Par Swann Bigot, consultant juridique et auteur, pour Eurasia Business News – le 22 mars 2020

Photo - Télétravail Pixabay Mars 2020 - Copie

Poste de travail avec ordinateur portable – Source : Pixabay

Dans le contexte exceptionnel d’épidémie de COVID-19 et de confinement décidé par les autorités publiques, les entreprises, administrations et structures éducatives mettent en place le télétravail et l’apprentissage des cours à distance. Des millions de personnes poursuivent ainsi leurs activités professionnelles et leurs études grâce à leur ordinateur et une connexion au réseau Internet.

Plusieurs précautions sont à prendre. Cette adaptation des activités augmente en effet la surface exposée aux attaques des cybercriminels et crée de nouveaux défis pour les équipes de sécurité informatique.

Alors que des entreprises traversent de sérieuses difficultés en raison de la crise sanitaire, que les administrations et les hôpitaux sont pleinement mobilisés pour protéger les populations et prendre en charge les patients, il est impératif d’éviter de tomber dans les pièges des cybercriminels.

Les cyberattaques s’intensifient

Les cybercriminels multiplient en effet leurs approches pour tromper les utilisateurs ignorant les risques. La difficulté de sécurisation des environnements de travail et d’apprentissage à domicile crée des opportunités pour les actes cybermalveillants, usant de techniques d’ingénierie sociale dans un contexte d’inquiétude des utilisateurs face à l’épidémie de COVID-19.

Certes, le travail à domicile ou les programmes d’éducation en ligne ne sont pas nouveaux. Toutefois, c’est la migration importante et immédiate de personnes des réseaux d’entreprise, administratifs, éducatifs et universitaires surveillés et sécurisés vers des réseaux Wi-Fi domestiques en grande partie non surveillés et souvent non sécurisés, qui crée une vaste surface d’attaques pour les cybercriminels. La situation actuelle reste inédite.

Les utilisateurs domestiques sont en effet hors de portée des outils de sécurité du périmètre professionnel et seront probablement plus exposés aux campagnes de phishing et aux logiciels malveillants exfiltrant des mots de passe et des données sensibles ou bloquant les systèmes avec leur données pour obtenir une rançon (rançongiciels / ransomware).

Les experts s’accordent sur le fait que la première vague d’efforts malveillants visant les personnes en télétravail, les écoliers et les étudiants est susceptible de jouer sur leurs peurs et leurs préoccupations concernant l’épidémie de COVID-19. Les cybercriminels savent exploiter les émotions de leurs victimes, en tirant parti du contexte. La situation anxiogène de la crise sanitaire actuelle est une ressource pour les cybercriminels.

Les faits sont là. Des cyberattaquants ont déjà lancé des opérations sur le thème du coronavirus alors que l’inquiétude des populations autour de la pandémie est réelle.  Diverses campagnes d’attaques impliquant le logiciel malveillant Emotet ont été détectées dès le mois de janvier. Les utilisateurs basés au Japon et en Chine ont été les premiers visés. Emotet avait été découvert par l’entreprise de cybersécurité Trend Micro en 2014. Les cybercriminels ont donc su développer et améliorer leur outil malveillant et l’adapter à l’actualité internationale pour cibler un large nombre de victimes.

Un groupe APT (Advanced Persistent Threat) qui serait basé en Chine a récemment été repéré par les équipes de l’entreprise israélienne de cybersécurité Check Point Software Technologies. Ciblant les institutions publiques de Mongolie, les cybercriminels diffusent un fichier texte au format RTF qui est annoncé comme provenant du Ministère des affaires étrangères de Mongolie et contenant des informations sur l’épidémie de COVID-19. Ce fichier corrompu, une fois téléchargé par la victime, diffuse par un outil dénommé RoyalRoad, un cheval de Troie d’accès à distance (Remote-access Trojan) personnalisé et unique qui prend des captures d’écran, télécharge des fichiers et plus encore, d’après les experts de Check Point Research.

Les experts de la firme de cybersécurité Domaintools ont également découvert qu’une application Android, COVID-19 Tracker, prétendant offrir un service de suivi des personnes infectées par le COVID-19 était en réalité un logiciel malveillant. Une fois téléchargée et installée, l’application verrouille le téléphone de la victime et demande un paiement de 100 dollars en bitcoin sous 48 heures en échange d’un code qui débloquerait téléphone. Le tout accompagné d’un message menaçant d’effacer les données contenues si la rançon n’est pas payée.

L’Organisation mondiale de la santé (OMS) a diffusé un avertissement concernant des cybercriminels se faisant passer pour l’organisation pour mieux tromper leurs victimes et s’infiltrer dans leurs équipements informatiques. Soyez vigilants si vous recevez un courriel, un SMS ou un contenu sur une messagerie instantanée. Le seul appel aux dons qui est lancé par l’OMS relève du Fonds de réponse solidaire COVID-19, n’est pas diffusé par courriel mais est accessible au lien suivant :

https://www.who.int/emergencies/diseases/novel-coronavirus-2019/donate

Toute tentative d’escroquerie peut être signalée en contactant directement l’OMS : https://www.who.int/

Vigilance et bonnes pratiques

Ces différentes campagnes malveillantes confirment que l’accroissement de la surface d’attaque avec le recours massif au télétravail et à l’apprentissage à distance nécessite une plus grande vigilance de la part des utilisateurs. La prudence et le bon sens, constituent déjà de bonnes barrières.

Le recours aux bonnes pratiques augmentera la sécurité du télétravail :

  1. Ne pas se précipiter et prendre le temps de la réflexion / confirmation ;
  2. Faire des sauvegardes régulières de ses données et les conserver sur un support déconnecté ;
  3. Utiliser des mots de passe complexes et activer la double authentification ;
  4. Se méfier des réseaux Wi-fi publics ;
  5. Mettre à jour son antivirus ;
  6. Se méfier des appels inconnus ou provenant de pays étrangers ;
  7. La prudence quant aux courriers électroniques au contenu alarmiste ou douteux et vous invitant à cliquer sur un lien ou une pièce jointe, notamment sur le thème du coronavirus. Inspectez attentivement le courriel. S’ils semblent provenir d’une institution de confiance, vérifiez les coordonnées indiquées dans le message et sur son site officiel ;
  8. Ne téléchargez vos applications que depuis les sites ou magasins officiels des éditeurs : Google Play, Apple Store, etc…
  9. N’utilisez que des sources d’information fiables provenant de sites officiels du Gouvernement, de Ministères ou d’Instituts de recherche ;
  10. Vérifier la fiabilité et la réputation des sites que vous visitez pour vos achats. Les faux sites de vente de masques médicaux, de gel hydroalcoolique, de téléconsultations médicales, d’attestations payantes de déplacement dérogatoire se multiplient sur fond d’épidémie de coronavirus ;
  11. Offrez une formation de sensibilisation à la sécurité aux employés pour leur apprendre à éviter les menaces par courrier électronique ;
  12. Déployez les derniers correctifs et mises à jour pour les systèmes d’exploitation et les logiciels utilisés ;
  13. Assurez-vous que les filtres antispam sont correctement configurés ;
  14. Adhérez au principe du moindre privilège ;
  15. La charte informatique de votre organisation doit intégrer les règles d’usage liées au télétravail ou à l’apprentissage à distance.

En général, les cyberattaquants recherchent une vulnérabilité pour lancer leur opération malveillante. Les émotions, l’inquiétude de la population face au virus COVID-19 est la vulnérabilité que les cybercriminels chercheront à exploiter. Si une personne est préoccupée ou stressée par la crise sanitaire, elle est moins susceptible de se souvenir de sa formation en cybersécurité et sera plus encline, par exemple, à cliquer sur un lien malveillant dans un courriel de phishing, à donner ses informations d’identification à un site Web malveillant se faisant passer pour un site institutionnel ou à donner suite à un faux ordre de virement (FOVI).

Lire aussi : Comment protéger votre entreprise des cybermenaces ?

Cet oubli en matière de cybersécurité peut être particulièrement vrai pour ceux qui n’ont pas l’habitude de travailler ou d’étudier à distance ou pour les personnes fatiguées ou stressées par la gestion de crise. Aujourd’hui est donc le meilleur moment pour faire un rappel des bonnes pratiques de cybersécurité. Le bon fonctionnement d’infrastructures essentielles en dépend.

Protéger les hôpitaux

Dans cette période d’urgence sanitaire, il est prioritaire que chaque personne travaillant dans une structure de santé et utilisant du matériel informatique redouble de vigilance, car les cybermenaces sont présentes.

Ainsi, le centre hospitalier universitaire de Brno, en République tchèque, a été victime début mars d’une cyberattaque en pleine épidémie de COVID-19. Cet important centre de tests et de soins face au coronavirus a été ciblé par un rançongiciel qui a perturbé son fonctionnement et provoqué des reports d’opérations de chirurgie. Le Centre national tchèque de cybersécurité et les forces de l’ordre sont intervenus pour rétablir le fonctionnement des systèmes.

L’enjeu de la cybersécurité est aujourd’hui prioritaire pour les établissements de santé, en première ligne dans le traitement de l’épidémie de COVID-19. Pour aider les professionnels de santé déjà très mobilisés par la prise en charge des patients, des entreprises de cybersécurité ont décidé de s’engager et d’offrir gratuitement leurs services à des hôpitaux victimes de rançongiciels. La société Coveware, en partenariat avec Emsisoft, propose ainsi ses services gratuitement.

Sur l’année 2019, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le gardien français du cyberespace, a traité 18 incidents liés à des rançongiciels dans le secteur de la santé.

En mai 2017, le rançongiciel Wannacry avait infecté en une journée au moins 200 000 machines dans plus de 150 pays, rappelle l’ANSSI. Plusieurs établissements de santé dépendant du National Health Service au Royaume-Uni avaient été touchés et des services d’urgences arrêtés. Le préjudice pour le système de santé anglais a été évalué à 100 millions d’euros. Autant de ressources financières perdues pour l’achat de matériel médical ou le recrutement de personnel de santé. La cybersécurité en appelle donc à l’engagement et à la responsabilité de chacun, à son poste de travail informatique.

Les dirigeants des organisations concernées doivent aussi veiller à la sensibilisation et à la formation de leurs équipes.

En novembre 2019, le centre hospitalier universitaire de Rouen était la cible d’un rançongiciel. Cinquante agents de l’ANSSI avaient été dépêchés sur place pour résoudre la crise. Le parquet de Paris avait ouvert une enquête pénale pour piratage en bande organisée et tentative d’extorsion.

Le défi technique du télétravail

Le manque de ressources informatiques peut impacter de nombreuses organisations alors qu’elles tentent de s’adapter et de mettre en place le télétravail ou les apprentissages à distance. Lorsque les travailleurs, les chefs d’entreprises, les agents publics, les écoliers et les étudiants sont envoyés en dehors du périmètre ordinaire et sécurisé, la gestion de l’étalement des appareils utilisés, la correction et la sécurisation de centaines de milliers de terminaux, devient un défi important pour les équipes informatiques.

L’équipe de sécurité informatique perd la maîtrise de l’environnement dans lequel l’utilisateur nomade travaille. La connexion Wi-Fi domestique est-elle sécurisée ? Si l’utilisateur nomade utilise un ordinateur personnel, de quels mécanismes dispose l’équipe informatique pour s’assurer que l’appareil n’est pas compromis? Suite à la mise en place du télétravail, le nouveau périmètre du réseau informatique professionnel comprend désormais tous les domiciles des employés. Certains programmes de sécurité sont prêts pour cela, d’autres non.

Les utilisateurs doivent donc se prendre en main, être vigilants et appliquer les bonnes pratiques précitées, pour faciliter la tâche des équipes informatiques, déjà très mobilisées.

Les administrations gouvernementales, les affaires juridiques, les assurances, les banques et les soins de santé sont tous de bons exemples de secteurs d’activité qui sont vulnérables en cas d’afflux massif de travailleurs à distance. Les acteurs doivent s’adapter pour garantir un maximum de sécurité dans l’utilisation des équipements.

Etant donné la place de l’ingénierie sociale dans la plupart des cyberattaques, la sensibilisation et la formation des utilisateurs est plus importante que jamais.

Assurez-vous que vos employés et étudiants connaissent les dernières informations fiables sur le coronavirus et qu’ils savent comment se protéger et protéger leurs familles contre le virus lui-même, ainsi que contre tous les cybercriminels opportunistes. Des utilisateurs informés resteront de marbres face aux sirènes du phishing.

Le cyberespionnage est aussi là

Les groupes de cyberespions sont aussi à l’affût car ils savent très bien que les réseaux domestiques ne sont pas aussi sécurisés que ceux internes aux entreprises dans les secteurs sensibles. Les connexions à distance rendent en particulier plus difficile le travail des outils de détection des menaces qui sont là pour différencier une connexion légitime des autres connexions suspectes. L’espionnage industriel ne s’arrête pas malgré l’épidémie de COVID-19. En outre, les espions ne recourent pas seulement aux logiciels malveillants pour exfiltrer des données confidentielles.

Lire aussi : Les Etats face à l’espionnage dans le cyberespace

La question de la sécurité physique du lieu de télétravail se pose aussi. L’accès au local de télétravail est-il sécurisé ? Surveillé ? Il est évident que la personne exerçant ses missions en télétravail dans un secteur sensible devra redoubler de vigilance.

Des liens utiles

Si vous pensez être victime d’un acte cybercriminel, signalez votre situation sur le portail cybermalveillance.gouv.fr.

Si vous pensez que l’acte malveillant a visé un équipement informatique que vous utilisez pour vos activités professionnelles, informez votre responsable hiérarchique et le département de sécurité informatique de votre employeur.

L’ANSSI a publié en octobre 2018 un guide sur le télétravail, qualifié aussi de « nomadisme numérique ». Vous y trouverez une série de recommandations.

Merci de compter parmi nos lecteurs et prenez soin de vous !

Si vous aimez nos articles, abonnez-vous et recevez nos publications électroniques !

© Copyright 2020 – Swann Bigot, consultant juridique et auteur, pour Eurasia Business News