L’actualité est régulièrement rythmée par de cyberattaques d’une entreprise, d’un hôpital, d’une banque ou de personnalités. Les organisations ou célébrités victimes de ces hackers paient ainsi les failles de leur système de sécurisation de leurs données. Les cyber-délinquants ou cybercriminels s’incrustent dans les lézards de la barrière de protection par divers procédés. On peut citer, en ce qui concerne les entreprises comme les banques ou les organismes publics comme la direction du trésor, les douanes ou le ministère des finances, en recourant notamment à la technique du phishing encore appelée l’hameçonnage.
Le phishing ou l’hameçonnage
Selon le site cyberuniversity.com, le phishing « consiste à« appâter » un internaute pour l’inciter à dévoiler des informations personnelles et confidentielles notamment des données sur son identité, des identifiants, des mots de passe, des coordonnées bancaires ou installer un logiciel malveillant appelé malwar. A cet effet, la victime est généralement incitée à cliquer sur un lien ou à ouvrir un fichier. Une fois la tentative de phishing réussie, les hackers utilisent les données volées pour en faire un usage frauduleux : usurpation d’identité, escroquerie via carte bancaire, piratage de compte en ligne, revente des données sur le darknet. ».
Consultant en cybersécurité pour la France et le Niger, Moumouni Mohamed en donne sa compréhension: « On vous envoie un e-mail qui vous paraît légitime parce qu’il est supposé provenir du trésor public, de la caisse nationale de sécurité sociale et on vous demande de renseigner un document. C’est de cette manière qu’on peut vous soutirer des informations personnelles : votre adresse mail, votre date de naissance, votre numéro de pièce d’identité ou une photocopie de la carte, votre carte de crédit etc. On vous usurpe ainsi votre identité et on se fait passer pour vous auprès des banquiers par exemple ». Toute entreprise ou tout organisme public peut être exposé à cette technique de cyberattaque d’autant qu’elle prospère sur des défaillances imputables à l’humain. « Selon une étude, près de 80% de ces attaques ont pour cause l’humain. C’est l’individu qui n’est pas formé à la sécurisation de l’information », avance George Vankam, expert camerounais en cybersécurité. En effet, tout commence par exemple par un salarié qui reçoit un e-mail semblant provenir du service informatique de son entreprise. Cet e-mail lui demande de cliquer sur un lien et de mettre à jour son mot de passe professionnel pour des raisons de sécurité. Le salarié s’exécute de bonne foi en cliquant sur le lien contenu dans l’e-mail. Il est alors redirigé vers une page frauduleuse sur laquelle il saisit ses identifiants professionnels, lesquels sont, en réalité, transmis au hacker à l’origine de l’hameçonnage. Celui-ci peut désormais accéder aux informations confidentielles de l’entreprise telles que des informations sur la gouvernance, le personnel, les coordonnées bancaires etc. Il peut alors faire chanter l’entreprise en menaçant de revendre ces informations. Plusieurs organisations de par le monde ont été victimes de ce genre de cyberattaque et ont, bien souvent, payé une rançon aux hackers à l’origine de ce piratage pour récupérer leurs données. « Il y a un directeur d’une grande compagnie d’assurance de la place chez qui nous avons fait une simulation passive de phishing et il a mordu deux fois à l’hameçon. C’est une faille pour son entreprise. C’est dire qu’il n’y a pas de profil type de poste qui est une faille pour l’entreprise. Aussi bien le directeur général que la secrétaire et même le responsable informatique », témoigne George Ankam, expert camerounais en cybersécurité.
Attention à l’usurpation d’identité
La technique du phishing, on l’aura compris, débouche sur l’usurpation d’identité. Fort des informations ainsi recueillies, les cyber-délinquants peuvent vous soutirer de l’argent à la banque, poser des actes frauduleux ou répréhensibles en se faisant passer pour vous. Ce qui, on le devine, n’est pas sans conséquences pour vous. Cette usurpation d’identité peut se présenter sous une autre forme, plus courante celle-là, que décrit si bien l’informaticien Daniel : « Une personne crée un faux compte Facebook avec les informations d’une tierce personne ou récupère le compte whatsApp d’autrui et se fait passer pour elle auprès de ses proches. Dans ce cas, elle invente la plupart du temps une histoire, comme quoi elle est en déplacement et dans l’incapacité de faire face à une urgence familiale : une mère qui a un grave accident, un frère qui a une crise etc. Et elle sollicite une aide financière à rembourser dès son retour. Touchés par la situation de leur ami, frère, collègue, les proches ne prennent pas toujours la peine de vérifier et suivent ce que le cybercriminel leur demande de faire ». Il y a donc lieu de redoubler de vigilance.
La technique du faux transfert d’argent
Ces cyber-délinquants, qui ne manquent pas d’ingéniosité, ont également recours à une autre technique pour « appâter » leurs victimes. Et c’est Gnenetchaba Kiyelman Soro, consultante en cybersécurité, qui en décrit le procédé : « Un type de cyberattaque exploite l’ingénierie sociale c’est-à-dire des personnes que le cyber-délinquant va cibler. Il appelle monsieur ou madame untel et lui dit qu’il lui a fait un transfert de telle somme par erreur et le prie de la lui renvoyer. Quand il tente et que ça réussit une fois, il se dit qu’il peut reproduire la même chose chez quelqu’un d’autre, peut-être que ça marchera une autre fois. Il démultiplie ainsi en tentant sur 50, 100 personnes en se disant qu’il y a forcément quelqu’un qui va mordre à l’hameçon. ».
Ce type de cybercriminalité ou cyber-arnaque, comme les précédents, cause, on s’en doute, d’énormes préjudices aussi bien au simple citoyen qu’à une entreprise ou une administration publique. « J’ai deux clients qui m’ont fait part de pertes de 70 millions de FCFA sur simple attaque de phishing et un autre de 10 millions de FCFA », révèle justement l’expert camerounais en cybersécurité George Ankam. Toujours selon lui, l’Agence nationale des TIC au Cameroun, a enregistré une perte de près de 12 milliards de CFA en 2012. Pourtant, malgré ces préjudices énormes qu’elles subissent, nombre d’entreprises ou organisations victimes de cyberattaque n’osent pas en parler. « Ces cyberattaques ciblent des individus et même des organisations dont la plupart choisissent de ne pas en parler. Elles considèrent ces cyberattaques comme un viol. C’est exactement comme quand on est victime de viol et qu’on a honte d’en parler », explique George Ankam. « Une entreprise peut refuser de communiquer sur la cyberattaque dont elle est victime parce que son image pourrait prendre un coup et lui faire ainsi perdre la confiance de ses clients », avance pour sa part Moumouni Mohamed pour expliquer cette loi de l’omerta qu’observent généralement les entreprises victimes de cybercriminalité. « Si je sais qu’une entreprise qui est censée garder mon argent est victime de cyberattaque, je vais me dire que mon argent n’est pas en sécurité et aller chez un concurrent », renchérit Franck Kié, consultant ivoirien en cybersécurité. Il y a donc lieu de lutter efficacement contre ces crimes commis via le Net. D’où les conseils prodigués par ces experts en cybersécurité.
Assane Niada
