Le nombre de cyberattaques est en constante augmentation. Pour se prémunir des intrusions, Phedra Clouner, Directrice générale adjointe du Centre pour la Cybersécurité Belgique (CCB), plaide pour la généralisation de l’authentification à deux facteurs.
Phedra Clouner
Directrice générale adjointe du Centre pour la Cybersécurité Belgique (CCB)
Chaque jour, au moins une entreprise est victime d’une cyberattaque en Belgique. L’utilisation de mots de passe trop faibles ou de mêmes mots de passe pour s’identifier sur différents sites internet ne fait que faciliter la tâche des cybercriminels. « Il y a quelques années, les mots de passe les plus utilisés par les Belges étaient notamment les premières lettres du clavier – AZERTY – ou la série de chiffres 123456. Malheureusement, la situation n’a guère évolué aujourd’hui », constate Phedra Clouner.
Les cybercriminels s’emparent des mots de passe de plusieurs manières. Le phishing est le grand classique. La technique consiste à leurrer l’internaute pour l’inciter à communiquer ses données personnelles – mots de passe, comptes bancaires, etc. ; le hacker se fait passer pour un tiers de confiance, par exemple votre banque, un service public ou même la police. Les cybercriminels disposent aussi de logiciels qui testent un grand nombre de combinaisons de mots de passe ; si ces derniers sont faibles, ce sera d’autant plus facile. « Si les pirates parviennent à s’introduire dans votre boîte mail principale, ils peuvent ensuite accéder à tous vos autres comptes en utilisant la fonction ‘J’ai oublié mon mot de passe’ qui enverra automatiquement par mail de nouveaux mots de passe. »
Notre objectif final est de rendre la Belgique l’un des pays les moins cyber-vulnérables d’Europe.
Pas d’authentification à 2 facteurs dans 80 % des attaques
Pour les particuliers comme pour les entreprises, les dégâts occasionnés par une intrusion peuvent être considérables. « Les hackers ont alors par exemple tout loisir de faire des achats en ligne en votre nom ou de ruiner votre réputation sur les réseaux sociaux », déplore notre interlocutrice. Dans le cas d’une entreprise, le scénario du ransomware est également bien connu : un logiciel informatique malveillant prend en otage vos données et bloque l’accès à vos fichiers ; on vous demande alors une rançon en échange de la clé permettant de les déchiffrer.
Comme le constate Phedra Clouner, « dans 80 % des cas de cyberattaques, l’authentification à deux facteurs n’avait pas été mise en place. C’est pourtant là une solution simple et très efficace pour protéger ses données personnelles. Elle consiste à demander une preuve d’identité supplémentaire pour obtenir l’accès à un site. Cela peut prendre la forme soit d’un second mot de passe, soit d’un token, c’est-à-dire un code d’accès temporaire envoyé par téléphone, ou encore d’une empreinte digitale issue de vos données biométriques. Ainsi, même s’il réussit à voler votre premier mot de passe, l’escroc se retrouvera dans une impasse. »
Des mesures concrètes pour vous protéger
À l’heure actuelle, l’authentification à deux facteurs n’est implantée de façon systématique que dans certains contextes. Les banques l’imposent à leurs clients, par exemple via un Digipass. « Toutefois, la plupart des entreprises n’y ont malheureusement toujours pas recours par défaut. Si un escroc parvient à voler le mot de passe d’un compte administrateur, il peut avoir accès à tout le système. Vous imaginez la catastrophe ? », s’alarme Phedra Clouner.
Dans 80 % des cas de cyberattaques, l’authentification à deux facteurs n’avait pas été mise en place.
Pour alerter les citoyens de ce genre de dangers, le CCB mène actuellement une campagne de sensibilisation visant à encourager l’usage de l’authentification à deux facteurs pour tous leurs comptes en ligne. Pour les entreprises, le CBB a créé le site atwork. safeonweb : « Notre objectif final est rendre la Belgique l’un des pays les moins cyber-vulnérables d’Europe. Ce site dispose de toute une série d’outils et de ressources, dont le Cyber Fundamentals Framework. Il s’agit là d’un ensemble de mesures concrètes visant à protéger vos données, à réduire considérablement le risque des cyberattaques les plus courantes et à augmenter la résilience cybernétique de votre organisation. »