En l'espace de quelques semaines, ce sont des dizaines de millions de spams demandant une rançon qui ont été envoyés, selon les chiffres avancés par des agences de sécurité. Un phénomène largement piloté par les mafias, grands acteurs de la cybercriminalité, qui privilégient des pays-cibles comme la France où l'éducation numérique est très faiblement développée.
Fabrice Epelboin : Une telle campagne fonctionne de la même façon que le spam que vous recevez pour acheter du Viagra, à la différence près que l’email que vous recevez contient un malware qui va chiffrer des données sur votre disque dur et vous réclamer de l’argent pour le déchiffrer.
Derrière de telles attaques, on trouve des groupes de cybercriminels, des mafias du numérique, qui représentent - avec les agences gouvernementales - les principaux attaquant auxquels les entreprises comme les particuliers peuvent être confrontés en ligne.
Il faut bien prendre conscience que l’image d’Epinal que beaucoup ont encore du méchant hacker qui s’attaque à vous est parfaitement erronnée. De nos jours, la cybercriminalité s’est professionalisée, il s’agit de groupes réunissant toute une palette de compétences qui travaillent de concert, disposent de moyens conséquents et de temps pour préparer et executer leurs attaques.
Cela n’a rien de partiulièrement énorme pour une campagne de spam, mais le fait que de nombreux particuliers aient été affectés a retenu l’attention des médias. Pour reprendre la comparaison avec le spam pour du Viagra, un tel volume doit être assez courant, mais l’impact est bien moindre. Le fait de concentrer l’attaque sur une période de temps réduite est assez logique : des solutions de protection devraient voir le jour rapidement et rendre ce malware moins efficace, il apparait logique dès lors de concentrer l’attaque, ce qui n’est pas du tout indispensable si vous voulez vendre du Viagra.
Les raisons peuvent être très variées. La première qui vient à l’esprit, c’est que la cybermafia, qui est derrière cette attaque, disposait de listes d’emails ciblant la France. De nombreuses entreprises françaises se sont fait dérober les données personnelles de leurs clients, et c’est typiquement avec de telles données que l’ont met sur pied des attaques telles que celle-ci.
La France constitue par ailleurs une cible de choix, la population est non seulement riche - au regard de la rançon demandée par le malware - et elle est également assez analphabète en matière de technologies. Que ce soit dans les entreprises ou les écoles, on n’apprend nulle part les règles de base de la sécurité informatique qui permettrait à la population d’être à l’abri de ce genre d’attaque.
Enfin, on peut aussi voir dans le fait que la France soit particulièrement touchée la conséquence de l’année 2015, qui a été assez catastrophique en matière de cybersécurité : l’insecurité informatique a augmenté de +50% en France l’an dernier. Derrière ce chiffre, ce sont des millions de données personnelles de clients d’entreprises françaises qui ont été volées, puis revendues, et c’est avec ces données qu’on peut mettre en place une attaque.
C’est vous qui êtes la cible d’une telle attaque, pas votre ordinateur. C’est l’ordinateur sur lequel vous ouvrez le courrier infecté qui est affecté, mais c’est vous qui êtes visé, car les données personnelles que vous avez stocké quelque part - peut être sans en être conscient - ont été dérobées.
Se prémunir de telles attaques n’est pas affreusement complexe ; ceci dit, cela consiste à appliquer quelques règles simples en matière de cyber sécurité, en l’occurence, ne jamais ouvrir une pièce jointe d’un email provenant d’un expéditeur inconnu. Avec une douzaine de règles aussi simples que cela, vous pouvez éviter les trois quart de ce genre de problème.
Le vrai problème réside dans l’apprentissage de ces règles, et là on ne peut que constater une carence flagrante. Ni l’école, ni l’entreprise ne transmettent ces savoirs.
L’école, passe encore, on peut comprendre qu’elle soit en retard, mais l’entreprise, c’est tout bonnement ahurissant et profondément stupide.
Pour les entreprises, la cybercriminalité représente un coût très conséquent, qui se compte, pour une ETI ou un groupe, en millions d’euros par an. Un coût bien plus élevé que la formation de l’ensemble de son personnel aux règles de base de la cybersécurité. Au regard de l’explosion récente de la cybercriminalité, et d’un point de vue économique, ce choix de la stratégie de l’autruche est abérant.
Il faut dire que la sécurité par l’offuscation a longtemps été la règle dans les entreprises : quand elles étaient victimes d’une attaque, elles avaient tendance à le taire, et ne pas former, ni informer ses salariés. C’était, du coup, un comportement cohérent. Mais les temps changent, et la nouvelle directive européenne cybersécurité imposera aux entreprises de déclarer publiquement tout vol de données. Du coup, il va vite apparaitre comme rationel d’un point de vue économique de former en masse ses salariés à la cybersécurité. Cela fera baisser le nombre d’attaques subies par les entreprises, qui passent bien souvent par leurs salariés, bien incapables de se protéger.
Je pense que nous devrions voir apparaitre rapidement des initiatives pour ce qui est d’apprendre le B-A BA de la cybersécurité, tant c’est une piste évidente et vraisemblablement très efficace pour faire chuter de façon significative le coût des attaques informatiques que subissent les entreprises, et désormais les particuliers. Nul besoin d’antivirus, de firewall ou de quelques technologie que ce soit, quelques règles de base, à suivre scrupuleusement, un peu comme vous respectez le code de la route, et tout le monde sera bien plus en sécurité.
Il a fallu des années entre l’apparition de l’automobile et le permis de conduire. Il est sans doute temps de franchir cette étape dans la révolution numérique d’aujourd’hui. Pour le coup, l’Education nationale pourrait être moteur là dessus.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !