L’explosion du trafic Internet et des activités numériques est un progrès incontestable. Mais il fait aussi courir des risques grandissants en matière de sécurité. La preuve avec ces dix exemples, qui doivent alerter sur les mesures à prendre.
3 minutes pour pirater un nouvel objet connecté
Caméras de surveillance, imprimantes, thermostats intelligents… Les milliards d’objets reliés au web sont extrêmement mal sécurisés. Les utilisateurs omettent la plupart du temps de changer le mot de passe par défaut et, d’autre part, les fabricants n’intègrent pas de réel système de sécurité dans leurs dispositifs. Résultat : moins de 3 minutes sont nécessaires à un hacker pour prendre le contrôle d’un objet connecté, selon l’éditeur de sécurité ForeScout, partenaire de Malwarebytes.
1,1 million de victimes de fraude à la carte bancaire par an
Le nombre de ménages victimes d’une fraude à la carte bancaire a plus que doublé en 5 ans, passant de 500.000 en 2011 à 1,1 million en 2015, d’après le dernier rapport de l’Observatoire national de la délinquance et des réponses pénales (ONDRP). Au total, le montant de ces retraits frauduleux dépasse les 416 millions d’euros, ajoute l’Observatoire de la sécurité des cartes de paiement. Cette explosion résulte d’abord de la diffusion de ce moyen de paiement, mais aussi des cyberattaques : un faux courriel « officiel » de la banque ou du fisc qui vous demande votre numéro, ou le piratage de comptes de clients via des sites e-commerce.
+83 % de smartphones infectés au 2e semestre 2016
Près de 1 % des smartphones ont été infectés par un logiciel malveillant dans la seconde moitié de 2016, d’après Nokia. C’est une hausse de 83 % par rapport au premier semestre et qui illustre bien la tendance des hackers à se tourner vers les appareils mobiles, qui représentent désormais plus de la moitié du trafic Internet. La plupart de ces malwares se propagent via le traditionnel phishing (lien frauduleux) ou en téléchargeant une application malveillante. Une fois le téléphone infecté, le hacker peut bloquer son accès, dérober les données du téléphone ou espionner vos activités.
65 vols de données par seconde
5,6 millions de données personnelles (adresse mail, mot de passe, numéro de carte bleue…) sont piratées ou perdues chaque année, selon le Breach level index de Gemalto. Soit 232.644 par heure ou 65 par seconde. Et personne n’y échappe : la banque américaine JPMorgan, LinkedIn, eBay, Lastfm, le site de rencontres extra conjugales Ashley Madison ou même une bête application de livraison de pizza. Résultat : des bases de données de millions d’identifiants se baladent dans la nature.
41 % : le taux de succès d’un ransomware
Pour retrouver l’accès à son ordinateur, un utilisateur sur quatre est prêt à payer la rançon demandée par le hacker, d’après une étude de l’université de Kent sur la variante CryptoLocker. IBM rapporte lui que 54 % des consommateurs sont prêts à débourser plus de 100 dollars pour récupérer leurs fichiers. Il n’existe pourtant aucune garantie de déblocage des données : parfois le hacker va faire monter les enchères et demander une nouvelle rançon, ou tout simplement empocher l’argent sans donner la clé de décryptage. Mais pour l’instant, le chantage fonctionne. En 2016, les ransomwares ont rapporté un milliard de dollars aux cybercriminels, estime le FBI.
201 jours pour découvrir une cyberattaque
En décembre 2016, Yahoo a avoué s’être fait voler les données d’un milliard de ses utilisateurs. Des comptes piratés… en 2013. Il faut en moyenne 201 jours à une entreprise pour découvrir qu’elle a été victime d’une cyberattaque, selon l’institut Ponemon. Et encore 70 jours pour venir à bout des dégâts occasionnés. Autant dire que les hackers peuvent prendre leur temps pour siphonner toutes les informations possibles. Et plus le temps passe, plus les dégâts économiques s’amplifient : 3,23 millions de dollars pour une détection à moins de 100 jours ; 4,38 millions pour une durée supérieure.
1,7 milliard de publicités fraudeuses en 2016
Google a supprimé 1,7 milliard de publicités mensongères, illégales ou trompeuses en 2016 ; deux fois plus qu’en 2015. Dont 68 millions de pubs pour des produits illicites, notamment les médicaments ou des sites de jeux en ligne. Une course-poursuite sans fin avec les escrocs. « Si vous supprimez une pub frauduleuse par seconde, il vous faudra 50 ans pour finir le travail » fait remarquer Google. Heureusement la firme se dote d’outils de détection plus en plus perfectionnés.
140 attaques de phishing par heure
1,22 million d’attaques par phishing ont été enregistrées en 2016, selon l’Anti-Phishing Working Group (APWG), qui coordonne la lutte contre la cybercriminalité aux États-Unis. Une hausse de 65 % par rapport à 2015. Près de 278.000 « faux sites » ont été détectés rien qu’au troisième trimestre. La plupart du temps, les emails contiennent un lien similaire au vrai (par exemple, gougle au lieu de google), qui renvoie vers un site frauduleux qui va siphonner vos données en demandant votre mot de passe.
Les particuliers deux fois plus infectés que les professionnels
Les entreprises disposent de moyens de défense plus élevés et plus sophistiqués (firewall, logiciels de sécurité…) que les simples individus. Les ordinateurs de ces derniers sont du coup 2,2 fois plus victimes de malwares que ceux des professionnels, d’après Microsoft. Exception faite des exploits (éléments de programme permettant au logiciel malveillant de s’installer), aussi courants sur PC particuliers que professionnels, alors même que ces derniers sont deux fois moins nombreux. Preuve qu’il s’agit là d’une menace très sérieuse pour les entreprises.
Une entreprise subit 29 cyberattaques par an
Les entreprises françaises ont été victimes de 29 attaques informatiques en moyenne en 2016, selon le Cesin (Club des experts de la sécurité de l’information et du numérique), qui regroupe les responsables de la sécurité informatique de 280 sociétés tricolores. C’est deux fois plus qu’en 2015. Le ransomware est le mode d’attaque favori des hackers, avec pas moins de 80 % des victimes déclarant en avoir subi, loin devant l’attaque par déni de service (40 %).
