Mails frauduleux, annonces alléchantes ou fraudes sur Internet... les méthodes de phishing sont multiples, et nous concernent tous. Mais comment s'en protéger? Que faire lorsque l'on en est victime?
Alexandra Arni est membre de la direction et responsable ICT de l'Association suisse des banquiers, où elle travaille depuis 1999. Elle représente l'association dans des comités nationaux et internationaux dans le domaine de la sécurité de l'information et de la cyberdéfense. Depuis juillet 2023, elle est directrice de l'association Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC). Dans cette interview, elle offre des conseils pour repérer les mails frauduleux et se protéger des attaques.
Alexandra Arni, pourquoi y a-t-il autant d'attaques de phishing par mail contre les clients des banques?
Les attaques de phishing représentent environ 51% de toutes les attaques dites d'ingénierie sociale. Les escrocs tentent de s'emparer de l'argent des clients des banques par le biais de courriers électroniques. Il s'agit de la méthode la plus efficace, car elle est relativement simple à mettre en œuvre. Et elle est souvent couronnée de succès.
En tant que client d'une banque, je dois donc toujours m'attendre à être victime d'une attaque?
Ce risque existe toujours. C'est pourquoi il est important que les clients des banques fassent attention à leurs mots de passe de messagerie. Avec les possibilités de l'intelligence artificielle (IA), il sera à l'avenir de plus en plus difficile de distinguer un mail de sa propre banque d'un faux compte lors d'une tentative d'escroquerie.
Peut-on tout de même repérer un mail frauduleux?
Un mail doit toujours être examiné attentivement. Il s'agit notamment de vérifier l'identité de l'expéditeur et la concordance du domaine avec l'expéditeur présumé. Les clients des banques devraient se demander si l'e-mail a un sens. En cas de doute, ils devraient toujours se renseigner auprès de leur banque. Il est particulièrement important de ne pas cliquer sur un lien dont on ne sait pas exactement où il mène.
Les rapports sur les attaques de phishing réussies ne s'arrêtent pas. Les clients des banques sont-ils trop imprudents?
Il n'y a pas de sécurité à 100%, car les e-mails de phishing ont très souvent l'air authentiques. Personne n'est à l'abri, nous pouvons tous être victimes d'une attaque.
Ces messages frauduleux n'arrivent pas seulement par e-mail, mais aussi par SMS et Whatsapp?
Ces messages sont malheureusement en augmentation constante. Les destinataires sont invités à agir – par exemple en ce qui concerne la récupération d'un colis – et à cliquer sur un lien. Cela doit absolument être évité.
Un autre problème est l'escroquerie au placement via les réseaux sociaux avec des promesses de rendements élevés?
Les cas sont également de plus en plus nombreux dans ce domaine. Mais il s'agit souvent ici d'obtenir des mots de passe. Pour ce faire, l'escroc ou l'arnaqueuse usurpe une identité. Les données d'identité permettent par exemple de créer de faux comptes au nom du client ou de la cliente de la banque, qui peuvent ensuite être utilisés à des fins criminelles.
Existe-t-il une défense efficace contre l'usurpation d'identité?
Aujourd'hui, de plus en plus d'informations et de photos personnelles sont accessibles au public via les réseaux sociaux. Cela rend les clients plus vulnérables, car ces données peuvent être utilisées à des fins étrangères. C'est pourquoi chacun devrait réfléchir attentivement aux informations qu'il publie.
Un ordinateur portable peut-il être assez sûr pour que le risque soit le plus faible possible?
En tout cas, une protection antivirus actuelle devrait toujours être installée sur l'ordinateur portable. En outre, il est de plus en plus important de se connecter aux portails financiers avec une authentification dite multifactorielle. Cela signifie qu'après s'être connecté à l'e-banking, par exemple, on reçoit une combinaison de chiffres par SMS qu'il faut ensuite saisir sur l'ordinateur portable pour confirmer l'accès. Il existe également des procédures sécurisées pour lesquelles il faut lire un QR code. Dans ce cas, il est très important de saisir manuellement l'adresse Internet de la banque et de ne pas accéder à l'e-banking après une demande de recherche sur Google. Cela permet d'éviter d'être redirigé vers un site malveillant.
Quelle est l'importance du mot de passe?
En utilisant correctement les mots de passe, on obtient de très bons résultats. Tout d'abord, les mots de passe devraient être changés régulièrement. Un mot de passe devrait comporter entre dix et quinze caractères et contenir des caractères spéciaux, des chiffres ainsi que des lettres majuscules et minuscules. Surtout, il ne faut pas utiliser d'informations personnelles telles que la date de naissance dans un mot de passe. L'enregistrement automatique des mots de passe dans le navigateur n'est pas non plus recommandé. En outre, il est important d'utiliser des mots de passe différents pour différents services Internet.
Avec une authentification à deux facteurs et un mot de passe sûr, on a déjà fait relativement beaucoup?
Absolument. L'authentification biométrique en particulier offre une grande sécurité, car les caractéristiques biométriques sont uniques. Grâce à la reconnaissance du visage (Face ID) ou de l'empreinte digitale (Touch ID), il est possible de déterminer, lors de la connexion, si une personne est le véritable propriétaire de l'appareil. En outre, il est recommandé, surtout pour les transactions importantes par carte de crédit, d'obtenir une confirmation supplémentaire de la transaction.
Parallèlement, est-il possible de falsifier des voix ou de se faire passer pour quelqu'un d'autre? Quel est le problème?
Les «deepfakes» sont également de plus en plus utilisés. Cela peut se produire au téléphone ou lors d'appels vidéo. Dans ce cas, il faut d'abord se renseigner et vérifier s'il s'agit vraiment de cette personne. Les personnes âgées en particulier devraient être sensibilisées à ce sujet et en parler avec leur entourage.