Comment voyager en cyber-sécurité pendant les vacances

Comment voyager en cyber-sécurité pendant les vacances

Les vacances d’été sont une période de repos, soleil, voyages et temps partagé en famille pour la majorité d’entre nous… mais pas pour les cyber-criminels et les hackeurs. Ils comptent sur un rythme de travail ralenti, la distraction et un nombre restreint d’effectifs, tous facteurs inhérents à la saison des vacances, pour atteindre leurs objectifs en volant de l'argent, en compromettant les systèmes informatiques et en exfiltrant des données.

Pendant la période estivale, les buts des hackeurs sont les mêmes que pendant le reste de l’année ; par contre, leurs ruses et techniques s’adaptent au contexte spécifique des vacances, notamment aux voyages et absences. La majorité des cyber-attaques est effectuée par email ; on vous demande de cliquer sur un lien, ouvrir une pièce jointe, communiquer une information ou exécuter une action qui pourrait vous nuire. Pendant les mois de juin, juillet et août, on voit régulièrement une augmentation d’emails malveillants liés aux voyages. Par exemple, un email venant de Swiss ou Easyjet indiquant un problème avec votre vol, une notification de Airbnb que votre chambre est annulée ou encore un avis de la poste pour un colis qui vous attend ; tous ces exemples d’emails vous empressent d’agir pour résoudre le problème, vous faisant ainsi tomber dans les pièges du hackeur.

 

L’annonce de voyage

Que ce soit dans le cadre personnel ou professionnel, il faut bien réfléchir avant de communiquer « publiquement » ses vacances. En annonçant votre voyage sur les réseaux sociaux, vous donnez non seulement des informations aux hackeurs, qui peuvent donc cibler leur phishing sur le contexte de votre voyage, mais aussi à des cambrioleurs.
Les messages automatiques d’absence dans les emails sont aussi problématiques ; probablement, votre entreprise n’emploie pas une personne possédant les mêmes compétences que les vôtres et sachant vous remplacer efficacement lors de vos vacances. Ainsi, un criminel pourrait profiter de cette période pour mener son attaque.
Si vous êtes responsable de la mise à jour du système, il y a de fortes chances qu’il n’y ait pas de mise à jour pendant votre absence ; si vous validez l’authenticité des transactions bancaires, un criminel profitera de votre absence pour effectuer sa transaction frauduleuse.

 

L’empressement sur un smartphone

Possiblement, vous n’emporterez pas votre ordinateur avec vous lors de vos vacances, mais vous resterez connecté grâce à votre smartphone. Malheureusement, ces appareils n’offrent pas la même sécurité que vos ordinateurs portables.
Une attaque de phishing, par exemple, aura trois fois plus de succès si la victime l’ouvre sur son smartphone plutôt que sur son ordinateur, principalement parce qu’une personne est distraite lors de l’utilisation d’un smartphone. Sur nos mobiles, le manque d’attention, l’empressement lorsqu’on effectue au même temps d’autres tâches et la hâte lors de nos déplacements jouent à notre désavantage, car nous portons moins d’attention aux détails, nous agissons dans l’urgence et par réflexe. Vous ne vérifiez pas nécessairement correctement l'exactitude de l'adresse de l'expéditeur d'un email, ni vous faites consciencieusement attention au contexte en recevant une instruction, lorsque ces démarches sont effectuées sur votre smartphone. 

 

Les ordinateurs publics

Grâce aux services cloud et aux bureaux distants, il est possible de travailler quasiment partout et sur n’importe quel appareil. Toutefois, les ordinateurs publics qu’ils appartiennent à un hôtel, internet café, ami, ou même à la famille, peuvent être, de façon intentionnelle ou pas, vérolés par des malwares : vos accès peuvent être volés par des keylogger, votre activité peut être enregistrée par des séquences de captures d’écran et les documents que vous échangez peuvent eux aussi être contaminés par l’ordinateur d’emprunt.

 

Le wifi

Bien que les prix du roaming aient bien baissé, les réseaux publics sans fil restent très pratiques pour profiter d’une connexion internet économique et rapide, surtout en voyage : une des premières choses que nous faisons en arrivant à l’aéroport, dans une gare, en rentrant dans un café ou lors du check-in à l’hôtel est la connexion au wifi public. Toutefois, se connecter à des réseaux publics peut réellement mettre en danger la sécurité digitale. La personne malveillante, qu’elle soit l’opérateur du wifi ou un autre utilisateur, peut espionner et intercepter à votre insu certaines de vos communications, modifier les données que vous envoyez ou recevez, voler vos mots de passe et même installer sur vos appareils des malwares qui resteront persistants même après votre retour de voyage.

 

Quelques recommandations

Évitez le sujet de vos vacances sur vos réseaux sociaux avant ou pendant votre déplacement ; si vous souhaitez les partager, attendez votre retour pour le faire. Il en va de même avec vos notices d’absence du bureau ; gardez-les vagues, afin de ne pas donner d’indications sur la durée de votre absence. Utilisez de phrases telles que : « Je suis en voyage, mais vous recontacterais à mon retour. Pour toute urgence, veuillez écrire à mon responsable. »
Les VPN sur les smartphones et ordinateurs permettent de limiter votre exposition à certaines attaques sur les réseaux wifi ou 4G (importante selon votre activité et le pays que vous visitez). Un VPN permet, entre autres, de crypter vos communications, empêchant ainsi un hackeur de les espionner ou modifier.
Personne n’est à l’abris d’un malencontreux accident ou déconvenue : on vous vole votre smartphone, votre ordinateur portable prend l’eau, il n’y a pas de réseau 4G à votre destination. Il est essentiel de les anticiper en effectuant un backup des données de vos appareils (avant et pendant votre voyage) et de garder accessibles de façon alternative les numéros de téléphone, emails et documents importants.
Il existe des très bons outils qui peuvent empêcher un employé d’accéder à des emails professionnels et documents sensibles depuis un ordinateur public, ou encore de protéger un smartphone lorsqu’il est dans un environnement hostile ; néanmoins, l’essentiel reste la prise de conscience du risque et une communication claire de la part de la direction sur les droits et devoirs des employés pendant leur absence.
Je vous souhaite de bonnes vacances, en toute sécurité.
P.S. Évidemment, je reste à Genève tout l’été (de toute façon, je ne me risquerais pas de vous dire le contraire, même si c’était le cas? )

Tweets de ZENData

@Anouch @sylvielogean La solution https://t.co/g4oNTOTvPm est une option intéressante pour éviter les abus d'écrans par les enfants.
6hreplyretweetfavorite
@Swati_THN I wrote a blog on this threat a few month ago: https://t.co/3ycFPV2XXj
RT @threatpost: Maintainers of VLC Player issued 33 #security fixes - including two for high-severity vulnerabilities - for the open source…
RT @soffes: Pretty neat new privacy stuff in iOS 13 https://t.co/vd3BPLJNoq
RT @GovCERT_CH: Caution: We observed today two Malspam waves distributing eBanking Trojan Retefe. One claimed coming from Lenz & Staehelin…

Nous animons aussi le blog de cyber-sécurité du magazine Bilan. Retrouvez nos articles sur leur site: https://www.bilan.ch/auteurs/steven-meyer

Contact

ZENData - Cyber-sécurité

Informations

Contactez-nous pour une analyse gratuite de vos besoins en sécurité ou pour des renseignements sur nos services, solutions et produits.

ZENData Sarl

Téléphone: +4122 588 65 90

Email:

Adresse: 114 rue du Rhône, 1204 Genève, Suisse


LinkedIn: linkedin.com/company/zendata

Twitter: twitter.com/ZenDataSec

Facebook: facebook.com/zendataSec

Google+: plus.google.com/+ZendataCh

Contactez-nous

5+5=

Souhaitez-vous vous inscrire à notre newsletter mensuelle ?

Vous y trouverez nos articles, l’actualité, des conseils et des informations importantes liées à la cyber-sécurité.