possible contre l’interception. Les institutions
souhaitent garder le contrôle des moyens cryptographiques pour garantir
une lutte efficace contre la criminalité et le terrorisme.

Cloud computing
Voir : informatique dans les nuages.

Commission nationale de l’informatique et des libertés (CNIL)

Autorité administrative indépendante, la CNIL accompagne le
développement des nouvelles technologies au quotidien et participe à la
construction d’une éthique du numérique. Avec deux cents agents, ses
missions consistent à protéger les citoyens (quatorze mille demandes d’aide
reçues en ligne), conseiller et réglementer (quatre mille avis rendus),
accompagner la conformité, contrôler (trois cents contrôles par an), mettre
en demeure et sanctionner (quatre-vingts mises en demeure et quatorze
sanctions par an).

Contrôle parental (ou filtre parental)

Outils ou fonctions permettant aux parents de s’assurer lorsque leurs
enfants naviguent sur Internet qu’ils n’accèdent pas à du contenu jugé
inapproprié ou indésirable. Présent sur toutes les applications « gratuites »
(Google, Facebook…), le plus souvent il s’agit d’une liste constituée à
partir des signalements des internautes.

Cookie
Un cookie est un bout de code qui est transmis à votre navigateur par un
site Web. Il peut avoir plusieurs usages comme garder en mémoire vos
authentifiants ou vous identifier à des fins publicitaires et marketing.

Cryptomonnaie
 Voir : monnaie virtuelle.
Cyberattaque 1
Une cyberattaque est un acte malveillant portant atteinte aux intérêts de
la cible numérique.

Cyber-harcèlement
Harcèlement en ligne qui comprend des menaces et génère de la peur.
Cela peut prendre des formes diverses : dénigrement, partage d’images sans
autorisation, commentaires désobligeants transmis de façon répétée.

Darknet (ou Internet clandestin)

L’Internet clandestin (darknet) est la partie de la toile la moins connue du
grand public. Il s’agit d’un réseau de machines isolées et de contenus non
référencés par les moteurs de recherche classiques tels que Google, Bing,
Yahoo ou encore Baidu en Chine et Yandex en Russie.

Défense en profondeur
Principe de sécurité de haut niveau visant à aligner des mécanismes de
défense différents n’ayant pas de point commun entre eux. La version
poussée du « ceinture et bretelles ».

Défiguration (ou barbouillage, défacement)

Résultat d’une activité malveillante qui a modifié l’apparence ou le
contenu d’un serveur Internet.

Délai de survie sur Internet (Internet survivaltime en anglais)

Des tests quotidiens sur l’Internet permettent de mesurer le délai pour
une machine non sécurisée de se faire pirater. Ce délai est estimé à quelques
dizaines de minutes.

Directeur
« Bon courage » à lui car il est le responsable de l’acceptation des
risques. Il est celui qui décide des budgets. N’ayant pas de budgets illimités,
il doit réaliser des arbitrages en matière d’acceptations de risques. Véritable
stratège, il peut croire que l’entreprise qu’il dirige est à l’abri d’un incident
grave. Il sous-estime souvent son rôle dans l’impulsion de la démarche que
propose le RSSI. Le nombre de dirigeants remerciés discrètement à la suite
d’incidents de sécurité est en progression.

Droit au déréférencement
Le droit au déréférencement est dans la loi. Les applications proposent
toutes un service à cet effet. Les personnes peuvent demander également à
désindexer une page Web associée à leur nom et prénom auprès des
applications comme Google, Facebook… Ce déréférencement ne signifie
toutefois pas l’effacement de l’information sur le site Internet source.

Durcir
Opération consistant à améliorer le niveau de sécurité d’un système.
Par exemple :
– réduire son exposition aux attaques (en supprimant tout objet non
nécessaire) ; – appliquer les dernières versions disponibles ;
– appliquer les configurations sécurisées et modifier les comptes et mots
de passe par défaut ; – éliminer tout compte n’étant pas strictement
nécessaire.
Pour en savoir plus : maintien en condition opérationnelle et de sécurité
(MCO-MCS).

E-éthique
La culture d’une éthique du numérique se développe. Les droits du e-
citoyen doivent être connus et reconnus dans la e-démocratie : droit à la vie
privée, droit à la sécurité, droit de se défendre… afin que la transformation
numérique s’effectue dans le cadre d’un projet e-humaniste et non d’e-
dictature. L’homme est fait d’excès qu’il convient à un moment donné de
réguler.

Environnement (protection aux menaces environnementales)

À force de faire de la sécurité logique et de se protéger des codes ou
logiciels malveillants, nous en oublions presque de nous protéger des
risques environnementaux tels que les dégâts des eaux, les incendies, les
vibrations (en cas de déclenchement du système d’extinction incendie par
exemple) ainsi que les risques d’intrusion physique.

Fiché Banque de France

Vous pouvez être inscrits dans l’un de ces fichiers à l’initiative d’un
établissement de crédit dont vous êtes client, parfois à votre insu (en cas de
vol d’identité), suite à un incident de paiement ou un incident de
remboursement. Les trois principaux fichiers sont : a. le Fichier central des
chèques (FCC) qui recense des incidents liés aux moyens de paiements ; b.
le Fichier des incidents de remboursement des crédits aux particuliers
(FICP) qui concerne les crédits et le surendettement ; c. le Fichier national
des chèques irréguliers (FNCI) qui centralise les coordonnées bancaires des
comptes bancaires ouverts au nom de personnes faisant l’objet d’une
interdiction d’émettre des chèques, des comptes clos, et des oppositions
pour perte ou vol de chèques.

Firewall
Voir : pare-feu.

FranceConnect
Initiative et dispositif français permettant de garantir l’identité d’un
utilisateur en s’appuyant sur des comptes existants pour lesquels son
identité a déjà été vérifiée. Ce dispositif est un bien commun accessible à
toutes les autorités administratives.

GAFAMI
Entreprises leaders dans le numérique : Google, Amazon, Facebook,
Apple, Microsoft, IBM.

Hacker
Voir : pirate.
Hameçonnage, filoutage (phishing en anglais)
Technique de cyberattaque consistant pour le pirate à se faire passer pour
une adresse ou un site officiel alors qu’il s’agit d’une copie visant à vous
voler vos identifiants et mots de passe.

Hardware (matériel)
Le hardware fait référence à tout ce qui est matériel dans vos « Oui-Oui
». Il peut s’agir de périphériques comme votre ordinateur, votre
Smartphone, tablette, imprimante ou de vos supports de stockage externe
type disques durs externes ou clés USB.

Homme du milieu (man in the middle en anglais)

Attaque dans laquelle le pirate s’interpose dans vos échanges numériques
de manière furtive. Vous pensez échanger avec votre interlocuteur mais il y
a un tiers entre lui et vous qui « écoute la ligne ».

Homologation de sécurité
Le Graal ! Certificat validant votre démarche sécurité et autorisant la
mise en service. L’homologation permet d’identifier, d’atteindre puis de
maintenir un niveau de risque de sécurité acceptable pour le système
d’information considéré.
Voir : label de sécurité.

Identification, authentification, authentification forte ou seconde

authentification L’authentification a pour but de vérifier l’identité,
par exemple par mot de passe. S’identifier revient à communiquer
son identité et s’authentifier revient à apporter la preuve de son
identité. Pour simplifier, on parle d’authentification forte lorsque
deux des trois facteurs suivants sont utilisés : ce que je sais, ce que
je possède, ce que je suis (biométrie). Ce que je possède peut-être
un SMS reçu sur le téléphone dont vous êtes le détenteur, une carte
de validation de code de type bataille navale, un certificat
électronique détenu sur la puce d’une carte… Le terme de seconde
authentification est actuellement privilégié par les applications
gratuites lorsqu’elles proposent d’utiliser un second code transmis
par SMS.

Identité numérique
Ensemble des éléments numériques relatifs à votre personne et présents
sur Internet ou chez un tiers. Vous pouvez être l’auteur de ces traces, parfois
non, elles peuvent avoir été oubliées par d’autres personnes. Cela constitue
votre e-réputation.

Incident de sécurité
Lorsqu’une atteinte à la disponibilité, à la confidentialité ou l’intégrité
des données (ou de biens) est constatée. Cette définition historique s’ouvre
au non-respect réglementaire et éthique. Un incident de sécurité est une
excellente occasion de capitaliser sur les erreurs et de renforcer les moyens
organisationnels et techniques.
Voir : amélioration continue.

Indicateur
Il reste le meilleur moyen de rendre compte d’une situation complexe
dans la durée. Qu’il s’agisse de vulnérabilités, d’incidents, de risques, de
mesures à mettre en place ou du nombre de logiciels malveillants détecté, il
est recommandé de faire simple et lisible.
Pour en savoir davantage : il est conseillé que l’indicateur soit SMART
(Spécifique, Mesurable, Acceptable, Réaliste, Temporellement défini).

Informatique dans les nuages (cloud computing en anglais)

Vous n’échapperez pas à l’informatique dans les nuages ! Le cloud
computing fait référence au déport des données à l’extérieur de votre zone
de confiance immédiate (maison ou entreprise). Les applications et les
données ne se trouvent plus sur votre ordinateur mais dans le nuage
(Cloud).
Infox (terme officiel), fausse nouvelle, canular, potins, commérage,
rumeur (fake news ou hoax en anglais) Une information
mensongère ou délibérément biaisée, répandue, par exemple, pour
favoriser un parti politique au détriment d’un autre, pour entacher
la réputation d’une personnalité ou d’une entreprise, ou encore
pour contredire une vérité scientifique établie et contribuant à la
désinformation du public (Journal officiel du 4 octobre 2018).

Ingénierie sociale
Manipulation consistant à obtenir une information en exploitant la
confiance, l’ignorance ou la crédulité de tierces personnes.

Intelligence collective (esprit d’équipe)

La sécurité est un sport d’équipe : direction, utilisateurs, expert,
architecte, administrateur, communication, juridique, responsable sécurité…
Tout le monde est concerné et doit se serrer les coudes dans cette opération
complexe ! Sans une dynamique positive, c’est l’échec. Il s’agit sans doute
de la première mesure de sécurité.

Label de sécurité
Les solutions de cyber-sécurité ne se valent pas toutes. Afin d’élever le
niveau global, il convient aux entreprises et aux particuliers de privilégier
l’achat de solutions ayant obtenu un label de sécurité contrôlé par l’ANSSI.

Logiciel malveillant (malware en anglais)

Programme développé dans le but de nuire à autrui. Les virus ou
rançongiciels sont en ce moment les logiciels malveillants les plus
populaires.
Voir : rançongiciel.

Malware
Voir : logiciel malveillant.
Monnaie virtuelle
On parle de cryptomonnaie pour désigner une monnaie virtuelle qui
s’échange de pair à pair via une blockchain. Son fonctionnement repose sur
les principes de la cryptographie pour valider les transactions et émettre la
devise elle-même. Notons que les détracteurs des cryptomonnaies ne les
qualifient pas comme telles et, à l’instar de la Banque de France, préfèrent
parfois parler de « crypto-actifs ». D’un point de vue légal, une
cryptomonnaie n’est ni une unité de compte, ni un intermédiaire
d’échanges, ni une réserve de valeur. Elle ne peut donc pas être considérée
comme une monnaie au sens classique du terme.

Mot de passe
Le mot de passe est la clé de sa « survie » numérique.
Il est souvent composé de huit caractères sur les sites les plus connus car
il y a des mesures de restrictions complémentaires comme le blocage du
compte après un nombre de tentatives infructueuses. Il doit être de douze
caractères dans les autres cas (forums, applications moins connues).
Nous en avons par-dessus la tête de tous ces mots de passe, mais nous
n’avons jusqu’à présent pas trop le choix.
De nouvelles solutions sont proposées comme la biométrie des
Smartphones et les gestionnaires de mot de passe. L’initiative France
Connect simplifie également l’authentification aux sites de l’administration.
C’est une offre alternative aux solutions de simplifications offertes par les
GAFAMI.

Noircir
On parle d’un flux ou d’une information noircie lorsqu’il/elle est
chiffré(e) et donc rendu(e) illisible par un tiers qui en prendrait
connaissance.

Opérateur d’importance vitale (OIV)

Un opérateur d’importance vitale gère ou utilise une activité liée à
l’énergie, aux banques, à la santé, aux transports, à l’industrie de défense…
dont le dommage, par suite d’un acte de malveillance, risquerait d’obérer
gravement le potentiel de guerre ou économique, la sécurité ou la capacité
de survie de la nation ou de mettre gravement en cause la santé ou la vie de
la population. Au nombre de deux cents sur le territoire français, les OIV
sont soumis à des prérogatives en matière de sécurité et aux contrôles de
l’ANSSI.

Pare-feu (firewall en anglais)

Un pare-feu est un logiciel ou matériel de sécurité qui protège des cyber-
attaques de l’Internet en effectuant un contrôle des flux.

Phishing
Voir : hameçonnage.

Piégeage
Lorsqu’un dispositif physique (ou logique) vise à modifier le
comportement normalement prévu du système (vol d’information,
limitation du chiffrement…). Par exemple, pour le piégeage des chemins de
câble en fibre optique, on utilise des dispositifs en Y ou en T.

Pirate (ou hacker)

Une personne qui utilise le numérique pour porter atteinte ou accéder à
un système d’information auquel il n’est pas invité. On parle de « hacker
éthique » lorsque celui-ci met ses compétences à votre service dans le cadre
d’une charte d’audit et d’un contrat de service.

Point d’eau (watering hole en anglais)

La cyberattaque par point d’eau consiste pour un prédateur à repérer des
proies à un endroit où elles ont de fortes chances d’aller (le point d’eau)
plutôt que d’aller les chercher (dans la savane).
Ainsi, l’attaquant prend le contrôle d’une machine d’une entreprise d’un
secteur particulier (via un cheval de Troie ou un hameçonnage). À partir de
là, il peut accéder plus facilement aux informations ou aux machines
d’autres utilisateurs.
Politique de sécurité
Intentions soutenues par la direction et représentant le projet de
protection numérique. Ces intentions générales ou détaillées ne représentent
pas « ce qui est fait » mais « ce qu’il faut faire ». Si la loi représentait la
réalité, les tribunaux seraient vides.

Porte dérobée (backdoor en anglais)

Lorsqu’un accès dissimulé permet à un utilisateur malveillant d’accéder à
des fonctions cachées ou de se connecter de manière furtive.
Voir : logiciel malveillant.

Pot de miel
Système de défense consistant à « engluer » l’attaquant sur une ressource
prévue à cet effet afin de recueillir des informations sur son identité et ses
intentions. Peu utilisés, les systèmes fondés sur la détection d’intrusion et la
corrélation des événements de sécurité sont privilégiés.
Voir : centre de sécurité.

Rançongiciel (ransomware en anglais)

Logiciel qui bloque l’accès à vos données (fichiers clients, comptabilité,
factures, messages, photos…) et qui demande une rançon au prétexte de les
libérer (ce qui n’est parfois pas possible). L’infection est susceptible de se
répandre à d’autres « Oui-Oui » (Smartphone…).
Voir : logiciel malveillant.

RGPD (Règlement général sur la protection des données)

Ce règlement harmonise les règles en Europe et offre un cadre juridique
unique aux professionnels tout en renforçant le contrôle par les citoyens de
l’utilisation qui est faite des données qu’ils confient. Il instaure des
obligations pour garantir la protection des données : pertinence,
transparence, respect des droits, maîtrise, gestion des risques et sécurité. Le
RGPD permet d’appliquer des règles uniques aux groupes étrangers qui
traitent les données de citoyens européens et renforce la capacité de
dialogue afin d’inviter les géants du Net US et chinois à davantage de
respect des règles européennes.
Voir : CNIL

Responsable sécurité des systèmes d’information (ou responsable

Cyberdéfense), RSSI Tantôt perçu comme « un jardinier » (à qui
l’on délègue des problèmes sans vouloir s’impliquer), comme « le
méchant » (qui érige des barrières et des interdits) ou «
l’inconscient » qui « bloque le business sans proposer de solutions
», il est chargé d’animer la démarche collective de protection de
l’information. C’est davantage un animateur de processus, un
pédagogue et un chef d’orchestre au service d’un jeu collectif qui
consiste à faire progresser en maturité le groupe dans l’instruction
des questions sécurité. Il a parfois un rôle de « shérif » dans sa
mission consistant à réduire les risques liés au numérique. Il y a
autant de profil de RSSI que de bonne manière de procéder.

Paypal (ou compte virtuel de paiement en ligne)

Moyen de paiement sur Internet. Attaché à un compte bancaire, il ne
permet pas de retirer d’argent.

Pourriel
Voir : spam.

Privacy By Design
Plutôt que subir les failles de sécurité dans l’architecture des solutions
(comme une faiblesse d’authentification des pages indexées d’un site), le
législateur européen a introduit l’exigence de Privacy By Design. Cela
consiste à prendre en compte le projet de sécurisation le plus en amont
possible dans le cycle de développement des solutions.
Voir : RGPD.

Salage (jeter le sel à la mer)

 Le salage est un mécanisme qui consiste à apporter un aléa dans la
fonction cryptographique afin de réduire la vulnérabilité à une cyberattaque
par les tables arc-en-ciel. Ce sel ne doit pas être connu de l’attaquant et ne
doit donc pas être facilement devinable, raison pour laquelle il est
recommandé de le « jeter à la mer ».
Voir : arc-en-ciel.

Sauvegarde des données

La première mesure de sécurité à mettre en place notamment à l’égard
des risques de rançongiciel. Cette mesure doit être périodique et prévoir un
test de restauration et de lecture afin de s’assurer de l’efficacité de la
mesure.

Sécurité des systèmes d’information, sécurité numérique, cyber-

sécurité, cyberdéfense Discipline visant à réduire les risques liés au
numérique. Ceux-ci se matérialisent par un impact en terme
financier pour un commerce, en image de marque ou en impact
client. Historiquement, les trois principales craintes à l’égard de la
donnée sont qu’elle perde sa confidentialité, son intégrité ou sa
disponibilité.

Sensibilisation
Action consistant à rendre réceptif quelqu’un à quelque chose pour lequel
il ne manifestait pas d’intérêt. L’approche d’une politique sécuritaire
s’effectue avec les parties prenantes. Il est prêté le mot suivant à Thucydide
(Ier siècle avant J.-C.) : « L’épaisseur du rempart compte moins que la
volonté de le défendre. »

Snowden, Edward
Ancien consultant de la NSA et ancien agent de la CIA. Il a révélé auprès
de la presse mondiale les caractéristiques des programmes de surveillance
généralisés.

Software (logiciel)
 Les softwares sont les logiciels. Le plus souvent, ils sont téléchargés
depuis Internet.

Souris verte
État du processus permettant de s’assurer que les périphériques des
ordinateurs sont sains et absents d’enregistreurs de clavier physique, par
exemple. On parle de souris rouge lorsqu’il ne peut être démontré que les
périphériques ne sont pas piégés.

Spam (pourriel en français)

Message non désiré, reçu de façon non ciblée, en volume important et le
plus souvent à objectif publicitaire.

Station blanche
Dispositif constitué, par exemple, d’un ordinateur permettant de tester un
nouveau support de données (clé USB, disque dur…) avant de le connecter
au réseau. Il s’agit d’un SAS qui réalise une recherche de code ou logiciel
malveillant grâce à des logiciels antivirus.

Système de sûreté (ou de protection ou de sécurité physique)

Système d’information comprenant des capteurs et visant par des moyens
de type contrôle d’accès, détection d’intrusion et vidéosurveillance à
assurer la protection des accès aux zones de traitement de l’information.
Elles permettent de ralentir l’attaquant, de remonter une alarme, de lever le
doute, et d’intervenir ou de faire intervenir une équipe de sécurité privée ou
de police.

TOR ou le routeur oignon

Nom du réseau le plus connu du darknet désignant The Onion Router,
c’est-à-dire, littéralement en français, le routeur oignon.

Troll
 Une personne qui publie des messages méchants dans le seul but de faire
réagir. Il n’apporte généralement pas de solution crédible.

URL
Voir adresse Web.

Vidéoprotection et vidéosurveillance
Les dispositifs de vidéoprotection filment les lieux ouverts au public et
les dispositifs de vidéosurveillance concernent des lieux non ouverts au
public (locaux professionnels). Ils sont soumis à des dispositions
différentes.

Vie privée
La protection de la vie privée a été affirmée en 1948 par la Déclaration
universelle des droits de l’homme des Nations unies (art. 12). En droit
français, l’article 9 du Code civil, introduit par la loi du 17 juillet 1970,
dispose que : « Toute personne a droit au respect de sa vie privée. » Il s’en
déduit la protection du domicile, le secret professionnel et médical, la
protection de l’intimité, la protection du droit à l’image…

Virus
Voir : logiciel malveillant.

VPN (Virtual Private Network, Réseau Privé Virtuel)

Un outil de communication privé habituellement utilisé au sein d’une
entreprise pour communiquer de façon sécurisée sur un réseau non maîtrisé
comme Internet. Cette technique évite par principe une attaque par l’homme
du milieu qui écouterait la ligne mais n’évite pas une intrusion à travers l’un
des deux « Oui-Oui » par hameçonnage, par exemple.
Voir : attaque par l’homme du milieu.

Vulnérabilité
 Erreur ou maladresse dans la configuration qui expose un système à une
intrusion.
La correction des vulnérabilités est sans doute l’un des principaux défis
de la protection des données. Les équipes manquent de moyens pour
réaliser cette mission. Elle relève d’une complexité sous-estimée puisque
soumise à de nombreuses contraintes et, au premier rang, l’adhérence entre
les couches basses (OS et infrastructure) et hautes (applicatives).

Zero day (0 day ou jour zéro en français)

Vulnérabilité n’ayant fait l’objet d’aucun patch connu. Cela signifie qu’il
n’existe pas de solution pour corriger la faille. Il existe un marché pour
acheter des Zero day.
Voir : vulnérabilité.

Zombie (réseaux de machines zombies) ou « botnet »

Réseau d’ordinateurs qui exécutent des applications malveillantes à
l’insu de l’utilisateur. Ces réseaux peuvent contenir des millions de
machines. Botnet est la contraction de « réseau de robots ».

Zone démilitarisée (DMZ ou Demilitarized zone en anglais)

Zone dans laquelle les serveurs de l’entreprise sont exposés afin de
communiquer sur Internet. Directement exposées et considérées comme
vulnérables, des stratégies particulières sont mises en place pour construire
les DMZ : contrôle des flux, exposition des données minimisée…
 L’Appel de Paris 1

Pour la confiance et la sécurité dans le cyberespace

Le cyberespace joue désormais un rôle capital dans tous les aspects de

notre vie ; il relève de la responsabilité d’un grand nombre d’acteurs,
chacun dans son domaine propre, de le rendre plus fiable, plus sûr et plus
stable. Nous réaffirmons notre soutien à un cyber-espace ouvert, sûr, stable,
accessible et pacifique, devenu partie intégrante de la vie sous tous ses
aspects sociaux, économiques, culturels et politiques. Nous réaffirmons
également que le droit international, dont la Charte des Nations unies dans
son intégralité, le droit international humanitaire et le droit international
coutumier, s’appliquent à l’usage des technologies de l’information et de la
communication (TIC) par les États. Nous réaffirmons que les droits dont les
personnes jouissent hors ligne doivent également être protégés en ligne et
que le droit international des droits de l’homme s’appliquent au
cyberespace. Nous réaffirmons que le droit international constitue, avec les
normes volontaires de comportement responsable des États en temps de
paix et les mesures de développement de la confiance et de renforcement
des capacités élaborées dans le cadre des Nations unies, le fondement de la
paix et de la sécurité internationales dans le cyberespace. Nous condamnons
les cyber-activités malveillantes en temps de paix, notamment celles qui
menacent des individus et des infrastructures critiques ou qui ont pour effet
de leur causer des dommages importants, sans discernement ou
systémiques, et nous accueillons avec satisfaction les appels invitant à
améliorer leur protection.
Nous nous félicitons également des efforts déployés par des États et des
acteurs non étatiques pour venir en aide de manière impartiale et
indépendante aux victimes de l’usage malveillant des TIC, que celui-ci
intervienne en période de conflit armé ou non. Nous reconnaissons que la
menace constituée par la cybercriminalité impose de redoubler d’efforts
afin d’améliorer la sécurité des produits que nous utilisons, de renforcer nos
défenses face aux criminels et de favoriser la coopération entre toutes les
parties prenantes, tant à l’intérieur de nos frontières nationales qu’au-delà
de celles-ci, et que la Convention de Budapest sur la cybercriminalité est à
cet égard un outil essentiel. Nous reconnaissons les responsabilités des
principaux acteurs du secteur privé pour développer la confiance, la sécurité
et la stabilité dans le cyberespace et nous encourageons les initiatives qui
visent à accroître la sécurité des processus, produits et services numériques.
Nous nous félicitons de la collaboration entre les pouvoirs publics, le
secteur privé et la société civile en vue d’élaborer de nouvelles normes de
cyber-sécurité permettant aux infrastructures et aux organisations
d’améliorer leurs systèmes de cyber-protection. Nous reconnaissons que
tous les acteurs peuvent apporter leur soutien à un cyberespace pacifique en
encourageant la divulgation responsable et coordonnée des vulnérabilités.
Nous soulignons la nécessité de développer une vaste coopération dans le
domaine du numérique et les efforts de renforcement des capacités de tous
les acteurs, et nous encourageons les initiatives qui permettent d’accroître la
résilience et les compétences des utilisateurs. Nous reconnaissons la
nécessité d’une approche multi-acteurs renforcée et d’efforts
supplémentaires afin de réduire les risques qui pèsent sur la stabilité du
cyberespace et d’établir davantage de fiabilité, de capacité et de confiance.
À cet effet, nous nous déclarons résolus à agir de concert, au sein des
instances existantes et par le biais des organisations, institutions,
mécanismes et processus appropriés, pour nous venir mutuellement en aide
et mettre en place des actions en coopération afin, notamment :
– d’empêcher les cyber-activités malveillantes qui menacent des
individus et des infrastructures critiques ou qui leur causent des dommages
importants, sans discernement ou systémiques, et d’y remédier ;
– d’empêcher les activités qui portent atteinte intentionnellement et dans
une large mesure à la disponibilité ou à l’intégrité du cœur public de
l’Internet ;
– de développer notre capacité de prévenir les interférences de la part
d’acteurs étrangers destinées à déstabiliser des processus électoraux au
moyen de cyber-activités malveillantes ;
– d’empêcher le vol de propriété intellectuelle à l’aide des TIC,
notamment des secrets industriels ou autres informations commerciales
confidentielles, dans l’intention de procurer des avantages concurrentiels à
des entreprises ou à un secteur commercial ;
– d’élaborer des moyens d’empêcher la prolifération d’outils malveillants
et de pratiques informatiques destinés à nuire ;
– d’accroître la sécurité des processus, produits et services numériques
tout au long de leur cycle de vie et d’un bout à l’autre de la chaîne
d’approvisionnement ;
– de soutenir les actions visant à développer une hygiène informatique
avancée pour tous les acteurs ;
– de prendre des mesures pour empêcher les acteurs non étatiques, y
compris le secteur privé, de mener des actions cyber-offensives en réponse
à une cyberattaque dont ils seraient victimes, pour leur propre compte ou
pour celui d’autres acteurs non étatiques ;
– de favoriser une large acceptation et la mise en œuvre de normes
internationales de comportement responsable ainsi que de mesures de
développement de la confiance dans le cyberespace.
En vue d’assurer le suivi des progrès accomplis sur ces sujets dans le
cadre des instances et mécanismes appropriés, nous convenons de nous
réunir de nouveau en 2019 lors du Forum de Paris sur la paix et du Forum
sur la gouvernance de l’Internet à Berlin.
Paris, le 12 novembre 2018.
 REMERCIEMENTS

Ce document n’aurait pu voir le jour sans le travail conséquent réalisé par

les services d’État, les journaux et en particulier le journal Le Monde, les
groupes professionnels que sont Europol et Eurojust, les services du
ministère de l’Intérieur, la CNIL, l’ANSSI qui a eu la gentillesse de me
recevoir et de partager certaines de ses informations, le CLUSIF, le CESIN,
e-enfance, le CIGREF, la CPME, le GIP l’ACYMA, l’AMF, la Banque de
France, la DGCCRF, le FBI… N’hésitez pas à aller sur leurs sites pour de
plus amples informations. Ainsi que tous ceux qui ont eu la gentillesse de
m’apporter leur soutien.

Flammarion
Notes

1. « Gartner Says by 2017, Mobile Users Will Provide Personalized Data

Streams to More Than 100 Apps and Services Every Day », Gartner, 22
janvier 2014.
▲ Retour au texte
2. Voir Lexique en fin d’ouvrage.
▲ Retour au texte
3. www.google.com/maps/timeline?authuser=0&pb
▲ Retour au texte
1. Autorité des Marché financiers. www.amf-france.org/Epargne-Info-
Service/Proteger-son-epargne/Listes-noireswww.amf-france.org
▲ Retour au texte
2. acpr.banque-france.fr/
▲ Retour au texte
3. www.pre-plainte-en-ligne.gouv.fr/france/
▲ Retour au texte
4. www.service-public.fr/particuliers/vosdroits/R46526
▲ Retour au texte
1. www.internet-signalement.gouv.fr
▲ Retour au texte
2. Formulaire de déréférencement : www.e-enfance.org/formulaire-de-
dereferencement
▲ Retour au texte
1. fra.europa.eu/fr
▲ Retour au texte
2. « Le droit de rectification : corriger vos informations », CNIL.
▲ Retour au texte
1. pastel.diplomatie.gouv.fr/fildariane/dyn/public/login.html
▲ Retour au texte
2. pro.douane.gouv.fr/rush/API_Service.asp?sid=&app=
▲ Retour au texte
3. www.ssi.gouv.fr/
▲ Retour au texte
1. www.e-enfance.org
▲ Retour au texte
2. www.e-enfance.org/assistance-controle-parental
▲ Retour au texte
3. Loi no 2018-493 du 20 juin 2018.
▲ Retour au texte
1. wetechcare.org
▲ Retour au texte
2. www.economie.gouv.fr/dgccrf
▲ Retour au texte
1. www.europarl.europa.eu/EPRS/EPRS-Study-538877-Echelon.pdf
▲ Retour au texte
2. www.hoaxbuster.com/
▲ Retour au texte
1. Voir Lexique en fin d’ouvrage.
▲ Retour au texte
1. Guide des bonnes pratiques de l’informatique :
www.ssi.gouv.fr/guide/guide-des-bonnes-pratiques-de-linformatique/
▲ Retour au texte
2. Guide d’hygiène informatique, septembre 2017 :
www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
▲ Retour au texte
3. clusif.fr/
▲ Retour au texte
4. www.cybermalveillance.gouv.fr/
▲ Retour au texte
1. www.gouvernement.fr/risques/risques-cyber
▲ Retour au texte
1. L’Appel de Paris a été lancé par le président de la République française,
Emmanuel Macron, à l’occasion du Forum sur la gouvernance de l’Internet
(FGI) qui se tenait à l’Unesco, le 12 novembre 2018.
▲ Retour au texte