Quelles sont les menaces qui pèseront sur nous durant l’année 2022 en matière de cybersécurité ?
L’année 2022 approche, et avec elle son lot de bonheurs mais aussi de cyber menaces qui pèseront sur notre quotidien. Quelles sont-elles ? Cinq d’entre elles ont été répertoriées par Lookout, les voici.
Il sera de plus en plus difficile de distinguer ce qui est légitime en ligne.
Lors du premier trimestre 2021, 4 personnes sur 10 ont rencontré un lien dangereux en utilisant leurs appareils mobiles. Moins d’un an plus tard, 5 personnes sur 10 ont été confrontées à des menaces au troisième trimestre 2021. Cette tendance ne fera que s’accentuer avec la multiplication des escroqueries par SMS, e-mail et médias sociaux.
Les acteurs malveillants peuvent envoyer des millions de messages aux consommateurs de manière très efficace. Il suffit que quelques personnes mordent à l’hameçon pour que ce procédé soit rentable. Et si certaines escroqueries par hameçonnage sont faciles à détecter, le “spear phishing” – qui consiste à utiliser des éléments de votre identité ainsi que des informations contextuelles (par exemple, en utilisant votre nom, et qui provient de ce qui semble être votre banque) – peut rendre très difficile de discerner si les messages sont légitimes ou non.
L’exemple de phishing de 2021, ci-dessous, illustre à quel point il peut être difficile de distinguer un site web légitime d’un faux site d’escroquerie. Les attaques de phishing peuvent être si trompeuses que seul un tiers (33 %) des consommateurs pouvait distinguer de manière fiable le vrai site de connexion Google, ci-dessous, du faux site.*
Une nouvelle technologie a vu le jour, qui permet à des acteurs malveillants de modifier des photos et des films, rendant extrêmement difficile, même pour un œil exercé, de distinguer le vrai du faux. Les “deepfakes” sont de fausses images et vidéos convaincantes réalisées à l’aide de logiciels d’intelligence artificielle et peuvent être produites avec des logiciels librement disponibles. Un exemple de technologie deepfake s’est répandu cette année lorsqu’un graphiste a créé une vidéo deepfake “Tom Cruise” qui est devenue virale sur TikTok. Des millions de visionnages plus tard, il est évident que, au-delà du divertissement, cette technologie offre un grand potentiel pour tromper le public par la manipulation numérique. En effet, lorsqu’on a montré aux consommateurs un clip d’une vraie interview de Tom Cruise, ainsi qu’un exemple de clip de film de Tom Cruise “Deep Fake”, 61 % des utilisateurs ont été incapables de distinguer correctement le vrai et le faux Tom Cruise.*
La technologie Deepfake a également commencé à être poussée à l’extrême. Cette année, des attaquants ont réussi un hold-up bancaire qui s’est soldé par un vol de 35 millions de dollars en utilisant la technologie Deepfake pour cloner la voix du PDG d’une banque et inciter les employés à leur remettre des informations sensibles. Bien que les attaques de cette nature ne soient pas courantes, elles illustrent la façon dont cette technologie remettra de plus en plus en question l’authenticité des vidéos, des images et des informations, ce qui nécessitera une sécurité accrue pour protéger les consommateurs contre les escroqueries simples – et complexes – à l’avenir.
Vos données privées seront exposées, il est donc essentiel de sécuriser vos comptes.
En octobre de cette année, le nombre de violations de données survenues en 2021 avait déjà dépassé le nombre total pour toute l’année 2020, avec près de 281,5 millions de personnes touchées. En 2021, les victimes ont vu leurs données personnelles – y compris les e-mails, les mots de passe et les numéros de sécurité sociale – exposées dans le cadre de ces violations massives de données d’entreprises.
En 2018, 2,2 milliards de dossiers ont été volés à la suite de violations de données, et en 2017, la seule violation de données d’Equifax a compromis les informations sensibles de 143 millions d’Américains, soit près de la moitié de la population du pays. Les données de Lookout montrent qu’en moyenne, 80 % des consommateurs ont vu leurs e-mails fuiter sur le dark web, 70 % ont vu leur numéro de téléphone compromis, 10 % ont vu leur permis de conduire fuiter et 7 % ont vu leur numéro de sécurité sociale exposé en ligne.
Avec plus de 80 % des adresses mails des victimes exposés sur le dark web, les attaquants vont de plus en plus voler des informations personnelles et financières importantes en compromettant les comptes en ligne des victimes. La compromission d’un compte se produit lorsqu’un pirate accède à un compte en ligne de différentes manières, notamment si le mot de passe du compte est faible, réutilisé sur d’autres sites ou divulgué dans le cadre d’une violation de données. De nombreuses personnes ne prennent pas les mesures nécessaires pour protéger au mieux leurs informations. En fait, 60 % des personnes réutilisent leurs mots de passe sur plusieurs comptes.
Au-delà de la réutilisation des mots de passe, de nombreuses personnes utilisent également des mots de passe associés à des informations publiques publiées sur leurs profils de médias sociaux personnels. Dans une récente enquête de Lookout, 26 % des personnes interrogées ont déclaré que leurs comptes Facebook étaient publics, et de nombreuses personnes utilisent des références personnelles affichées dans leurs profils comme mots de passe pour leurs comptes en ligne, notamment 60 % des personnes utilisent leur date de naissance, 30 % affichent des noms et des informations sur les membres de leur famille, et 47 % indiquent leur ville natale.* Les attaquants peuvent facilement extraire ces informations des publications sur les médias sociaux et tenter de les utiliser pour se connecter à des comptes.
Les acteurs malveillants utilisent également des techniques pour contourner les outils de sécurité qui ont été mis en place pour fournir des couches supplémentaires de protection des comptes en ligne. Par exemple, la technologie de code de vérification SMS à deux facteurs, qui envoie un code pin à votre appareil mobile pour vérifier votre identité avant d’autoriser l’accès aux comptes en ligne, peut facilement être usurpée par les attaquants. Dans le cadre d’un stratagème appelé “Sim Swapping”, les acteurs malveillants tentent de convaincre les opérateurs de téléphonie mobile qu’ils doivent transférer un numéro de téléphone vers un autre appareil. Souvent, avec seulement quelques éléments d’identification clés, dont un nom et un numéro de sécurité sociale (informations souvent disponibles sur le dark web à la suite de violations de données), les attaquants peuvent autoriser le changement et rediriger le code d’autorisation vers leur appareil. Si l’on se tourne vers l’avenir, les mauvais acteurs continueront à mettre en œuvre des techniques permettant d’échapper à la sécurité afin d’obtenir un accès non autorisé aux comptes en ligne.
Les crypto-monnaies vont se généraliser et les escroqueries aux crypto-monnaies vont suivre.
Au cours de l’année écoulée, les monnaies numériques comme le bitcoin et l’ethereum ont gagné en valeur et en popularité. Sur une période de 12 mois, 13 % des Américains ont acheté ou échangé des crypto-monnaies, contre 24 % qui ont investi dans des actions sur la même période. Le Staples Center, où jouent les Lakers et les Clippers de Los Angeles, sera rebaptisé du nom d’un échange de crypto-monnaies, ce qui montre à quel point les crypto-monnaies deviennent courantes.
Avec la popularité croissante des crypto-monnaies auprès des nouveaux investisseurs, les escroqueries liées aux crypto-monnaies sont également en hausse. Selon la Federal Trade Commission, entre octobre 2020 et mai 2021, les victimes ont déclaré avoir perdu plus de 80 millions de dollars dans des arnaques à l’investissement en crypto-monnaies – avec une perte médiane de 1 900 dollars. Par rapport à la même période un an plus tôt, cela équivaut à environ 12 fois le nombre de signalements et à près de 1 000 % de plus en pertes déclarées. En outre, les jeunes sont plus souvent victimes de cryptomonnaies que les autres publics. En effet, les personnes âgées de 20 à 49 ans étaient plus de cinq fois plus susceptibles que les groupes plus âgés de déclarer avoir perdu de l’argent à cause de ces escroqueries. Alors que les histoires d’individus achetant de petites quantités de crypto-monnaies autrefois obscures comme Doge ($DOGE) et Shibhu Inu ($SHIB) deviennent millionnaires en quelques mois, les investisseurs novices vont essayer de reproduire leur succès et les escrocs vont essayer d’en profiter. Squid Coin, profitant de la popularité de la série originale de Netflix Squid Game, a réussi à collecter 3,4 millions de dollars de fonds d’investisseurs, mais le créateur original s’est enfui avec l’argent, laissant les investisseurs sans rien.
Les arnaques aux crypto-monnaies peuvent prendre différentes formes, notamment celle de mauvais acteurs se faisant passer pour des investisseurs célèbres ou des célébrités sur les médias sociaux et incitant les utilisateurs à envoyer des crypto-monnaies sur de faux comptes. Dans l’un de ces exemples, des fraudeurs se faisant passer pour Elon Musk sur les médias sociaux ont escroqué des personnes pour qu’elles donnent des crypto-monnaies d’une valeur de plus de 2 millions de dollars. Dans une autre arnaque à la crypto-monnaie, un client de Coinbase a reçu une notification d’hameçonnage sur son appareil – de ce qui semblait être Coinbase – l’avertissant que son compte avait été verrouillé. Le client a appelé le numéro indiqué dans la notification et a parlé avec un représentant pour rétablir l’accès à son compte. Cependant, quelques minutes plus tard, il a appris qu’il avait été victime d’une escroquerie, les fraudeurs lui ayant volé 11,6 millions de dollars de crypto-monnaies.
La crypto-monnaie est déjà la principale méthode de paiement choisie pour les campagnes de ransomware d’entreprise. Les ransomwares grand public et les escroqueries tentent généralement de convaincre les utilisateurs d’acheter des cartes-cadeaux Amazon et App Store pour payer les rançons, à tel point que les détaillants ont pris des mesures pour empêcher les particuliers d’acheter des cartes-cadeaux aux montants importants sans explication. À mesure que les crypto-monnaies deviennent plus faciles à acheter et à envoyer par les particuliers, elles remplaceront les cartes-cadeaux et deviendront également le principal mode de paiement des ransomwares et des escroqueries destinés aux particuliers.
Comme les comptes en crypto-monnaies ne sont pas assurés par l’État et que les paiements en crypto-monnaies ne sont pas réversibles, le risque pour les personnes est particulièrement élevé. Comme les gens adoptent les crypto-monnaies à grande vitesse, les escroqueries continueront de gagner en sophistication, en prévalence et en valeur, car les mauvais acteurs s’efforcent de pousser les gens à donner leur monnaie.
L’essor de l’IoT et des “appareils connectés” suscite des inquiétudes quant au respect de la vie privée en raison des données collectées.
Aujourd’hui, il y a plus d’appareils connectés dans le monde que de personnes et plus de 77 % des ménages disposant d’un réseau Wi-Fi ont déclaré posséder au moins un appareil domestique intelligent en 2021, contre 65 % un an plus tôt, selon le cabinet d’études IDC.
Alors que l’adoption de l’IoT a bondi, et que des appareils allant des assistants vocaux aux serrures et caméras intelligentes ont facilité certains aspects de la vie quotidienne, cette technologie présente également des considérations uniques en matière de sécurité et de confidentialité pour les personnes. En fait, dans une enquête récente, près des deux tiers des interrogés ont déclaré qu’ils trouvaient “effrayante” la façon dont leurs appareils connectés collectent des données sur leurs habitudes personnelles.”
En 2019, il a été rapporté que des employés d’Amazon ont été embauchés pour écouter les conversations vocales afin d’aider à améliorer les “systèmes de reconnaissance vocale et de compréhension du langage naturel” d’Alexa.” Le fait que les conversations puissent être capturées sans le consentement de l’utilisateur a entraîné une sensibilisation et une inquiétude accrues quant à la fiabilité des appareils dotés de microphones “à écoute permanente”.
Ces préoccupations en matière de sécurité ont été validées lorsqu’en août 2021, une vulnérabilité a été signalée, affectant 83 millions d’appareils connectés, y compris des caméras de sécurité, permettant à un acteur malveillant d’accéder à la vidéo et à l’audio et de prendre potentiellement le contrôle à distance de ces appareils.
Alors que les fabricants s’efforcent de publier des mises à jour pour corriger ces vulnérabilités, les utilisateurs doivent souvent mettre à jour manuellement leur logiciel, ou il s’écoule des jours, des semaines ou des mois entre le moment où une vulnérabilité est découverte et celui où elle est déployée, ce qui expose les gens à des risques d’attaque.
Si les appareils connectés vidéo et vocaux ont sensibilisé à la sensibilité des données collectées par les particuliers, une multitude d’autres appareils IoT – en particulier les appareils médicaux – posent également des problèmes de confidentialité importants. À la fin de l’année 2020, on estime à 450 millions le nombre d’appareils médicaux connectés utilisés dans le monde. Ce chiffre devrait augmenter de 10 % d’une année sur l’autre pour atteindre plus de 700 millions d’ici à 2025**. Ces appareils comprennent la surveillance traditionnelle, mais aussi des dispositifs d’implantation comme les défibrillateurs cardiaques sans fil, et des microdispositifs ingérables par voie orale. Les préoccupations en matière de sécurité sont particulièrement importantes dans le secteur des soins de santé, où la fiabilité des appareils fonctionnant comme prévu peut devenir une question de vie ou de mort. Les mesures de protection contre le piratage d’un dispositif IoT ainsi que la protection des données privées sous-jacentes et des analyses recueillies par ces dispositifs seront essentielles en 2021 et au-delà.
Tout le monde est suivi à la trace et les gens voudront plus d’anonymat
Lorsque vous envoyez un e-mail, effectuez une recherche en ligne ou partagez une photo sur les médias sociaux, vous laissez invariablement derrière vous une traînée de données personnelles qui représente votre “empreinte numérique.” Ces données comprennent les activités que vous effectuez dans les applications et en ligne, mais aussi des données “physiques” – comme la localisation – car nous emportons nos appareils avec nous à peu près partout où nous allons.
Les entreprises technologiques collectent des données sur leurs utilisateurs pour personnaliser leur expérience et faciliter la navigation dans les activités en ligne. Cependant, les utilisateurs ne sont pas toujours conscients – ou à l’aise – de la quantité d’informations personnelles collectées.
Par exemple, votre fournisseur de messagerie électronique a la possibilité d’analyser le contenu de vos messages électroniques privés, et votre fournisseur de recherche peut suivre l’historique de vos recherches et les sites web que vous visitez. En outre, une fois sur un site web, vous êtes invité à accepter les “cookies”, qui se présentent sous deux formes : les cookies de première partie et les cookies de tierce partie. Un “cookie de première partie” permet à un site d’observer votre comportement et de vous proposer un contenu spécifique sur ses services. D’autre part, un “cookie tiers” donne accès à un grand nombre d’autres sociétés (y compris des annonceurs ou des plates-formes d’analyse) pour obtenir des informations sur vos habitudes de navigation. Lorsque vous acceptez un cookie tiers, vous commencez immédiatement à partager des informations vous concernant avec des organisations externes, dont certaines ne vous sont probablement pas du tout familières.
Toutes ces données – qu’il s’agisse de vos messages électroniques privés, de vos requêtes de recherche, de l’historique de votre localisation et même de votre façon de vous asseoir ou de marcher – représentent votre “empreinte numérique” qui permet d’établir un profil très précis et invasif que de nombreux utilisateurs trouvent envahissant, voire effrayant. Ainsi, de plus en plus de personnes cherchent à protéger leur vie privée en empêchant des tiers de suivre leurs activités afin de pouvoir naviguer dans le monde en ligne avec plus de liberté et d’anonymat.
En 2021, les entreprises technologiques ont pris des mesures importantes pour offrir de nouvelles fonctionnalités de protection de la vie privée qui contribuent à limiter le suivi numérique et à donner aux utilisateurs plus de visibilité et de contrôle. Apple a commencé à demander l’autorisation de l’utilisateur avant d’autoriser les cookies tiers dans sa mise à jour iOS 14.5 et Google a annoncé qu’il prévoyait de supprimer progressivement les cookies dans son navigateur Chrome dans les années à venir. Cette tendance va se poursuivre et d’autres entreprises technologiques ne manqueront pas de suivre, car la protection de la vie privée devient une priorité. En 2022, nous nous attendons à ce que l’accent soit mis sur le suivi numérique et sur la nécessité de trouver des solutions offrant une plus grande confidentialité et un meilleur anonymat aux utilisateurs.
En résumé, l’année 2022 sera marquée par des risques accrus pour notre sécurité numérique, notre vie privée et nos finances, car nous vivons davantage en ligne. Mais il y a une bonne nouvelle : Les internautes peuvent prendre des mesures pour se protéger.
- Restez vigilant face aux escroqueries en ligne et aux escroqueries liées aux cryptomonnaies.
N’oubliez pas que tout ce que vous voyez en ligne n’est pas réel. Lorsqu’une offre semble trop belle pour être vraie, elle l’est probablement. Il en va de même pour les communications alarmantes que vous recevez. Si un SMS ou un e-mail est rédigé avec une extrême urgence, ou vous demande d’envoyer de l’argent ou de prendre des mesures concernant votre compte, arrêtez-vous et allez directement à la source pour valider si elle est légitime. N’envoyez jamais d’argent (monnaie traditionnelle ou crypto-monnaie) à des sources que vous ne pouvez pas vérifier en toute confiance en personne.
Les attaques de phishing sont de plus en plus difficiles à discerner à l’œil nu. Envisagez d’utiliser une sécurité avancée – avec une protection contre les logiciels malveillants et une protection de la navigation sécurisée – qui analysera toutes les applications et tous les liens sur lesquels vous cliquez et bloquera les menaces avant qu’elles ne causent des dommages.
- Protégez vos comptes contre la compromission
Utilisez toujours des mots de passe forts et uniques. Si le mot de passe de votre compte en ligne est divulgué dans le cadre d’une violation de données, changez-le immédiatement.
Activez l’authentification à deux facteurs (comme Google Authenticator) plutôt que la validation par SMS pour protéger vos comptes. L’authentification à deux facteurs permet de protéger votre compte même si vos informations d’identification sont compromises ou si votre téléphone est visé par une arnaque d’échange de carte SIM.
Enfin, activez les alertes immédiates en cas de violation et la surveillance de l’identité personnelle qui vous alerteront immédiatement lorsque vos informations seront divulguées dans le cadre d’une violation de données et surveilleront vos informations personnelles à l’avenir pour protéger vos comptes contre la compromission et le vol de votre identité.
- Protégez vos données personnelles et ne partagez vos informations qu’en cas de besoin
Réfléchissez à deux fois avant de partager vos données personnelles. Réfléchissez à la raison pour laquelle une entreprise vous demande votre adresse électronique et à ce qu’elle pourrait en faire avant de la saisir en ligne. Si un magasin vous demande votre date de naissance, votre permis de conduire ou votre numéro de téléphone, vous pouvez refuser de partager ces informations.
Vous pouvez également envisager de refuser que des services utilisent vos données personnelles à des fins publicitaires. Les services en ligne vous permettent de refuser d’autoriser l’utilisation de vos données personnelles à des fins publicitaires, notamment : YouTube, Amazon, Twitter et LinkedIn.
* Lookout a commandé une enquête à 2 000 internautes en novembre 2021.
** Rapport de McKinsey & Company : L’Internet des objets : Rattraper une opportunité qui s’accélère (novembre 2021).
A propos de Lookout
Lookout est le leader de la sécurité mobile, et protège les terminaux à l’intersection des vies professionnelle et personnelle. Notre mission est de sécuriser et de dynamiser notre futur digital dans un monde sensible à la protection des données personnelles ou les mobiles sont omniprésents dans nos activités. Nous permettons aux consommateurs et aux employés de protéger leurs données et de rester connectés en toute sécurité sans violer ni leur vie privée ni leur confiance Lookout bénéficie de la confiance de millions d’utilisateurs particuliers, d’entreprises, d’administrations publiques et de partenaires tels qu’AT&T, Verizon, Vodafone, Microsoft, Google et Apple. Ayant son siège à San Francisco, Lookout possède également des bureaux à Amsterdam, Boston, Londres, Sydney, Tokyo, Toronto et Washington, D.C. Pour en savoir plus, rendez-vous sur le site www.lookout.com et suivez Lookout sur son blog, LinkedIn, et Twitter.