Selon les dernières statistiques policières annuelles de criminalité, il y a eu une nette hausse de la cybercriminalité en 2019. De fait, la police fédérale a recensé 32.943 cas de "criminalité informatique" l’an dernier, soit une augmentation de 29,2% par rapport à 2018 (qui avait déjà enregistré une hausse de 18,1% par rapport à 2017). "Ce basculement d’une criminalité hors ligne vers une criminalité en ligne est une réalité depuis plusieurs années et elle s’est manifestée en 2019 d’une façon plus prononcée que jamais", souligne la Police Fédérale.
La star des cybercrimes est le phishing, c'est-à-dire le vol de données d'utilisateurs, par exemple en les attirant vers un faux site web. En 2019, 2.365 faits de ce type ont été enregistrés, soit une hausse de 80,3% par rapport à 2018.
La Police Fédérale relève que les technologies de l'information et de la communication peuvent aussi jouer un rôle dans des infractions plus classiques, comme la fraude sur internet, particulièrement fréquente. L'an dernier, 24.617 faits du type fraude dans les ventes et achats en ligne, fraude à l'identité, fausse loterie... ont été comptabilisés (+28,2%).
Cette hausse des actes de cybercriminalité est probablement due à plusieurs facteurs. "Il y a d’une part la vie sociale, qui se déroule de plus en plus en ligne, y compris pour les achats, la gestion bancaire et la vie professionnelle."
D’autre part, cette augmentation peut aussi s’expliquer en partie par une plus forte propension à déclarer les faits: "Les victimes obtiennent probablement de plus en plus de possibilités pour déposer plainte, et arrivent heureusement à franchir le pas."
Ce basculement d’une criminalité hors ligne vers une criminalité en ligne est une réalité depuis plusieurs années et elle s’est manifestée en 2019 d’une façon plus prononcée que jamais.
Quid cette année? Il faudra attendre les statistiques annuelles de juillet 2021 pour se prononcer. Mais il y a fort à parier que ces chiffres ne seront pas en baisse, à moins que chacun apprenne à reconnaître ces escroqueries et à s’en défendre. Voici quelques conseils.
Le phishing
Ce terme anglais désigne l’hameçonnage. Cette technique – qui consiste à vous faire croire qu’un tiers de confiance s’adresse à vous via un e-mail, des sites internet ou un message SMS ou de type Whatsapp – permet aux escrocs d’obtenir toute une série de renseignements personnels sur vous dans le but d’usurper votre identité et de vous dérober de l’argent.
La star des cybercrimes, c'est le phishing! Par rapport à 2018, le nombre de cas a augmenté de près de 80%.
Et depuis le début de la pandémie, force est de constater que les pirates s’en sont donné à cœur joie : les services en charge de sécurité auprès de Google ont signalé avoir constaté chaque jour un peu plus de 18 millions de mails de phishing exploitant le «filon» du Covid-19.
Autrement dit, les cybercriminels ont pris l’habitude d’exploiter nos inquiétudes pour nous escroquer plus facilement.
Ce nombre s’ajoute au 240 millions de spams détectés au quotidien par le géant du web. «Grâce aux robots qui les repèrent, ces messages sont majoritairement bloqués avant de nous arriver», pour Olivier Bogaert, commissaire auprès de la Federal Computer Crime Unit. «Mais les pirates peuvent toujours ajuster les contenus pour essayer de se glisser dans nos boîtes de réception. Nous devons donc toujours y être attentifs et faire une vérification avant d’y donner suite! »
Par exemple, depuis quelques jours, un faux SMS (on parle alors de Smishing) circule. Il indique ceci "FAITES ATTENTION. Le Conseil national de sécurité a décidé que pendant la crise chaque citoyen doit recevoir un montant pour rembourser ses factures. Inscrivez-vous via (LIEN)."
Ce message montre bien à quel point "les cybercriminels abusent de l’actualité pour rendre l’internaute curieux", selon Safeonweb, une plateforme fédérale chargée d’informer les citoyens belges au sujet des plus récentes et importantes menaces numériques. D’ailleurs, en mai dernier, il y avait eu un autre SMS en circulation qui imitait la procédure officielle du suivi des contacts Covid-19.
Les escrocs se font aussi passer pour une institution gouvernementale dans votre boîte de réception. "Depuis le 15 juin, des e-mails de phishing imitant une notification eBox circulent", avertit Safeonweb. "Ces e-mails indiquent que les utilisateurs peuvent bénéficier d’une indemnisation corona auprès du SPF Finances et redirigent vers un site web qui est une copie de myebox.be. D’où l’on vous demandera de vous connecter et de compléter vos coordonnées bancaires."
Les pirates prennent aussi régulièrement les traits de votre fournisseur d’énergie, de votre opérateur télécom, de votre banque, d’un géant de l’e-commerce, des plateformes de streaming, de bpost, de la Police Fédérale, etc.
Avant, il était facile de débusquer de faux e-mails ou des faux messages, car ils contenaient beaucoup de fautes d’orthographe ou de grammaire. Mais c’est de moins en moins le cas. Dès lors, comment reconnaître ces faux messages?
Reconnaître de faux messages
Lorsque vous recevez un e-mail (inattendu, urgent ou dans lequel une question vous semble étrange), la base c’est d’observer scrupuleusement l’adresse de l’expéditeur, même si l’enseigne vous semble connue.
Si c’est un faux message, alors cette adresse n’aura strictement rien à voir avec l’enseigne concernée ou alors elle l’imitera grossièrement. Par exemple: info@boutiquezalando.ru.
Mais attention, "une adresse e-mail légitime n’offre toujours pas de garanties quant à la véracité d’un e-mail", prévient Safeonweb. En effet, un pirate pourrait avoir réussi à utiliser la messagerie d’une entreprise légitime ou de l’un de vos amis. Dans le doute, placez toujours le curseur de votre souris sur le lien sans cliquer dessus afin de vérifier le nom de domaine exact qui se cache sous le lien.
Par exemple, le nom de domaine de zalando.com, c’est juste "zalando". Si une adresse ressemble à "store-zalandocom.com" ou encore "zalando.belgique.com", les noms de domaine sont "zalandocom" et "belgique". Dans ce cas, passez directement votre chemin.
Si malgré ces quelques vérifications vous avez un doute, ne cliquez jamais sur le lien et n’ouvrez jamais les éventuelles pièces jointes. La meilleure stratégie de défense consiste à contacter directement votre ami ou de vous rendre sur le site de l’entreprise concernée.
Vous pouvez aussi perfectionner votre technique de reconnaissance des faux messages via safeonweb.be/fr/quiz/test-du-phishing.
Déjouez les autres arnaques
Dans les grandes lignes, voici d’autres arnaques courantes et les moyens pour vous en protéger.
1/ Applications. Même si elles ont l'air anodines, de nombreuses apps sont malveillantes (et destinées à récolter vos données). Certaines se cachent parfois même derrière de fausses applications antivirus. Avant de télécharger une app, vérifiez toujours le nom de son développeur ainsi que les avis et les évaluations. Et ne négligez pas les mises à jour du système d'exploitation de votre appareil car celles-ci permettent de le protéger contre d'éventuelles failles.
2/ Ransomware. Ce terme désigne un virus qui est installé sur un appareil sans que le propriétaire n’en ait donné l’autorisation et qui crypte les fichiers de cet appareil jusqu’à l’obtention d’une rançon. Pour s'en protéger, un logiciel antivirus est rarement suffisant. Il faut également prévoir un logiciel anti-ransomware. Comme dans le cas précédent, une mise à jour régulière du système d'exploitation de votre appareil est primordiale. Mais surtout, réalisez régulièrement plusieurs sauvegardes de vos données, que ce soit sur un cloud, un disque dur externe, ou les deux.
3/ Mot de passe. Si vous avez tendance à utiliser souvent le même mot de passe et que celui-ci est découvert, tous vos comptes risquent d'être purement et simplement piratés. Retenir un mot de passe sécurisé et différent pour chaque compte, c'est mission impossible. Heureusement, il existe de nombreuses solutions de coffre-fort à mots de passe. Mieux: vous avez de plus en plus la possibilité d'utilisation la technique de la validation en deux étapes. Concrètement, pour accéder à vos comptes, vous devez par exemple introduire un code qui arrive par SMS en plus de votre identifiant et de votre mot de passe. Ou recourir à l'app Itsme. Il existe des apps dédiées à ce processus et développées par Google et Microsoft (Authenticator). De plus, certaines plateformes, comme par exemple Facebook, permettent d'activer un tel processus. Ne vous en privez surtout pas.
4/ Objet connecté. Régulièrement, des thermostats, des sonnettes ou encore des télévisions connectés font l'objet d'articles qui dénoncent leurs failles. Ces dernières permettent à des pirates de découvrir le mot de passe de votre wi-fi, de récolter vos données personnelles ou de vous observer à votre insu (si vous avez une caméra connectée). Il est donc très important de prendre le temps de paramétrer tous vos objets connectés et d'effectuer des mises à jour régulières.
Enfin, sachez qu'il existe plusieurs solutions de protection chez tous les opérateurs télécoms. Et pour ceux qui veulent des garanties supplémentaires, certains assureurs (notamment Baloise et KBC) se sont même lancés dans un service de protection de vos données et d'indemnisation en cas de fraude ou d'escroquerie sur internet.
