Voler des données physiques dans un monde numérique

La pandémie a été très difficile pour les entreprises, mais la plupart ont quand même réussi à continuer de fournir les services essentiels à leurs clients. Cependant, beaucoup ont aussi vu leur niveau de cyberrisque augmenter de façon exponentielle, presque du jour au lendemain. Alors que les criminels étaient déjà très habiles pour voler des informations d’affaires sensibles avant la pandémie, leur travail s’est trouvé grandement facilité lorsque les dirigeants et leurs employés ont commencé à faire du télétravail. Ils étaient désormais nombreux à utiliser des technologies personnelles à des fins professionnelles, entourés d’appareils connectés à internet mais non sécurisés, et le décor dans lequel ils évoluaient — contenant souvent beaucoup de détails personnels — était bien visible lors de visioconférences. D’ailleurs, les signalements se sont rapidement multipliés à propos d’intrusions, dans les conférences téléphoniques virtuelles, de personnes qui voulaient perturber les réunions pour s’amuser, ou pire — pour voler de l’information qu’elles pourraient ensuite utiliser contre l’entreprise.

De nombreuses entreprises ont modifié leurs politiques d’utilisation acceptable afin de soutenir les employés qui devaient obligatoirement faire du télétravail pour prévenir la propagation du coronavirus. Elles leur ont accordé davantage d’autorisations afin qu’ils puissent s’occuper de leur propre soutien technique et se connecter à des réseaux, des imprimantes et des dispositifs de stockage à domicile. Malgré la mise en place de ces mesures, le manque de connaissances techniques des employés et leur connaissance limitée sur la façon d’utiliser les technologies à distance en toute sécurité ont donné lieu à une hausse du nombre d’atteintes à la protection des données en raison du transfert non sécurisé d’information sensible, tant vers le nuage que vers des adresses de courriel personnelles.

À bien des égards, les entreprises n’ont jamais été plus susceptibles d’être victimes d’un incident de sécurité grave qu’elles le sont actuellement. Non seulement les gens utilisent des ordinateurs personnels et des téléphones cellulaires pour accéder aux renseignements de l’entreprise, mais les nombreux périphériques physiques dans les maisons — thermostats, assistants vocaux, éclairage et stores connectés à internet — peuvent tous être des cibles pour les criminels, leur permettant de s’immiscer dans un réseau domestique pour accéder à une mine de données personnelles et professionnelles.

Cette convergence de la sécurité physique et de la cybersécurité est l’une des trois menaces émergentes dont les organisations doivent être conscientes alors que nous nous rapprochons de l’avenir post-pandémie. Les deux autres, qui sont couverts dans le premier et le troisième volet de notre série de cybersécurité sont la confidentialité et la protection des données, et le contexte des menaces qui évolue constamment. Plus les entreprises en savent sur les cybermenaces qui pourraient paralyser leurs activités, mieux elles peuvent se protéger.

Assurer la protection des données physiques

Depuis de nombreuses années, les chefs d’entreprise se soucient de protéger les réseaux de leur organisation contre les attaques traditionnelles comme les courriels hameçons, le téléchargement de logiciels malveillants, etc. Ils consacrent beaucoup moins de temps à réfléchir au fait que les espaces et les appareils physiques pourraient eux aussi être des cibles. Un rapport (en anglais seulement) de 2020 faisait état de criminels ayant recouru à l’ancienne méthode de fouille des poubelles pour voler des informations fiscales de spécialistes en déclarations de revenus, qui pouvaient ensuite servir à obtenir frauduleusement des paiements de secours liés à la COVID-19. Un autre article (en anglais seulement) révélait que des dossiers médicaux confidentiels avaient été trouvés dans des poubelles, mais heureusement avant que des gens mal intentionnés n’aient pu s’en emparer et les utiliser. Fouiller les poubelles pour trouver des documents peut paraître dépassé, mais étant donné que les gens sont plus nombreux à faire du télétravail et qu’ils impriment parfois des documents plutôt que de les lire à l’écran, des données de nature très délicate sont jetées aux ordures, et les criminels font tout ce qu’ils peuvent pour les trouver.

Les nombreux périphériques physiques connectés à internet que les gens ont chez eux sont également vulnérables. Par exemple, on a signalé à maintes reprises des cas de criminels ayant ciblé des caméras de sécurité et des sonnettes de porte avec moniteur vidéo pour voir l’intérieur d’une pièce, suivre les allées et venues à une adresse, ou même aborder et menacer des personnes qui se trouvent à l’intérieur d’un immeuble pour leur extorquer de l’argent. Un recours collectif (en anglais seulement) a été contre une entreprise qui fabrique des sonnettes vidéo par des utilisateurs affirmant qu’ils avaient été terrorisés verbalement par des criminels qui s’étaient introduits dans leurs systèmes de caméras.

Il existe même des sites web qui diffusent en continu des images en temps réel, que n’importe qui peut voir, de gens dans des bureaux, des gymnases, des magasins, des maisons et des arrière-cours, captées par des caméras vidéo non protégées. Les propriétaires d’entreprise et les tiers qui installent ces caméras ignorent qu’on les observe — ils installent simplement la caméra et, souvent, ils ne mettent pas à jour la configuration de sécurité ou ne changent pas le mot de passe qui pourrait les protéger des regards indiscrets. Il en est de même avec d’autres appareils : les pirates réussissent à accéder à un thermostat intelligent ou un assistant à commande vocale pour s’infiltrer dans un réseau domestique où ils pourront obtenir toutes sortes de renseignements importants.

Les criminels peuvent également découvrir l’environnement physique d’une personne à partir de ses données numériques. Dans un cas célèbre, les emplacements de bases militaires secrètes ont été révélés au public lorsqu’une entreprise d’appareils intelligents a publié une carte de densité des lieux où les utilisateurs des appareils s’entraînaient. Il s’est avéré que le personnel militaire utilisait des dispositifs de suivi d’entraînement pendant les courses autour des bases, créant ainsi des limites de zone que n’importe qui pouvait voir.

Plus de données, plus personnelles, plus de valeur

On n’imaginerait peut-être pas que les auteurs de menaces puissent tirer des informations utiles d’une caméra installée dans une salle d’entraînement, mais l’information qu’ils recherchent de nos jours est beaucoup plus vaste et plus sophistiquée que ce qui les intéressait il y a à peine quelques années. À une certaine époque, les criminels ciblaient souvent les numéros de cartes de crédit, qui monopolisaient les marchés du web invisible illégal. Aujourd’hui, les marchés se sont tournés vers un modèle encore plus lucratif : la cyberextorsion.

Les criminels font du chantage aux employés et vendent leurs informations sur les marchés du web invisible. Ils ont recours à la fraude psychologique (qui consiste à exercer des activités malveillantes par l’intermédiaire d’une autre personne) pour voler des informations comme des noms, des données sur des organisations et des rôles, qu’ils utilisent pour obliger leurs victimes à accomplir des activités imposées. Les auteurs de menaces qui ont accès aux comptes d’utilisateur d’employés obligent ceux-ci à voler des données de leur employeur ou à leur fournir de l’information de nature délicate qui pourra leur servir pour d’autres attaques. Souvent, les pirates cesseront ces activités criminelles en échange d’une somme rondelette. Cependant, ce n’est pas toujours le cas.

Par exemple, dans un cas bien connu qui s’est produit en 2020, les pirates ont utilisé la fraude psychologique auprès d’employés d’une importante société de médias sociaux, les forçant à extorquer 180 000 $ US à des utilisateurs de prestige au moyen de divers messages et supercheries, jusqu’à ce que les fraudeurs soient arrêtés. L’an dernier également, un employé d’un grand constructeur d’automobiles s’est vu offrir 1 M$ US pour installer un logiciel malveillant dans le réseau de l’entreprise, mais il a refusé.

Le cyberchantage et la cyberextorsion sont la principale raison pour laquelle les menaces internes ont connu une augmentation de 47 % (en anglais seulement) depuis 2018. Ce risque accru, associé à un contexte de travail à distance non sécurisé, permet aux criminels de découvrir les activités personnelles d’une victime, notamment des dettes de jeu ou des problèmes de santé. Certains obtiennent même des photos ou des vidéos compromettantes de leurs victimes et menacent ensuite de les publier à moins que de l’argent ou d’autres services ne soient fournis. Le taux d’incidents de soi-disant courriels de sextorsion qui ont été signalés à la police était de 44 % en 2018, pourcentage qui n’a fait qu’augmenter depuis.

Tout cela fait en sorte qu’il est facile pour les auteurs de menaces de cibler des victimes. S’ils ont l’œil, disons, sur le chef de la direction d’une entreprise qui possède des renseignements de nature délicate sur les clients — peut-être un organisme de soins de santé ou un grand cabinet d’avocats —, il leur suffit de trouver un site web qui affiche les images en temps réel de la caméra non sécurisée du club de sport où le chef de la direction se rend pour ses séances d’exercices pour savoir à quel moment il n’est pas chez lui. Ils peuvent alors soit y entrer physiquement, soit s’y introduire numériquement sans être repérés. Si la cible a installé chez elle une sonnette de porte connectée à internet, les criminels pourraient voir à quelle fréquence et pendant combien de temps elle s’absente. Un thermostat intelligent pourrait fournir des données sur la température ambiante, données qui pourraient également indiquer si quelqu’un se trouve à la maison ou pas, puisque les gens règlent souvent la température des pièces à un niveau plus bas lorsqu’ils sont absents.

La combinaison de toutes ces informations fait en sorte qu’il est plus facile pour les criminels d’envoyer des courriels qui ont l’air vrais, incluant, par exemple, des renseignements très personnels que seulement un ami ou un collègue proche pourrait connaître, et d’amener ainsi les destinataires à cliquer sur un lien hameçon. Cela peut mener à une attaque de logiciels de rançon, où les pirates bloquent un ordinateur et obligent ensuite son propriétaire ou utilisateur à verser une importante somme d’argent pour récupérer l’accès. Par ailleurs, plus le portrait que l’on obtient d’une personne est complet, plus la valeur que l’on peut en tirer sur le marché noir est grande. (Les cartes de crédit expirent ou peuvent être bloquées, mais les renseignements personnels restent toujours les mêmes.)

Protéger les appareils de votre personnel

Si l’on vous dérobe de l’information confidentielle et que les renseignements des clients se retrouvent sur le web criminel, votre entreprise pourrait être poursuivie en justice et tenue responsable de dommages-intérêts. C’est pourquoi il est important de présumer que toutes les données, que ce soit dans le monde physique ou numérique, pourraient être visées par une attaque.

Une façon de protéger votre entreprise consiste à envoyer une équipe d’experts en cybersécurité chez les employés qui pourraient être des cibles — hauts dirigeants, membres du conseil, scientifiques des données et autres employés ayant accès à des informations de nature sensible — pour passer en revue les mesures de sécurité et s’assurer que les appareils intelligents sont correctement mis à jour et que les mots de passe sont changés souvent, ou au moins régulièrement. Il importe également d’appliquer les correctifs de sécurité aux logiciels, surtout si les programmes datent de plusieurs années.

La sensibilisation des employés demeure une protection primordiale pour les organisations d’aujourd’hui. Il est essentiel de leur expliquer qu’il peut être dangereux de jeter une feuille de papier sur laquelle figurent des données personnelles, que l’environnement d’une personne dans une vidéo peut révéler de l’information de nature sensible, ou que les messages sur les réseaux sociaux peuvent contenir des détails susceptibles d’intéresser les pirates. De plus, il faut leur rappeler avec insistance que les renseignements personnels peuvent facilement être rendus publics et que, souvent, ils restent publics à jamais.

Par conséquent, assurez-vous que votre entreprise peut prévenir et détecter les incidents de cybersécurité, et qu’elle est en mesure d’y réagir, tant dans l’environnement physique que numérique, surtout maintenant que vous comptez peut-être beaucoup d’employés en télétravail. Assurez-vous que les appareils personnels des dirigeants et des collaborateurs clés sont sécurisés, que leurs profils et comptes en ligne sont suffisamment protégés, et que leur résidence et leurs propriétés sont à l’abri des cybermenaces et des menaces physiques.

Une équipe externe de détection et d’intervention peut aider votre organisation à comprendre où et comment se produisent les attaques, vous aider à élaborer les méthodes les plus efficaces pour protéger votre entreprise et intervenir rapidement en cas d’attaque afin d’empêcher d’éventuels dommages.

Les criminels deviennent de plus en plus malins, et les outils dont ils disposent sont plus nombreux que jamais. Les entreprises qui comprennent toutes les façons dont ils peuvent s’attaquer à leurs activités et qui prennent des contre-mesures appropriées pour préserver leurs données seront celles qui sauront le mieux se protéger.

Dans le prochain et dernier article de notre série sur la cybersécurité, Quatre types d’intrusions à surveiller, nous examinerons les quatre principales façons dont les violations se produisent aujourd'hui.

Remerciements

Adrian Cheek
Directeur, Renseignements et chasse aux cybermenaces
Centre de Cyber Intelligence de Deloitte