Hacker maudit, de plus en plus sournois, équipé, capable et omniprésent. C'est ce que confirment les signaux de ces derniers jours, avec l'attaque quasi globale des serveurs de nombreuses entreprises accompagnée du filet désormais permanent d'embûches qui touchent aussi (et surtout) les citoyens individuels, les moins armés pour combattre et réagir. Ce qu'il faut faire? De bons conseils ont été dispensés depuis des temps immémoriaux, mais il convient de les mettre à jour, dans le bréviaire suivant, en tenant compte des derniers développements dans la lutte entre le bien et le mal dans les technologies de l'information.
Que se passe-t-il encore
En vérité, rien de nouveau sous le soleil (ou l'ombre, dans ce cas) de l'informatique généralisée. Ce qui se passe ces jours-ci ne représente pas une réelle nouveauté ni par l'intensité du phénomène ni par les modalités des attentats. Dans le viseur sont, comme c'est le cas depuis plus de vingt ans, je serveurs d'entreprise qui n'ont pas mis à jour leurs systèmes (ceux de la virtualisation, dans le cas des dernières attaques) avec des interventions de sécurité périodiques et obligatoires (correctifs). Cela se traduit par un message très clair même pour les utilisateurs moins professionnels et pour les particuliers qui gèrent leur PC, leurs e-mails, leurs applications et surtout les archives numérisées de plus en plus précieuses que nous conservons chez nous ou dans les nuages.
Ransomware, le puissant roi des virus
La dernière frontière des attaques est celle des ransomwares, ces logiciels virus qui pénètrent dans notre système informatique (le serveur de l'entreprise mais aussi un seul PC), volent des données à des fins frauduleuses (carte de crédit, documents personnels) et/ou cryptent les données avec un déverrouillage clé possédée uniquement par le pirate qui nous demande une rançon, typiquement sous la forme d'un paiement en bitcoin avec une procédure qui rend vraiment difficile de retrouver le destinataire des sommes qui nous sont extorquées.
C'est une attaque qui agit souvent en parallèle et en collaboration avec celle, déjà connue et répandue depuis un certain temps, qui est menée avec le soi-disant phishing : un message e-mail nous invite à cliquer sur un site qui apparaît légitime mais active à la place l'installation de logiciels malveillants. La même chose peut se produire en ouvrant simplement une page Web pleine de pirates pour faire exactement la même chose. Les contre-mouvements ? Absolument conséquent à ce scénario.
Toujours mettre à jour le PC mais aussi le logiciel
Cependant, mettez toujours à jour le plus souvent possible : le système d'exploitation du PC (il est absolument conseillé de conserver la fonction de mise à jour automatique) mais aussi tous les logiciels dont il est équipé, sur lesquels se concentrent de plus en plus les tentatives d'intrusion et de manipulation. Particulièrement dangereuse est la pratique consistant à maintenir les anciennes versions des systèmes d'exploitation : dans le cas du système d'exploitation de Microsoft, toutes les versions antérieures à Windows 7, pourtant désormais considérées comme non sécurisées, sont à proscrire absolument. Si nous n'avons pas déjà Windows 11, même Windows 10 est très bien pour l'instant, si nous le gardons constamment à jour.
Les logiciels d'application, s'ils sont achetés et configurés correctement, disposent dans la plupart des cas d'une procédure de mise à jour automatique ou, dans tous les cas, d'une invitation à continuer qui apparaît dans une bannière. Mais la sécurité n'est jamais totalement garantie. Le système d'exploitation et les applications peuvent en effet être la cible de la catégorie grandissante des menaces « zero day », les nouvelles vulnérabilités encore non constatées par les experts et donc inconnues du plus grand nombre : il existe même un marché noir zero day sur le dark web ( l'air de sous-bois d'Internet). Cela dit, il y a bien des entreprises, et pas seulement des particuliers forcément moins dotés en compétences, qui s'exposent à des risques franchement injustifiables. Exactement ce qui s'est passé ces derniers jours avec l'attaque via un logiciel de virtualisation américain largement utilisé par les entreprises, dont beaucoup n'avaient pas implémenté de correctif de sécurité publié il y a même un an, s'exposant ainsi à l'attaque. Les adultes font-ils aussi des erreurs ? Petite consolation. Nous essayons à notre petite échelle de faire mieux.
Le piège des e-mails : n'ouvrez pas cette porte
Le courrier électronique reste le premier accusé, le principal moyen d'attaque des pirates. Nous essayons de bien interpréter, et surtout de rendre praticables, les milliers de recommandations qui nous sont données chaque jour sur ce front. La simple ouverture d'un email nous expose rarement à un risque direct, mais si nous soupçonnons qu'il s'agit d'un piège et que cet email ne nous paraît pas indispensable, mieux vaut le supprimer directement sans l'ouvrir. Si nous l'ouvrons, nous évitons soigneusement de cliquer sur un lien sans avoir soigneusement vérifié l'authenticité de l'expéditeur et du contenu.
Première étape : si nous avons même un vague soupçon, nous contactons l'expéditeur par téléphone et vérifions. Dans tous les cas, nous essayons de vérifier le lien sur lequel nous sommes invités à cliquer non pas en nous fiant à ce qui apparaît en preuve mais en extrayant une adresse authentique, que dans certains cas nous pouvons mettre en évidence simplement en passant la souris dessus. Sinon, vous pouvez essayer de le visualiser correctement en cliquant dessus avec le bouton droit de la souris et en choisissant l'option "copier l'url" pour ensuite coller le contenu dans n'importe quel programme de traitement de texte, même le simple bloc-notes de Windows. Si le nom de l'expéditeur "authentique" ne correspond pas à une adresse connue, ou est en tout cas différent de ce que nous attendons, nous courons définitivement un risque et devons vérifier attentivement.
Faites attention où (et comment) vous cliquez
Comment vérifier le lien de l'e-mail suspect ou même d'un site Web qui nous est proposé ou que nous trouvons grâce à une recherche ? Avant de cliquer sur un lien contenu dans l'e-mail, ou lors de la navigation fluide d'un site à l'autre lors d'une recherche, nous pouvons vérifier si un lien est malveillant (cela vaut aussi bien pour celui contenu dans l'e-mail reçu que à l'URL du site concerné) en utilisant l'une des procédures en ligne certifiées disponibles sur le Web. Un bon exemple est le site de vérification URLVoid. Une perte de temps? Pas du tout. Un investissement indispensable dans la sécurité minimale de notre monde numérique de plus en plus irrépressible.
Seule la sauvegarde nous protège vraiment
Minutieux et obsessionnellement prudent ? Nous devons et pouvons limiter le risque, mais pas l'annuler. Si nous tombons dans un piège, nous évitons au moins les conséquences les plus dramatiques. Il n'y a qu'une seule solution qui, de plus, nous protège également de l'hypothèse d'une panne soudaine de notre ordinateur, ou plus grave encore de notre périphérique de stockage, disque dur ou clé USB. Une copie de réserve de notre matériel informatique, à mettre à jour au moins une fois par semaine, doit être considérée comme une obligation absolue. On peut choisir la solution cloud, peut-être gratuite comme celle "de base" proposée directement par Microsoft par exemple, si on n'a pas besoin de beaucoup d'espace pour nos précieuses données. Ou nous pouvons choisir (peut-être parce que nous ne faisons pas confiance au « cloud ») une solution par nous-mêmes, avec un NAS (périphériques de stockage desservant également un petit réseau domestique, qui est également digne de beaucoup d'attention) ou encore avec un simple disque dur externe, qui a l'avantage de pouvoir être connecté au PC et activé uniquement en cas de besoin pour être normalement tenu à l'écart de tout en toute sécurité.
Les experts débattent de la meilleure solution, la plus sûre et la plus efficace. Un bon cloud, géré par un opérateur principal, doit être considéré globalement comme sûr : le gestionnaire se chargera de conserver nos données en assurant les sauvegardes nécessaires en cas de pannes ou de problèmes de son côté. Si par contre on choisit la solution do-it-yourself, avec son propre support de stockage, il est fortement conseillé de ne pas faire une simple copie mais une double copie, sur deux supports à conserver séparément. Ce qui objectivement complique un peu les choses.
Ne payez pas, vous risquez d'autres dommages
Mais si nous ne sommes pas assez prudents ou carrément malchanceux, et tombons toujours entre les mains des pirates et de leurs tentatives d'extorsion, comment devons-nous nous comporter ? Sachez que surtout dans le cas de petits professionnels ou de particuliers, les cas de restitution des biens volés avec le déverrouillage du logiciel crypté après le paiement de la rançon demandée sont très rares. La plupart du temps, vous payez et vous vous retrouvez sans données, qui peut-être, si elles ont une valeur particulière, sont revendues sur le dark web. La grande omelette est prête. En payant, nous avons clairement démontré au pirate que les données volées sont précieuses pour nous, peut-être aussi pour d'autres. À ce stade, nous devons simplement signaler consciencieusement ce qui s'est passé, dès que possible, aux autorités compétentes.
