Sécurité sur Internet
Grande enquêteUne grande enquête sur l’utilisation d’Internet a été réalisée, avec la participation de la Mobilière, auprès de plus de 1200 personnes de plus de dix-huit ans en Suisse. Les résultats révèlent qu’Internet est omniprésent dans notre quotidien. Malgré tout, les mesures contre la cybercriminalité restent encore insuffisantes.
La population suisse est très connectée
En moyenne, les personnes de plus de dix-huit ans qui résident en Suisse possèdent 6,9 appareils connectés à Internet, les hommes d’ailleurs plus que les femmes et les jeunes plus que les seniors. Le shopping en ligne est également très prisé, avant tout parmi les jeunes. Près de la moitié de la population effectue entre un et trois achats par mois sur Internet.
Combien de personnes ont déjà été victimes de cybercriminalité?
Ces trois dernières années, environ une personne interrogée sur douze a déjà été concernée par une cyberattaque aux lourdes conséquences. Et près d’une sur dix a déjà été la victime d’une escroquerie dans une boutique en ligne ou sur une plateforme de réservation au cours des cinq dernières années. Pour plus d’informations à ce sujet, veuillez lire nos guides.
Comment la population suisse se comporte-t-elle?
Près des deux tiers de la population suisse utilisent (presque) toujours le même mot de passe et courent donc des risques élevés de voir des personnes mal intentionnées s’en emparer. À l’inverse, plus d’un quart des internautes ne se servent jamais deux fois du même mot de passe, et même un tiers ne le fait pratiquement jamais. Les gestionnaires de mots de passe aident à administrer ses mots de passe de manière sécurisée. Notre guide vous explique comment définir un mot de passe sûr.
Un point positif: plus de 80% des personnes interrogées installent les mises à jour de sécurité dans les 24 heures, ou au maximum dans le délai d’une semaine. En revanche, près de 10% des plus de 65 ans n’effectuent jamais de mises à jour. En général, les personnes âgées sont les moins bien informées en matière cybersécurité, et courent donc un risque plus élevé d’être visées par un acte de cybercriminalité.
Quel est l’état d’esprit de la population suisse concernant la cybersécurité?
Une grande majorité des personnes interrogées pensent que les attaques provenant d’Internet sont à prendre au sérieux. Près des deux tiers d’entre elles estiment être toutefois plutôt bien, voire très bien informées sur la manière de se prémunir contre les attaques par rapport à leurs collègues. Plus de 85% des personnes interrogées se sentent même plutôt ou très en sécurité lorsqu’elles utilisent Internet. La majorité – environ un tiers (35%) – estime plutôt, voire très faible le risque d’être personnellement victime d’une cyberattaque grave au cours des deux ou trois prochaines années. Environ une personne interrogée sur huit (12%) estime que sa vie et ses données personnelles ne sont pas assez intéressantes ou importantes pour être attaquées.
Entretien avec Marco Fischer, responsable de l’équipe Cybersinistres
Responsable du team Cyberdommages au siège principal de Berne, Marco Fischer a déjà été confronté à de nombreux cas. Il nous fait part ici de ses expériences.
Selon l’enquête, quelque 80% de la population effectuent au minimum un achat en ligne par mois. Quelles arnaques rencontrez-vous le plus fréquemment?
Le mode opératoire est souvent le même, seuls les scénarios varient. Les cas peuvent aller d’une annonce en ligne falsifiée qui exige un paiement d’avance jusqu’à l’arnaque complexe avec un site web falsifié ou de longues conversations sur WhatsApp visant à gagner la confiance des victimes. L’objectif des pirates est toujours d’obtenir un paiement de leur victime.
En matière de cyberdommages, collaborez-vous avec la police?
Oui, principalement lorsque des entreprises sont concernées. Dans tous les cas, nous recommandons aux victimes de toujours déposer plainte auprès de la police. Mais comme les pirates sont généralement à l’étranger, le taux d’élucidation reste faible.
Si vous deviez donner trois conseils aux internautes pour plus de sécurité sur Internet, lesquels seraient-ils?
Conseil n°1, faites preuve de vigilance lorsque vous faites des achats en ligne! Les offres à prix dérisoires ne sont souvent pas réelles, mais des arnaques.
Conseil n°2: sécurisez bien les accès aux services Internet. Si possible, utilisez une authentification à deux facteurs, avec un mot de passe suivi par exemple d’un SMS.
Conseil n°3: comportez-vous dans l’espace numérique comme dans la vie réelle. Soyez sceptique vis-à-vis des boutiques, des personnes et des choses que vous ne connaissez pas. Ne vous laissez jamais mettre sous pression. En cas de doute, renseignez-vous auprès de votre entourage. Mieux vaut une fois de trop que pas assez!
Marco Fischer
Marco Fischer, il ressort de l’enquête réalisée auprès de la population suisse que près des deux tiers des internautes estiment plutôt bien, voire très bien s’y connaître en cyberprotection. Est-ce que cela vous rassure?
Non, pas vraiment. Ce résultat signifie plutôt que la population n’estime pas correctement le risque. Notre expérience en matière de traitement des sinistres montre que n’importe quelle personne peut être victime d’un acte de cybercriminalité. Dans les cas d’escroqueries en particulier, les victimes peinent à croire qu’elles se sont fait avoir par les escrocs.
Les gens sont-ils trop crédules?
Je constate simplement que les gens font généralement plus rapidement confiance à quelqu’un dans le cyberespace qu’à une personne qu’ils rencontrent physiquement. Ils croient par exemple les promesses de rendements élevés faites par un inconnu sur WhatsApp et via un site web falsifié, alors qu’ils se méfieraient d’une telle histoire dans la rue.
Quels sont les sinistres les plus classiques dans le domaine de la cyberassurance?
Les entreprises subissent principalement des sinistres liés au chiffrement de leurs données (rançongiciels) et à l’arnaque, par exemple du fait de factures PDF falsifiées. Les particuliers, eux, sont avant tout victimes d’escroqueries commises lors d’achats sur Internet, notamment sur des places de marché en ligne exigeant le paiement d’avance. Ils subissent aussi souvent des dommages en relation avec la communication de leurs données bancaires ou de carte de crédit. Par exemple, une personne reçoit un e-mail ou un SMS demandant le remboursement de taxes douanières de 50 centimes, mais dès que les données de paiement sont saisies, la carte ou le compte se fait débiter de plusieurs centaines de francs.
Quelle aide apportez-vous aux clientes et clients en cas de dommage?
Si le cas est couvert, l’assurance prend en charge le dommage financier et met à disposition des spécialistes du support technique, par exemple si des données ont été perdues. Lorsque nécessaire, nous offrons en outre un soutien juridique et fournissons des conseils.
Dans les cas d’escroquerie, nous cherchons aussi à déterminer s’il est possible de récupérer de l’argent. Les pirates qui agissent depuis l’étranger disposent en général d’un intermédiaire titulaire d’un compte en Suisse. Le cas échéant, nous pouvons agir contre cette personne.
Entretien avec Daniel Tschabold, testeur de sécurité Redguard
Daniel Tschabold, de la société Redguard, teste la sécurité informatique des entreprises. Avec son team de spécialistes, il teste et renforce leur cyberdéfense au moyen d’attaques, de piratages en direct et d’autres mesures.
Daniel Tschabold, que pensez-vous de l’affirmation «Mes données ne sont pas intéressantes», que l’on a notamment entendue dans le cadre de l’enquête réalisée auprès de la population?
Tout le monde a des données intéressantes. Ne serait-ce qu’une adresse électronique valable, qui peut être regroupée avec des milliers d’autres et revendue sous forme de paquets. Plus on peut former des ensembles de données, plus celles-ci deviennent exploitables, et donc intéressantes. Par exemple, avec l’adresse électronique, le numéro de téléphone et le mot de passe Facebook d’une personne, je peux essayer de pirater les autres comptes de celle-ci en appliquant partout le mot de passe. Ou je peux appeler la personne en question, lui envoyer un SMS ou un message WhatsApp et tenter d’obtenir davantage de renseignements. Les données personnelles sont aussi proposées dans des parties cachées d’Internet, sur le Darknet. En fonction de leur étendue et de leur type, elles auront plus ou moins de valeur.
La population suisse est-elle encore trop insouciante par rapport aux cyberattaques?
Certaines personnes sont parfaitement conscientes des risques, d’autres pas du tout. Le fait que la cybercriminalité soit un business mondialisé qui continue à rapporter justifie à lui seul qu’on agisse pour s’en protéger.
Quelles sont les dernières stratégies des cybercriminels?
Les stratégies restent plus ou moins les mêmes. Les attaques ne sont souvent pas très sophistiquées techniquement parlant. Pas besoin, par exemple, de disposer de connaissances poussées pour envoyer un e-mail ou téléphoner à quelqu’un. D’autres attaques en revanche sont plus élaborées et s’appuient sur une industrie bien organisée, spécialisée dans certains domaines précis comme l’hameçonnage ou les maliciels.
Quel rôle l’IA joue-t-elle?
L’IA permet de détecter des schémas. En ce sens, elle est utile pour lancer des cyberattaques ou s’en prémunir. Dans le cas de l’hameçonnage, l’IA aide à écrire des textes de meilleure qualité. Elle jouera certainement un rôle à l’avenir, mais pas aussi proéminent que la tendance le laisse actuellement supposer. Il faut rester réaliste: en cas de cyberattaque, si on ne possède pas l’infrastructure technique et organisationnelle et qu’on ne sait pas quoi faire ni comment, l’IA ne sera pas d’une grande utilité.
Daniel Tschabold
La population suisse est très connectée, avec en moyenne sept appareils connectés à Internet par personne. Quels appareils sont les plus attaqués?
Il n’y a pas de catégorie particulière. Les appareils attaqués sont ceux qui ne disposent pas de mesures de sécurité fortes. Ceux-ci sont souvent faciles à utiliser: brancher, allumer, fini. Les personnes qui les utilisent négligent les paramètres de sécurité car elles n’ont pas envie de s’en occuper activement. Or on laisse le champ libre aux pirates en ne modifiant pas les mots de passe standard ou en ne mettant pas à jour les logiciels.
Les appareils de type smart home sont-ils intéressants pour les pirates?
Pratiquement n’importe quel appareil est intéressant pour les cybercriminels. S’il est atteignable depuis Internet, il permet ensuite d’exploiter les failles depuis n’importe quel endroit de la planète. Un téléviseur connecté une webcam, entre autres, peut servir de porte d’entrée pour pénétrer un réseau et attaquer d’autres appareils qui ne seraient pas directement accessibles autrement. Les pirates peuvent utiliser les appareils qui ont été hackés par exemple pour lancer une attaque DDoS, c’est-à-dire inonder un site web de demandes et le paralyser.
Quelle est la manière la plus rapide et la plus simple pour les pirates d’accéder aux données personnelles?
Sur les réseaux sociaux, les gens partagent des informations intéressantes pour les pirates, dont leur lieu de travail, leurs loisirs, etc. Chaque internaute dispose facilement d’une centaine de comptes différents: réseaux sociaux, boutiques en lignes, services financiers, etc. Il y a des données personnelles absolument partout. Les données sensibles, telles que celles des cartes de crédit, peuvent également se retrouver sur Internet lorsqu’elles sont volées dans des boutiques ou sur des plateformes, ou revendues après un hameçonnage réussi. Impossible de se protéger contre de telles fuites.
Est-ce que le simple fait d’ouvrir un e-mail d’hameçonnage est dangereux?
Ce que les pirates veulent, en envoyant des e-mails d’hameçonnage, c’est obtenir des données. Pour ce faire, ils peuvent dissimuler un maliciel dans un document ou demander à leur victime, sous de faux prétextes, de saisir leur mot de passe ou leurs données de carte de crédit sur un site falsifié. L’ouverture d’un tel message peut fournir de premières informations à la personne qui l’a envoyé: l’e-mail a été lu, où il a été lu, le programme de messagerie et le système d’exploitation. Avec ces informations, un cybercriminel sait que l’adresse est valable et que les messages sont lus. Après cette première tentative, la victime recevra peut-être d’autres mails d’hameçonnage, c’est tout. Mais attention aux pièces jointes et aux liens: avant de cliquer, il faut d’abord faire preuve d’esprit critique et vérifier si l’e-mail est plausible.