A l’occasion du Black Friday (ou « vendredi noir »), du Cyber Monday et de la CyberWeek, les offres promotionnelles des Web Marchands captent notre attention. Les cookies nous tracent et ces offres profilées nous submergent. Nous sommes pollués par la Data connexion et les risques de cyberattaques y afférents.
Par conséquent, le Gouvernement, via « cybermalveillance.gouv.fr »[1], ne manque pas d’alerter les consommateurs : « toutes les techniques frauduleuses seront utilisées par les criminels pour tenter d’abuser leurs victimes afin de leur faire réaliser un achat qu’ils ne verront jamais arriver, les faire rappeler des numéros surtaxés, leur voler leurs données personnelles ou bancaires, les rançonner ».
Le panier moyen des cyberattaques
Derrière ces « bonnes affaires à ne pas rater » sur le Web, sommeille sur le Dark Web une bête noire dont les rapines se monnayent âprement.
Pour se faire, il a de multiples techniques :
- créer un faux site internet marchand arborant une présentation similaire à des sites connus du public : par exemple, de nombreux sites ont imité le site internet de la marque de luxe Louboutin avec des noms de domaines tels que « fr» ou « chaussurelouboutinfemme.com» ;
- créer un faux site « Black Friday » : il s’agit d’un site créé exprès pour la circonstance ;
- pratiquer le Hameçonnage (« le phishing ») par courriel ou téléphone : par exemple, des abonnés Netflix ont récemment reçu des email de la part de hackeurs se faisant passer pour Netflix[2], ou des clients recevant des emails de leur prétendue banque afin de recueillir des informations bancaires5 ;
- envoyer de fausses annonces promotionnelles ;
- demander de contacter un numéro surtaxé, de faux transporteurs ou faux services après-vente ;
- pratiquer la Rançongiciels (« ransomware») : par exemple, l’affaire WannaCry qui a touché des centaines de pays, le logiciel malveillant verrouillait et cryptait les fichiers des utilisateurs afin de les forcer à payer une rançon ;
- envoyer des virus sur votre ordinateur ou smartphone ou des virus cachés derrière des logiciels qui nettoient l’ordinateur[3];
- Les IOT et objectés connectés piégés[4].
Votre négligence sera retenue par la loi
Le 25 octobre dernier, la Cour de cassation a cassé la décision de la juridiction de proximité de Calais, rendue le 7 décembre 2015, condamnant la Caisse du Crédit Mutuel à rembourser les sommes prélevées sur le compte de la victime d’une opération de phishing[5]. Pour donner une base légale à leur décision, les magistrats se sont fondés sur l’article L.133-16 du Code monétaire et financier[6] donnant pour obligation à l’utilisateur d’un instrument de paiement d’être raisonnablement vigilant. De ce fait, il est implicitement rappelé qu’être victime c’est aussi être coupable d’avoir été piégé[7].
De plus, par une délibération du 16 novembre 2017, la formation restreinte de la CNIL a prononcé une sanction d’un montant de 25 000 € à l’encontre de l’éditeur de quatre sites de démarches administratives en ligne ayant laissé librement accessibles les données de ses utilisateurs. Elle a considéré que la société Web Editions avait manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients, conformément à la lettre de l’article 34 de la loi Informatique et Libertés[8].
Aujourd’hui, la société est amplement avertie de l’existence de ces escroqueries 2.0. Elle n’a plus d’excuse, elle doit adopter les comportements adéquats afin de se protéger contre les « cyberarnaques ».
Le kit de survie à portée de clic
En France, nous disposons de deux autorités de contrôle ayant une mission de protection contre les cyberattaques :
- La Commission nationale informatique et libertés (CNIL) dont la mission est de protéger les données personnelles, accompagner l’innovation et préserver les libertés individuelles. La CNIL vous conseille sur la manière dont vous pouvez protéger vos données personnelles dont vos données bancaires. Par exemple, elle recommande aux clients de ne pas conserver sur leur ordinateur ou smartphone leurs données bancaires puisque ces appareils ne sont pas conçus pour les sécuriser[9]. En outre, si vos données personnelles ont été compromises, vous pouvez déposer une plainte en ligne auprès de cette autorité.
- L’Agence nationale de la sécurité des systèmes d’information (Anssi) est l’autorité nationale de cybersécurité et de cyberdéfense. Elle a pour mission la promotion des technologies, des systèmes et des savoir-faire nationaux. Elle contribue au développement de la confiance dans le numérique et assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l’État. Par ailleurs, c’est elle qui est à l’origine de l’alerte contre la multiplication des « cyberarnaques » à l’occasion du Black Friday.
En substance, selon le Gouvernement[10] : »
- Méfiez-vous des offres trop généreuses: Faites un minimum de vérification au risque de ne jamais voir arriver votre achat ou au mieux vous faire livrer une contrefaçon. (Réalité de la promotion, notoriété du vendeur, risque de contrefaçon…)
- Ne confondez pas vitesse et précipitation: Avant de donner votre numéro de carte bancaire, il faut prendre le temps de procéder à un minimum de vérifications (Existence réelle du vendeur, réalité de la promotion, sécurité de la transaction…).
- Ne rappelez pas inconsidérément des numéros surtaxés: surtout si des messages énigmatiques vous demandent de recontacter un pseudo transporteur « pour votre livraison » ou un service après-vente « suite à votre achat », préférez rappeler le numéro officiel du transporteur ou du SAV concerné.
- Attention à l’hameçonnage(« phishing ») : vérifiez scrupuleusement les adresses d’envois (un seul caractère peut parfois changer), ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes d’expéditeurs inconnus ou douteux qui vous annoncent l’affaire du siècle, vous pourriez le regretter amèrement par le vol de vos codes d’accès, données personnelles ou bancaires, la contamination par un virus…
- Vérifiez la réalité et la notoriété des sites sur lesquels vous allez faire vos achats: assurez-vous que vous n’êtes pas sur une copie frauduleuse d’un site officiel ou sur un site créé pour la circonstance qui propose des affaires comme on n’en voit nulle part ailleurs mais qui n’a en réalité pas pour autre objet que de vous escroquer. Vérifiez scrupuleusement l’adresse du site, un seul caractère peut parfois changer.
- Protégez vos données personnelles et bancaires: quitte à rater une très bonne affaire, au moindre doute ne les fournissez pas au risque de conséquences qui pourraient être dramatiques (usurpation d’identité, transactions bancaires frauduleuses…).
- Utilisez un mot de passe différent et complexe pour chaque application ou site Internet: c’est le seul moyen de vous assurer que, si votre mot de passe est compromis sur un site, cela ne compromettra pas l’ensemble de vos accès informatiques. »
Surfez couverts
Ces conseils sont applicables tout au long de l’année. Ce sont des gestes à portée de clic et simples qui peuvent vous éviter de devenir la cible des cybercriminels.
[1] Cybermalveillance.gouv.fr est un programme gouvernemental assurant un rôle de sensibilisation, de prévention et de soutien en matière de sécurité du numérique auprès de la population française.
[2] Voir article : http://www.phonandroid.com/netflix-millions-abonnes-victimes-tentative-phishing.html
[3] Voir article sur Ccleaner : http://www.huffingtonpost.fr/2017/09/18/un-virus-cache-dans-ccleaner-le-logiciel-qui-nettoie-votre-pc_a_23213251/
[4] Sur Reddit Love sense : les ébats sont sur écoute, pour plus de précisions : http://www.ladn.eu/tech-a-suivre/iot/une-appli-de-sextoys-enregistre-les-ebats-de-ses-utilisateurs/
[5] Voir article : https://www.legalis.net/actualite/paiement-frauduleux-en-ligne-negligence-de-la-victime-de-phishing/
[6] Art. L. 133-16, Code monétaire et financier : « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.
Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation. »
[7] Voir article fuite des devis Darty, faute remise sur les clients ayant diffusé eux-mêmes des informations sans en avoir conscience et favorisant le risque de tentative de phishing : https://www.quechoisir.org/actualite-donnees-personnelles-des-devis-darty-fuitent-sur-internet-n48184/
[8] Voir article : https://www.cnil.fr/fr/web-editions-sanction-pecuniaire-pour-une-atteinte-la-securite-et-la-confidentialite-des-donnees
[9] Voir article : https://www.cnil.fr/fr/le-paiement-distance-par-carte-bancaire
[10] Voir article : https://www.cybermalveillance.gouv.fr/nos-articles/black-friday-attention-aux-arnaques/