Internet des choses : des risques pour le monde financier ?
par Groupe services-conseils en gestion des risques
Original, tel qu’il apparaît sur Finance et Investissement – https://www.finance-investissement.com/
Pour faire face à une tendance maintenant clairement établie et au besoin de mobilité grandissant, nos appareils connectés se multiplient et s’accrochent à nous comme de petits adjuvants à nos tâches quotidiennes.
Ces appareils ont pris des formes multiples, comme les téléphones intelligents capables de recevoir nos courriels, gérer notre calendrier, nous lier à tout moment aux réseaux sociaux, prendre des photos, des vidéos de nos vies et les partager en temps réel, clavarder avec nos relations, recevoir, lire et signer des documents électroniques, organiser ou participer à des visio-conférences, géo-localiser où notre véhicule est stationné, etc.
Notre téléphone est littéralement devenu un bureau (voir une secrétaire) virtuel et portable ! Certaines marques proposent même de remplacer l’« ancestral » ordinateur de bureau par le téléphone*.
Les autres appareils connectés, comme les montres ou les lunettes intelligentes, relaient nos informations depuis notre téléphone et nous permettent une interaction en temps réel encore plus directe. Nos ceintures et bracelets connectés nous renseignent sur notre activité physique et corporelle, la géolocalisent et la comparent dans des rapports disponibles en ligne.
La surveillance vidéo avec les caméras connectées sur nos réseaux wifi résidentiels ou encore les thermostats, ampoules et prises électriques connectés réglables à distance depuis une simple « app » mobile sont également devenus des outils de notre quotidien.
Nous consommons des technologies pour accélérer ou automatiser la réalisation de nos tâches, toujours en quête du gain d’efficacité et de temps. La question est, à part de l’électricité, qu’est-ce que ces technologies consomment? La réponse est simple, elles consomment nos informations.
La preuve a été faite que ces technologies sont toutes vulnérables** et ont déjà fait l’objet, pour la grande majorité, d’attaques et de vols de données, parfois, même répétés dans les cinq dernières années.
Nous semblons penser que ces données privées n’ont pas de valeur monétaire, mais en réalité une fois corrélées, elles peuvent être très utiles pour perpétrer des cyber-fraudes ciblées et efficaces.
Voici deux exemples tirés de cas réels, qui pourraient vous arriver à vous ou à vos clients : grâce à une attaque par harponnage très ciblée, un cyber-malfaiteur a récupéré les identifiants du compte de courriels personnel d’un membre du personnel financier d’une entreprise de taille moyenne (400-500 employés pour approximativement 120 M$ de revenus par année).
Une attaque par harponnage, qu’est-ce que c’est ?
Imaginez que vous recevez un courriel : « Bonjour, je suis ta cousine par alliance, Francine de Gaspésie, c’est ton cousin qui m’a demandé de te donner accès à notre album en ligne de nos photos de vacances à Cancun.».
Ces données liées à votre écosystème familial et personnel sont disponibles sur Facebook grâce aux multiples identifications qui vous identifient sur les photos des comptes peu protégés de votre famille et de vos amis (et oui, même si vous n’avez pas de compte, vous êtes certainement identifiés sur Facebook).
Donc, vous ouvrez le courriel et cliquez avec confiance sur le lien car vous n’imaginez pas que quelqu’un puisse savoir autant de choses sur votre cousin et son épouse, Francine, et leur voyage à Cancun.
Vous arrivez sur une page « https://www.microsft-0nedrive.com/Francine/photos/Cancun2017», il y a le cadenas vert dans le navigateur, donc la page semble sécuritaire et celle-ci ressemble à s’y méprendre à la page d’authentification de Microsoft. Ici, vous devez entrer vos identifiant Hotmail pour accéder au répertoire de photos partagées. Vous entrez les informations et là, un message d’erreur vous dit que le mot de passe est erroné, vous recommencez et vous arrivez sur une page qui vous dit que le répertoire partagé été effacé ou n’est plus disponible. Il faudra vraiment en parler à Francine, son répertoire ne fonctionne pas !
Vous l’aurez compris la page était une fausse page, détenue par un cyber-malfaiteur qui a donc reçu par 2 fois vos identifiants de compte Hotmail. Il est déjà connecté et a accès à vos courriels et à vos services.
Grâce à un filtre de recherche préconfiguré pour Hotmail, il remarque que vous êtes abonné aux services de Fitbit pour monitorer vos activités physiques et que votre compte iCloud de votre iPhone est configuré avec votre Hotmail. Il a donc accès à votre agenda d’iPhone, votre compte LinkedIn et vos heures d’activités sportives. ».
Voici un autre exemple, ces dernier temps beaucoup de gens sont victimes d’une fraude différente mais aux résultats similaires : vous recevez un message qui ne vient pas de votre antivirus préféré, mais qui affirme que votre ordinateur et gravement à risque, le message vous conseille d’appeler un numéro, la personne qui vous répondra dans votre langue se fera passer pour Microsoft et vous fera installer un petit logiciel de « prise-en-main » à distance de votre ordinateur pour vous aider.
Ne faites pas confiance. Microsoft ne fait pas ce genre de chose. Sachez que l’outil qui vous sera demandé d’installer va tenter d’obtenir vos mots de passe de comptes utilisés sur internet enregistrés dans votre navigateur et bien d’autres fichiers. Si cela vous arrive, éteignez votre ordinateur et faites appel à un vrai spécialiste reconnu.
« Fraude au président »
Maintenant, que fera le fraudeur de toutes ces informations personnelles?
Le fraudeur va profiter que vous faites votre course à pied (votre Fitbit) pour envoyer un message depuis votre compte courriel personnel (en se faisant passer pour vous).
Ce courriel s’adresse à l’adjointe d’un de vos clients fortunés, en l’appelant par son prénom (information trouvée aisément sur LinkedIn, dans vos courriels ou sur Internet). Dans ce message, vous lui dites que votre dernière facture d’honoraires n’a pas été acquittée et que vous serez en réunion toute la journée (information trouvée dans votre agenda iCloud partagé). ,
Le ton du courriel est urgent et pressant. En pièce jointe il y a une facture, un ordre signé de transaction ou des coordonnées bancaires. L’angoisse et le stress générés par ce courriel risquent de transformer l’essai en transaction frauduleuse.
Vous pensez que ce n’est pas plausible ?
La Coop Fédérée (5,5M$ en 2014) et bien d’autres entreprises en sont déjà les victimes avec des pertes cumulées de plus de 500M$ par années.
Ne soyez pas le prochain.
Ne soyez pas le maillon faible à cause de votre vie sur-connectée.
* Dès l’arrivée dans les locaux le téléphone se branche directement sur un écran d’ordinateur, un clavier et une souris et on l’utilise comme un ordinateur « classique ».
* *Attention, je ne dis pas que les entreprises qui sont derrières ces technologies sont mal intentionnées (mais nous ne « connaissons » ou ne croyons connaitre que les « gros » joueurs du marché).