e-novinfo cyber security
Histoire de Noël
Dimanche 17 décembre – 16h00
George fit craquer ses phalanges en soupirant. « Après cette belle journée, retour à la réalité ». Installé devant son ordinateur, il se connecte à son e-banking, une pile de factures attendant patiemment à côté de lui.
– Eh merde.
Il n’a pas encore reçu son salaire. C’est râpé pour les factures, il devra s’en occuper pendant la semaine.
Lundi 18 décembre – 17h00
Après sa journée de travail, George passe dans le bureau de Pascal qui lui donne sa fiche de salaire.
– Le virement arrive demain ?
– Non tu l’as déjà reçu vendredi, lui répond Pascal.
George le fixe, les sourcils froncés.
– J’ai été voir hier, je n’ai rien reçu.
George le voit pianoter sur son ordinateur. Pascal finit par rire et lui lancer :
– Ah, mais n’oublie pas que tu as changé de compte. Tu as regardé sur le bon au moins ?
Un ange passe. Et devant les sourcils froncés de George, Pascal lui rappelle qu’il avait demandé à changer son IBAN il y a quelques semaines de cela. Son collègue lui montre même sa demande par email faite à la RH.
C’est bien son adresse email. Sa signature. Sa manière de parler.
Pendant un instant, George croit être devenu fou. Un frisson le traverse. Il avait vraiment fait ça ?
Étant donné la gravité de la situation, la RH et le directeur sont appelés.
La RH confirme avoir reçu sa demande.
George va vérifier dans ses emails envoyés, il ne trouve pas de trace de cet échange.
Pascal de son côté lui montre les coordonnées du compte. C’est bien un compte à son nom sur une banque en ligne.
Le directeur le regarde en coin, sans un mot. Une lueur de suspicion dans le regard.
George n’a aucune preuve. Pascal et la RH, si.
Il est désemparé. Jusqu’à ce que Pascal lui redonne espoir : si George s’est fait avoir, Pascal peut demander à leur banque d’annuler le versement. Il fera cela dès le lendemain.
Lundi 18 décembre – 18h30
George rentre chez lui la peur au ventre. Il passe devant la pile de factures, le ventre noué. Dans le doute, il se connecte à nouveau à son e-banking.
Plusieurs ordres permanents doivent être exécutés dans la semaine qui arrive. Le loyer, le crédit de la voiture, l’argent pour alimenter le compte commun.
Il s’arrête. Se liquéfie.
Le compte est presque vide.
Et toujours aucune trace de son salaire.
Il recharge la page. Il se déconnecte et se reconnecte. Toujours rien.
Il regarde les dernières transactions du compte.
Une liste de débits défile devant ses yeux.
Il secoue la tête. D’abord son salaire et maintenant ça. Il refuse de faire le lien. C’est impossible.
Il a chaud, trop chaud, et son cerveau refuse de fonctionner.
C’est impossible.
Mardi 19 décembre – 7h30
– Je suis désolé George.
Pascal le regarde d’un air contrit. Il lui aurait dit « toutes mes condoléances » que son regard aurait été pareil.
– Comment ça je suis désolé ? Mais vous devez faire quelque chose !
George regarde Pascal, son directeur, la RH, mais ne reçoit aucune réponse.
– Le compte sur lequel a été viré ton salaire a déjà été vidé, lui répète son collègue. On ne peut pas récupérer l’argent.
– Oui, mais vous me devez quand même un salaire ! Je n’ai pas été payé, vous me devez cet argent.
On lui répète alors la même chose : l’entreprise l’a payé, sur un compte à son nom. L’email venait de sa boîte professionnelle. Ils n’ont pas à le rémunérer une seconde fois.
Sauf s’il leur apporte la preuve qu’il n’a jamais reçu cet argent.
Une preuve qu’il ne peut leur apporter.
Le coup de grâce sera donné à l’issue de la séance.
– On est désolé George. Mais si tu es vraiment victime d’une cyberattaque, tu es le seul de la boîte. Tu as dû avoir un comportement à risque en dehors du bureau. Ce n’est pas notre responsabilité. Et on ne peut pas se permettre de te payer deux fois.
Mardi 19 décembre – 11h30
George est dans sa voiture, le regard vide. Le ciel est sombre et nuageux. Le calme n’est brisé que par le bruit de la pluie qui se fracasse contre les fenêtres.
On lui a donné sa journée. Mais une journée ne suffira pas.
Il va être obligé de vider son compte épargne pour pouvoir payer ses factures, son loyer, leur crédit.
Sans oublier les cadeaux de Noël des enfants… mais aura-t-il seulement assez d’argent pour cela ?
Leurs économies se sont envolées.
Il sent son téléphone dans le creux de sa main. Il doit téléphoner à sa femme. Lui expliquer. Il n’y arrive pas.
Il réfléchit encore et encore.
Il n’a cliqué sur aucune pièce jointe, n’a répondu à aucun email d’inconnu.
Il enclenche la première et ses yeux se baissent sur un paquet de caramels.
Il y a trois jours encore, il était à Europa Park avec sa famille pour Noël. Il sourit en repensant aux enfants surexcités, aux décorations faites de guirlandes et de boules scintillantes, à l’odeur de vin chaud et d’amandes grillées.
Certes, tout avait failli partir en vrille lorsqu’il s’était rendu compte que leurs billets n’étaient pas valables. Il s’était fait avoir comme un bleu.
Son téléphone se mit à sonner. Il décrocha et entendit la voix de sa mère, en pleurs. Entre deux sanglots, il comprend et son sang se glace.
Leur compte est vide, quelqu’un l’a pillé.
Son regard se pose sur le paquet de caramels. Il se revoit il y a quelques semaines découvrir l’email d’Europa Park et sa promotion exceptionnelle de -50%. Il propose immédiatement à sa femme d’y emmener les enfants.
Il se revoit cliquer sur le bouton jaune vif de l’email et rentrer ses identifiants Gmail.
Il se revoit commander les billets, rentrer ses données de carte de crédit, sans se poser de question.
Il se revoit enfin, transférer l’email à ses parents en leur proposant de les accompagner.
« Cela fera une belle sortie en famille »
7 choses simples à mettre en place pour que l’histoire de George ne devienne pas la vôtre :
- Ne vous connectez à aucun compte depuis un lien email. Passez par votre navigateur.
- Adoptez l’identification à double facteur dès que possible.
- En entreprise, lors de modifications importantes comme un changement d’IBAN, demandez une confirmation à la personne concernée sur deux canaux différents. Mieux encore, demandez-lui de vive voix de vous confirmer le changement.
- Utilisez un mot de passe différent par compte/service.
- En cas de doute, demandez l’avis d’un spécialiste.
- Gardez vos périphériques à jour (smartphone, PC, etc.) et disposez d’une solution de protection anti-virus, anti-spam.
- Ne faites jamais vos économies sur votre compte salaire. En effet, celui-ci peut être débité par une carte de crédit à débit direct, LSV ou un ordre permanent.
Comment la cyberattaque a-t-elle eu lieu ?
Vous l’aurez compris, l’offre d’Europa Park était un piège.
En cliquant sur le bouton de l’email, George est arrivé sur un site web monté de toutes pièces pour ressembler à celui d’Europa Park. En rentrant ses identifiants Gmail et ses données de carte bancaire, le piège s’est refermé sur lui.
A partir de ce moment, le hacker avait accès à son compte Gmail et pouvait utiliser sa carte de crédit.
Il a agi alors sur deux tableaux :
COMPTE GMAIL
Il s’est tout d’abord fait discret, à lire les échanges et à chercher les différentes façons de gagner de l’argent à partir de ce compte.
- Il a réussi à avoir accès à l’adresse email professionnelle de George (car son mot de passe était identique) et a pu envoyer des emails en son nom à travers sa boîte email. Cela lui a permis aisément de demander à la RH le changement de l’IBAN.
- Il a au préalable créé le compte de George sur une banque en ligne. Les informations dont il avait besoin pour créer le compte, il les a trouvées dans les emails privés de George (adresse, date de naissance, copie de la carte d’identité) puis a supprimé ses traces (e-mails reçus et envoyés).
CARTE DE CREDIT
- Avec la carte de crédit et la boite Gmail de George et ses parents, le hacker avait tout ce qu’il lui fallait pour faire des dépenses en ligne sans qu’ils ne puissent s’en rendre compte.
- Là encore, il lui a suffi d’effacer ses traces en supprimant les emails reçus et envoyés (confirmation de commande, etc.).
RAPPEL : Notre adresse email est aujourd’hui le coeur de nombreuses communications, que ce soit dans notre vie privée ou professionnelle. Elle reste donc une cible privilégiée pour les cyberattaques.
