La crise mondiale causée par la pandémie Covid-19 offre un terrain de jeu parfait aux malfaiteurs : l’inquiétude est au plus haut, de nouvelles mesures sont annoncées chaque jour, et les personnes passent encore plus de temps sur leur ordinateur à cause du confinement forcé et du télétravail.
Cybermalveillance.gouv.fr, l’organe gouvernemental chargé de la prévention contre les cyberattaques et les arnaques en ligne, a sonné l’alarme le 16 mars 2020, et appelle Français et Françaises à redoubler d’attention face aux arnaques. Nous vous expliquons en détail pourquoi.
Le phishing alimenté par la peur et l’urgence
Le phishing ou l’hameçonnage (notre guide de prévention) consiste à utiliser des mécanismes sociaux pour vous faire cliquer sur un lien malveillant. Les arnaqueurs veulent vous pousser à télécharger un logiciel malveillant (au travers d’un document Word en .docx le plus souvent). Ou alors, ils veulent vous rediriger vers un site trompeur, par exemple une copie d’un site de santé. Ils vous demanderont alors d’entrer vos informations sur un formulaire, et ils pourront ensuite s’en servir pour lancer d’autres attaques, ou ils les revendront tout simplement sur les marchés noirs. Bref, le phishing est une attaque en elle-même, et le point de départ d’attaques bien plus complexes.
Dès février, des arnaqueurs se faisaient passer pour des autorités de santé, au Japon. Puisque les personnes sont à la recherche de la moindre information, et qu’ils ont peur, ils vont plus facilement cliquer sur les liens malveillants, surtout s’ils paraissent venir d’autorités de santé.
Les campagnes de phishing se multiplient en Chine, aux États-Unis et dans d’autres pays. Mais pour l’instant, le gouvernement n’a pas repéré de campagne liée au Covid-19 en langue française. En revanche, il prévient : « la France n’a aucune raison de demeurer épargnée. » Voici donc quelques précautions à adopter.
Un appel aux dons ? Une information des autorités de santé ? Visitez les sites officiels.
Un doute sur l’email que vous venez de recevoir ? Confirmez son contenu en visitant le site officiel du prétendu expéditeur depuis un navigateur. Par exemple, nous avons reçu en février un email d’appel aux dons intitulé « Urgence nouveau coronavirus » , envoyé depuis [email protected]. En une rapide recherche sur Google (ou DuckDuckGo, Bing, Ecosia…), nous avons vérifié qu’une campagne de dons était bien en cours, et que l’adresse email appartenait à l’Institut. Celui que nous avons reçu était bien réel, mais il est très probable que des appels aux dons frauduleux commencent à tourner, en se faisant passer pour le ministère de la Santé ou l’AP-HP par exemple.
De même, il est très probable que des versions infectées de l’attestation de sortie demandée par le gouvernement commencent à circuler. D’abord, l’attestation officielle ne sera jamais envoyée par email. Ensuite, plutôt que de risquer le téléchargement depuis une source inconnue, privilégiez le téléchargement depuis la page officielle du ministère de l’Intérieur, ou depuis une source secondaire de confiance comme les sites de médias reconnus.
Plus généralement, si vous recevez un email d’annonce d’un nouveau dispositif lié au coronavirus, allez vérifier directement sur les sources officielles.
Protégez votre ordinateur un minimum
Si habituellement vous ne faites pas attention à votre sécurité, reprenez quelques principes de base :
- Mettez à jour vos logiciels, notamment Windows s’il s’agit de votre système d’exploitation. Les mises à jour sont gratuites, et ne vous demanderont pas d’autres ressources que votre temps. Pour rappel, chaque mise à jour contient des réparations de sécurité, qui renforcent vos protections. Mais lorsque les éditeurs publient leurs patchs, ils indiquent aussi en quelques sortes aux malfaiteurs où se trouvent les failles. En conséquence, quand un pirate s’en prend à votre système, il va regarder quelle est la version des logiciels vous utilisez. S’ils ne sont pas à jour, il va lancer des attaques connues avec une quasi-garantie de succès. Si vous êtes à jour, il devra passer plus de temps, ce qui pourrait suffire à le décourager, puisqu’il préférera s’en prendre à une cible qui n’a pas fait ses mises à jour.
- Sur Windows, utilisez un antivirus, qu’il soit payant ou gratuit, et mettez-le à jour. Celui fourni dans Windows fonctionne très bien. Un anti-malware comme MalwareBytes ne fait jamais de mal non plus. Ils intercepteront ou du moins signaleront les attaques les plus communes.
Attention aux app Android sur le coronavirus
Sur smartphone, privilégiez le téléchargement de vos applications depuis les magasins d’applications officiels (Google Play Store, Apple Store et App Gallery sur les Huawei sans Android). Les deux éditeurs américains vérifient la sécurité des applications de leurs magasins, et même si cette supervision n’est pas parfaite, elle réduit considérablement les risques. En dehors de ces circuits fermés, vous vous exposez à des risques.
Certains arnaqueurs ont par exemple publié une fausse application de suivi de Covid-19, téléchargeable depuis un site sur votre navigateur. Elle va déployer un logiciel malveillant, qui va chiffrer certaines données de votre smartphone (et les rendre inutilisables). Et bien sûr, ils vous demanderont de payer pour vous donner la clé de déchiffrement qui permet de revenir à la normale.
Attention à ce que vous achetez en ligne
N’achetez que sur des sites reconnus. De faux sites de vente des produits en pénurie (masques, gels hydroalcooliques…) fleurissent : ils jouent sur l’impatience et la peur des consommateurs pour vous voler vos données personnelles, voire vos coordonnées bancaires. Cette précaution vaut également pour tout médicament qui prétendrait protéger contre le coronavirus ou en guérir : ils n’existent pour l’instant pas. L’UFC Que Choisir a publié une mise en garde.
Ne devenez pas un maillon des chaînes de SMS de désinformation
Le meilleur moyen pour faire circuler de fausses informations consiste à jouer sur les peurs. Avec la pandémie, cela devient un jeu d’enfant. Le Monde a recensé plusieurs chaînes d’emails contenant de fausses informations, partagées sur WhatsApp ou par SMS. L’AFP Factuel recense quant à elle toutes les infox qu’elle a trouvées sur cette page. On y retrouve des incitations à boire toutes les 15 minutes, des rumeurs sur la résistance du coronavirus ou de prétendus remèdes maison.
Sur les réseaux sociaux, faites attention à l’origine de l’information. Par exemple, le compte Twitter @Conflits_Fr a plus de 170 000 abonnés, mais il ne vérifie pas les informations qu’il publie, ce qui peut le mener à de grossières erreurs. Pour être sûr de la véracité d’une information, allez directement sur le site du gouvernement, ou sur un média qui cite clairement ses sources.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !