Les cybercriminels ont trouvé un nouveau moyen de s'introduire dans les ordinateurs : la peur du Covid-19. La pandémie et le télétravail affaiblissent les systèmes de sécurité des entreprises et des particuliers, plus exposés aux risques de vol de données personnelles, bancaires et de rançonnage.
Les cybercriminels sont des opportunistes. Les spécialistes de la cybersécurité le savent. La crise sanitaire mondiale liée à la pandémie de coronavirus confirme leurs craintes. Les cybercriminels utilisent désormais le Covid-19 pour infecter les ordinateurs de leurs victimes. Les attaques par phishing (vol des identifiants, mots de passe, numéro de carte bancaire…) se multiplient depuis le mois de décembre 2019. Les chercheurs de la société de cybersécurité Barracuda ont noté une augmentation de 667 % des attaques de courriers électroniques liées au Covid-19 entre fin février et le 23 mars 2020.
Des chiffres qui confirment l'alerte donnée le 20 mars dernier par le FBI, principal service fédéral de police judiciaire et service de renseignement intérieur aux États-Unis. "Les escrocs exploitent la pandémie de Covid-19 pour voler votre argent, vos informations personnelles ou les deux. Ne les laissez pas faire ! Protégez-vous et faites vos recherches avant de cliquer sur des liens censés fournir des informations sur le virus (…) Le FBI vous conseille d'être à l'affût."
Proposer des masques ou des gels hydro-alcooliques
Avec sa société de cybersécurité I-Tracing, Laurent Besset est en première ligne depuis plus de trois mois : "Nous avons des bureaux à Hong Kong et nous constatons depuis le début de l'année une augmentation des attaques utilisant le Covid-19 comme prétexte pour infiltrer les machines de nos clients". En effet, les utilisateurs souvent apeurés n'hésitent pas à ouvrir des mails qui contiennent un mot lié au coronavirus. Surtout que les messages prétendent fournir des masques ou des solutions hydro-alcooliques.
Même constatation en France depuis plusieurs semaines. "Malheureusement, les pirates du web se sont engouffrés dans cette brèche. Il faut se préparer à de nombreux cyberassauts", prévient Alain Bouillé, directeur du Club des experts de la sécurité de l'information et du numérique (Cesin).
L'Assistance publique-Hôpitaux de Paris (APHP) a ainsi été victime, les 21 et 22 mars 2020, d'une attaque en déni de service. Ce type de cyberagression consiste à solliciter massivement un serveur cible jusqu'à ce qu'il tombe en panne. Heureusement les dégâts ont été minimes.
Pourquoi alors cette intrusion informatique contre les hôpitaux parisiens ? "C'est difficile à comprendre, reconnaît Laurent Besset d'I-Tracing. D'autant que le premier motif de la très grande majorité des attaques est le gain financier." Le 28 février 2020, le CHU de Rouen avait également subi une attaque informatique par rançongiciel. Les cybercriminels avaient alors réclamé une somme d'argent pour rendre les données de nouveau accessibles. L'attaque contre l'AP-HP, sans demande de rançon, laisse donc perplexe.
L'État français encore serein
Pour l'heure, l'Agence nationale de la sécurité des systèmes d'information (ANSSI), le bras armé de l'État, ne constate aucune augmentation des attaques. Du moins dans son périmètre constitué des grandes administrations, des opérateurs d'importance vitale (énergie, transports…) et des opérateurs de services essentiels pour le bon fonctionnement de l'économie (banque, assurance…). L'ANSSI n'est pas inquiète, mais reste sur ses gardes.
Pour la plateforme gouvernementale cybermalveillance.gouv.fr, émanation de l'ANSSI et en partie financée par elle, les craintes sont belles et bien là. Cet organisme public se concentre sur les collectivités locales, les PME et les particuliers.
"Entre le 1er février et le 23 mars, le parcours assistance sur notre site a bondi de 400 %", explique le directeur général, Jérôme Notin. Après les masques, il s'attend à voir apparaître de faux sites de vente pour la chloroquine, le médicament actuellement objet d'un essai sur des milliers de patients.
Le télétravail, véritable challenge pour la sécurité informatique
Si le télétravail est une chance pour des millions de salariés, c'est aussi un cauchemar pour la sécurité informatique. Les entreprises ont pris des risques importants en plaçant une grande partie de leurs salariés en télétravail. Les cybercriminels en sont conscients et profitent des failles ouvertes par l'activité professionnelle à distance.
"La semaine dernière, raconte Alain Bouillé, j'ai convaincu une grande entreprise industrielle de revenir sur une décision qui me paraissait dangereuse. Elle voulait autoriser les salariés à utiliser leur PC portable personnel pour travailler à la maison. Il faut bien comprendre que toutes ces machines privées sont corrompues. Leur niveau de sécurité n'est absolument pas compatible avec celui de l'entreprise. Des mails, des téléchargements, des consultations de sites personnels qui laissent passer trop de virus".
Il y a une règle d'or dans le milieu de la sécurité informatique : quand on travaille vite, on travaille mal. Or, le Covid-19 a pris de cours la majorité des entreprises. Malgré les grèves de l'automne 2019, les entreprises ne sont pas préparées au télétravail. Les machines et les réseaux ne sont suffisamment sécurisés.
"La première leçon que nous devons tirer de cette crise, martèle Alain Bouillé, c'est d'insister auprès des entreprises afin qu'elles cessent de s'équiper en PC fixes et qu'elles basculent tous leurs équipements en PC portables. C'est plus simple et plus facile à sécuriser. Un PC portable sécurisé par l'entreprise peut être amené à la maison, pas un PC fixe. Du coup, les salariés utilisent leurs machines privées."
En attendant, les entreprises doivent renforcer leur protection. Et adopter certaines préconisations proposées par les sites officiels publics, celui de l'ANSSI ou de la plateforme cybermalveillance.