À quoi ça ressemble d’être la cible de pirates informatiques ?

La place des pirates informatiques dans les médias internationaux a pris beaucoup d’importance dernièrement. Tout le monde s’entend pour dire que l’enjeu de la sécurité informatique connaîtra une croissance exponentielle au cours des prochaines années.

On se rend compte pourtant que beaucoup d’entreprises québécoises ne sont pas sensibilisées à l’importance de se prémunir contre les attaques de pirates informatiques. Une incompréhension des mécanismes de piratage, des enjeux et des conséquences pour eux et leurs clients semble être au centre de cette situation.

Subir une attaque informatique: un problème de taille pour les entreprises

À quoi ça ressemble d’être la cible de pirates informatiques? Comment est-ce que ça peut vous arriver à vous qui êtes particulièrement à l’affût et qui ne cliquez pas sur n’importe quoi? Concrètement, si vous subissez une attaque, qu’est-ce que ça implique pour vous, pour vos clients et pour le public en général?

Pour répondre à cette question, nous vous présentons la situation de 7 entreprises qui ont peut-être manqué de vigilance, été malchanceuses ou ont simplement été négligentes.

ÉPISODE 1 : Bonnes vacances!

Paul est responsable des TI pour la plus grande entreprise de transport au pays. Ayant déjà utilisé le CMS Wordpress pour un projet personnel et se sentant habile à l’utiliser lui-même, Paul recommande de l’utiliser pour la conception du site Web corporatif de l’entreprise. Une agence Web s’occupera de la conception et c’est lui qui s’occupera de la maintenance par la suite.

Pendant ses vacances, une nouvelle importante à l’effet qu’une faille de sécurité avait été détectée dans le CMS Wordpress fait grand bruit dans le monde des TI. Une mise à jour doit être faite en urgence pour colmater la brèche. Cette faille permettrait aux pirates informatiques d’insérer du code et du contenu dans les sites Web non sécurisés, à l’insu de leur propriétaire. Dès son retour, Paul procède rapidement à la mise à jour et poursuit son travail.

À ce jour, Paul ne sait toujours pas que son site Web a été piraté pendant ses vacances et qu’il est truffé de liens externes menant à d’autres pages Web n’ayant rien à voir avec son entreprise. Il se demande pourquoi son positionnement dans les moteurs de recherche a drastiquement chuté et soupçonne son agence Web d’avoir bâclé le travail lors de la conception.

Le pirate informatique de son côté, profite de la notoriété de cette grande entreprise qui pointe maintenant vers un site Web lui appartenant ce qui lui permet d’améliorer son propre positionnement sur Google.

ÉPISODE 2 : Faites-le vous-même qu’ils disaient!

Julie a elle-même conçu son site Web avec l’aide d’un CMS à code ouvert, gratuit et accessible à tous. Elle vend en ligne des paniers cadeaux destinés aux entreprises qui souhaitent gâter leurs clients. Elle entretient de bonnes relations avec ses clients qui lui font confiance et lui sont loyaux depuis de nombreuses années. Ceux-ci peuvent enregistrer leurs informations de carte de crédit dans leur compte de façon à ne pas avoir à les réinsérer à chaque fois.

Ses connaissances en développement Web étant limitées, elle ne sait pas qu’elle doit installer un certificat de sécurité sur son site Web. Sans certificat de sécurité, les communications échangées entre son site Web et sa passerelle de paiement ne sont pas cryptées comme elles le devraient.

Après quelques temps, un pirate informatique à l’affût a intercepté les communications contenant les informations bancaires de ses clients. Le vol de ces données a occasionné des problèmes considérables à ses clients et la nouvelle lui a fait perdre la clientèle qui maintenait son entreprise en vie.

ÉPISODE 3 : Avoir le souci du détail

Isabelle est propriétaire d’une PME possédant une notoriété sur la scène locale. Elle s’implique dans son milieu et son entreprise connait une croissance rapide. Elle obtient la plupart de ses nouveaux contrats à travers son site Web positionné aisément en première place sur Google.

Quand Isabelle a décidé de mettre à pied Éric en raison de son mauvais comportement au travail, elle a bien pris soin de lui retirer tous ses accès à ses courriels professionnels et à son téléphone. Elle croyait bien l’histoire close. Seulement, Isabelle n’avait pas réalisé qu’Éric occupait le poste de travail juste à côté d’Audrey et qu’il avait eu accès aux identifiants et aux mots de passe permettant d’accéder au CMS du site Web de l’entreprise.

Quelques semaines plus tard, Éric s’est fait embaucher par le principal compétiteur d’Isabelle dans la région. Éric aurait facilement pu utiliser les informations qu’il détenait pour supprimer le site Web d’Isabelle ou s’en servir pour ternir sa réputation. Insérer du contenu gênant pour avantager son nouvel employeur aurait été très facile mais Éric avait un meilleur plan.

Il a choisi d’accéder au site Web pour y ajouter sa propre adresse courriel et ainsi être mis en copie sur toutes les demandes de soumissions reçues par Isabelle.

ÉPISODE 4 : Excellent service à la clientèle

Lucie dirige une organisation de plusieurs centaines d’employés. Elle a déjà entendu parler de hameçonnage et de piratage et elle fait particulièrement attention à ne pas ouvrir de courriels provenant de gens qu’elle ne connait pas.

Le courriel qu’elle a reçu ce matin provenait de sa banque. Le logo, les couleurs, l’adresse de la succursale et les informations qui y figurent sont tous conformes. Le courriel est bien rédigé et elle n’a aucune raison de douter du sérieux de la proposition de la banque d’augmenter la limite de sa carte de crédit. Elle clique donc sur le lien lui permettant d’accéder à son compte.

Le lien est en fait un logiciel malveillant qui s’installe automatiquement sur l’ordinateur personnel de Lucie. En moins de quelques secondes, le logiciel a sécurisé par mot de passe tous ses programmes et ses fichiers. Une fenêtre s’ouvre ensuite demandant à Lucie un montant de 300$ pour déverrouiller son ordinateur, une somme d’argent relativement raisonnable dans les circonstances, payable en crypto monnaie dans les 24 heures.

Le pirate ira même jusqu’à offrir du soutien téléphonique sur la façon de procéder pour se procurer et transférer la crypto monnaie.

ÉPISODE 5 : Mise à jour dangereuse

En matière de technologie et d’Internet, Yvon est dépassé. Ce n’est pas de son temps comme il dit. Ceci dit, il est conscient qu’Internet n’est pas une mode et fait de son mieux pour l’intégrer au mieux à ses pratiques d’affaires et à celles de son entreprise. Il a même fait installer par l‘agence marketing à qui il fait confiance un module sur son site Web permettant à ses clients d’envoyer automatiquement des demandes de soumission.

Malheureusement pour Yvon, une mise à jour du CMS Wordpress a rendu son module de soumission désuet et une faille de sécurité y a été décelée par un pirate informatique. Le pirate, à partir de cette brèche, a été en mesure de prendre le contrôle du site Web de l’entreprise d’Yvon. Il se sert de ses accès pour envoyer massivement des centaines de milliers de courriels faisant la promotion de produits illicites.

Yvon devra composer avec une perte de réputation liée à l’utilisation abusive de son serveur d’envoi. Ça lui occasionnera sans doute des maux de têtes lorsqu’il essaiera lui-même d’envoyer des courriels qui se retrouveront dans les boites de courriels indésirables de ses clients et fournisseurs.

ÉPISODE 6 : Fraude postale

Pierre est le propriétaire d’une PME qui compte parmi ses employés sa femme, sa fille et lui-même. Il s’occupe seul de tout ce qui touche l’administration et la facturation. Il se rappelle que la date de renouvellement pour l’enregistrement du nom de domaine en .com de son entreprise arrive bientôt puisque c’est le même jour que l’anniversaire de sa fille.

Sans surprise, Pierre reçoit par la poste une lettre lui demandant de procéder au renouvellement de son nom de domaine rapidement s’il souhaite le garder. Le logo en forme de feuille d’érable rouge lui est familier et l’expéditeur semble être une entreprise gouvernementale.

Pierre est occupé à fêter l’anniversaire de sa fille et ne prend pas le temps de lire les petits caractères au bas de la page. Ceux-ci stipulent qu’en acceptant les présentes conditions, il consent à enregistrer son nom de domaine auprès d’un nouveau registraire situé en Allemagne. Il sera facturé des frais 2 à 3 fois plus élevé qu’il le devrait pour les mêmes services d’enregistrement de son nom de domaine.

Un peu trop tard, Pierre apprend que l’entreprise n’a rien de gouvernemental et qu’ils sont en cause dans de nombreux cas de fausses représentations et de publicités trompeuses.

ÉPISODE 7 : Économies de bouts de chandelles

Jacob, un jeune entrepreneur ambitieux, vient de lancer sa startup. Il s’agit d’une entreprise Web offrant des services en ligne de retouche photo à des particuliers. Son modèle d’affaire révolutionnaire connait beaucoup de succès mais Jacob ne s’emballe pas et garde les pieds sur terre.

C’est dans cette optique que, lorsqu’il est confronté à choisir entre la version originale de son logiciel de traitement de photo et une version gratuite piratée sur un site tiers, il choisit d’éviter une dépense récurrente supplémentaire pour sa jeune entreprise. Garder ses liquidités pour financer sa croissance est une décision facile pour lui.

Ce que Jacob ne sait pas, c’est qu’en téléchargeant son logiciel sur un site tiers, il a aussi introduit dans son ordinateur ce qu’on appelle un « key logger ». Il s’agit en fait d’un programme qui enregistre et communique à un pirate informatique chacune des touches qui sont tapées sur le clavier de l’ordinateur.

Avec cet outil, le pirate informatique a pu espionner le moment où Jacob s’est connecté à la passerelle de paiement de son site Web et identifier son nom d’utilisateur et son mot de passe. Le pirate a ensuite attendu le bon moment pour vider les comptes bancaires de Jacob et les cartes de crédit liées à sa passerelle de paiement.

Sécurité informatique: un aspect crucial pour les entreprises

L’objectif de cet article est de conscientiser les entrepreneurs à l’enjeu de la sécurité informatique dans le cadre de leur utilisation du Web. Malheureusement, il ne propose pas de solutions à des situations qui ne sont parfois que de simple concours de circonstances.

Il faut rester vigilant, s’entourer adéquatement et ne pas prendre de raccourcis faciles pour sauver quelques dollars. Faites affaire avec des entreprises établies qui travaillent selon les règles de l’art : ça coûtera un peu plus cher qu’un pigiste installé dans le sous-sol de ses parents, mais ça pourrait vous sauver des milliers dollars dans le futur.

Le piratage informatique est un phénomène qui prendra toujours plus d’ampleur. Il ne faut pas se mettre la tête dans le sable et croire que ça ne vous arrivera pas. Ce n’est qu’une question de temps avant que vous soyez la cible de pirates informatiques. Comment s’y prendront-ils? Serez-vous ciblé personnellement? Êtes-vous préparé à ça?