Vous recevez un mail: attention aux hackers !

Devenu indispensable pour échanger dans le monde de l'entreprise, l'e-mail est la voie d'entrée préférée des hackers qui en veulent à votre ordinateur, abusant de votre candeur.

Huit infections sur dix ont été provoquées par l'envoi de mails, généralement parce que l'utilisateur a ouvert une pièce jointe contenant un "malware", un logiciel malveillant. Son ordinateur servira ensuite de base au hacker pour infiltrer le système informatique de la société.

"Toutes les grandes histoires de piratage, à un moment ou à un autre, c'est l'utilisateur qui a reçu un courriel piégé, qui ne s'est pas posé la question de savoir qu'il ne connaissait pas la personne qui le lui envoyait, que c'était écrit en mauvais français, etc.", note Tanguy de Coatpont, directeur général de la société de sécurité informatique Kaspersky Lab France.

"Il a quand même cliqué et ça a commencé comme ça!", explique-t-il.

"Les employés ne sont pas toujours formés aux risques du numérique, et sont des agents faibles lorsqu'il y a des attaques", constate Guillaume Poupard, le directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), chargée de coordonner la défense face aux cybercriminels. "Les attaquants auraient tort de s'en priver!"

A écouter les experts réunis cette semaine à Monaco aux Assises de la sécurité et des systèmes d'information - le salon annuel de la cybersécurité - il ne faudrait pas ouvrir un mail si l'on ne connaît pas l'expéditeur. Plus facile à dire qu'à faire...

D'autant que connaître l'expéditeur ne met pas forcément à l'abri, car les hackers peuvent se faire passer pour lui. "On peut très facilement usurper l'identité de quelqu'un et envoyer un mail en se faisant passer pour quelqu'un d'autre. Pour quelqu'un qui connaît un peu l'informatique, c'est facile à faire", indique Tanguy de Coatpont.

Le cybercriminel se fera passer pour un proche, un collègue ou un gros client, après s'être renseigné sur vous (grâce aux traces laissées sur les réseaux sociaux, entre autres): c'est le "spear phishing" (harponnage).

Et ces attaques très ciblées sont nettement plus difficiles à parer.

Choisir les bonnes protections

"On a des grands clients qui miment intentionnellement des attaques en interne: 40% de leurs informaticiens ont cliqué!", rapporte Christophe Badot, qui dirige la filiale française de l'entreprise de sécurité informatique américaine FireEye.

"On croit toujours que ça n'arrive qu'aux autres", confirme Agnieszka Bruyère, directrice des services de sécurité d'IBM France. "Tant qu'on n'a pas expérimenté la chose, on peut ne pas se sentir concerné."

"Si on les lit attentivement, on sait reconnaître les mails de phishing", assure-t-elle. Et c'est parce que vous êtes censé connaître l'expéditeur que telle ou telle tournure de phrase peut paraître suspecte. D'ailleurs, on peut toujours passer sur un lien avec la souris pour voir s'il n'est pas étrangement exotique.

"Vous aurez beau avoir dans une société les meilleurs équipements informatiques et les meilleurs systèmes de sécurité, si l'utilisateur au bout de la chaîne ne comprend pas les risques, ça peut aboutir à des catastrophes", remarque Tanguy de Coatpont.

Il existe cependant des produits chargés d'analyser le contenu des mails, et le cas échéant, de bloquer liens vers des sites réputés dangereux et pièces jointes corrompues. On peut aussi protéger le poste de travail dès qu'une intrusion est détectée.

"Les solutions existent mais leur adoption par les entreprises prend un certain temps", regrette Agnieszka Bruyère.

Encore faut-il choisir les bons produits, et les mettre constamment à jour. Car comme le remarque Christian Hentschel, le directeur Europe de la société de sécurité informatique Palo Alto Networks, "vous ne pouvez empêcher un malware de pénétrer dans votre système que lorsque vous connaissez déjà ce malware".

Quant aux particuliers qui ne peuvent se payer des protections dernier cri, la prudence s'impose. Car un cybergangster peut pénétrer dans leurs ordinateurs pour, par exemple, crypter leurs photos de vacances, qu'il ne rendra que contre quelques centaines d'euros.