Lorsqu’un appartement a été cambriolé, le constat est souvent évident : la porte d’entrée est défoncée, les affaires sont sens dessus dessous et les objets de valeur sont dérobés. A l’opposé, un piratage d’un ordinateur ou d’un smartphone est beaucoup plus subtil et difficile à détecter.
On estime qu’un hackeur peut rester non décelé sur un réseau informatique pendant 140 jours en moyenne. Dans de nombreux cas, le pirate ne souhaite pas se faire repérer afin de pouvoir poursuivre son attaque et ainsi continuer à voler les nouveaux documents créés et profiter des ressources de l’ordinateur ; dans d’autres cas, le pirate veut rapidement faire connaître sa présence et revendications, notamment lors de ransomwares et autres chantages. Dans les deux cas, il est essentiel de s’assurer que votre ordinateur n’a pas subi d’attaque, que ce soit pour limiter les dégâts ou pour estimer l’ampleur des données piratées et la véracité des menaces.
Si vous avez un doute, la meilleure pratique est donc de chercher le plus rapidement possible à confirmer ou infirmer vos suspicions.
Ainsi, je vous propose un aperçu des signes auxquels vous devrez être attentifs pour découvrir si vous êtes victime d’une cyber-attaque. Les informations que vous trouverez ci-dessous ne constituent pas une solution miracle et il sera difficile, sans outils spécifiques et méthodologies avancées, de détecter l’intrusion.
Un pirate ayant réussi à pénétrer dans votre système informatique aura besoin de pouvoir communiquer avec lui et y maintenir son accès. Ainsi, il est fort probable que l’antivirus et les autres outils de sécurité soient désactivés ou altérés, que des nouveaux ports soient ouverts et des services inconnus soient en cours d’exécution. Ces actions du hackeur peuvent avoir des effets secondaires visibles pour l’utilisateur tels que des messages d’erreur, ralentissement du fonctionnement des programmes, logiciels qui plantent ou des raccourcis étranges apparaissant sur le bureau. Il se peut même que votre antivirus bloque partiellement l’attaque et que donc celui-ci affiche une alerte (ce qui ne veut pas forcément indiquer que la menace a été correctement neutralisé et le malware enlevé).
Le navigateur est l’un des outils les plus importants pour l’interaction entre un ordinateur et le monde extérieur ; pour cela il est régulièrement la cible des hackeurs. Une nouvelle page d’accueil ou moteur de recherche peut permettre à un tiers d’intercepter vos recherches et navigations. Les extensions (add-ons, modules, plugins, etc.) dans les navigateurs sont des outils extrêmement puissants et peuvent intercepter, lire, modifier et interagir avec toutes les informations ; des hackeurs les utilisent régulièrement afin de voler des mots de passe, transférer de l’argent et afficher des pubs malveillantes. Il faut donc être vigilant à des éventuelles nouvelles extensions du navigateur.
Un signe additionnel indiquant le piratage du navigateur est la modification des certificats TLS/SSL des sites web que vous visitez ; le changement est facilement visible surtout lorsque les certificats ne sont plus du type « Extentded Validation » (de nombreuses banques telles que BCGE, UBS, Credit Suisse, etc. utilisent ce type de certificat qui inclut le nom de la compagnie à côté de leur nom de domaine (URL)).
Le navigateur peut aussi être utilisé pour afficher des messages fictifs tels que des pop-up signalant une infection de votre ordinateur. Votre navigateur est incapable de vous avertir d’une infection ; ce un message est donc une attaque destinée à vous effrayer, afin de vous pousser à installer un logiciel malveillant ou pour vous escroquer de l’argent. En conséquence, cette fausse alerte est facilement reconnaissable, car il suffit de vérifier si l’application active au premier plan lors du message est votre navigateur web.
L’email est le vecteur N°1 des cyberattaques ; en ouvrant une pièce jointe dangereuse ou en cliquant sur un lien malveillant, il y a un risque accru d’infection de votre ordinateur. Ainsi, votre ordinateur peut aussi être utilisé comme passerelle pour envoyer des emails malveillants, soit à vos contacts qui vous font a priori confiance, soit à des tiers, en abusant de la bonne réputation de votre compte et serveur email. Vous pouvez remarquer ce genre d’activité en recevant, entre autres, des messages d’erreurs indiquant la non-délivrance d’emails que vous n’avez jamais envoyés.
Les hackeurs sont aussi très intéressés par la prise de contrôle de vos web apps et de vos comptes dans le cloud. Vos comptes en ligne ont une valeur financière et sont facilement monétisables par les pirates. Vous pouvez remarquer que votre compte a été piraté lorsque vous êtes soudainement déconnecté de celui-ci, votre mot de passe ne fonctionne plus ou vous recevez une notification qu’une nouvelle connexion a eu lieu. Il est essentiel dans ces cas de réagir promptement, car les hackeurs, une fois le compte piraté, exécutent très rapidement leurs attaques.
Les ordinateurs ne sont de loin pas les seules victimes des cyber-attaques : les smartphones, qui sont essentiellement des mini-ordinateurs, sont systématiquement pris pour cible, ainsi que les routeurs par un changement de leur DNS et l’IoT qui est utilisé dans des botnets & pivots.
La procédure de nettoyage, suite à une infection, prend du temps et peut être relativement compliquée, demandant souvent une intervention d’un expert. Il y a toutefois des gestes qui peuvent grandement aider, tels que la déconnexion de l’ordinateur du réseau, un backup des données critiques (surtout s’il n’y a pas de backup effectué récemment), la mise de l’ordinateur en hibernation, le changement des mots de passe et la vérification des autres ordinateurs et appareils digitaux. Il est aussi essentiel de communiquer l’incident à son entourage, client, fournisseur, etc. afin qu’ils ne deviennent pas, eux aussi, des nouvelles victimes.
Les systèmes informatiques boguent souvent ; il est donc difficile de différencier entre un dysfonctionnement dans un programme et une anomalie d’un système suite à un hack. Une fois le piratage détecté, les procédures de nettoyage sont compliquées et ne peuvent pas toujours garantir l’éradication complète de l’incident. C’est pour cela qu’il vaut toujours mieux prévenir que guérir en suivant les meilleures pratiques. Le plus important reste donc d’être pro-actif en prenant les bonnes précautions pour vous protéger d’une potentielle attaque.