Si les cyberattaques contre les entreprises sont aussi fréquentes, c’est aussi parce que les employés ont multiplié les portes d’entrées pour les hackers. Ouvrir un fichier malveillant depuis un compte perso sur un ordi pro, c’est prendre le risque d’exposer toute sa société.

Votre ordinateur pro vous sert à travailler puis à trainer sur Instagram le soir ? Félicitations, vous facilitez la tâche des hackers. De nombreux groupes de pirates cherchent à approcher les employés depuis les réseaux sociaux pour voler ensuite tous les identifiants d’entreprises. Le 13 octobre 2022, une nouvelle opération de phishing destiné à dérober des comptes Facebook Business a été révélée. Ces hackers mènent une campagne – baptisée Ducktail par l’entreprise WithSecure – ciblant des employés imprudents depuis des mois à travers le monde entier.

Une fois le fichier malveillant ouvert, les malfaiteurs ont la possibilité de récupérer toutes les données enregistrées, y compris les identifiants, pour s’attaquer ensuite aux comptes professionnels.

Une capture d’écran d'un chatbot frauduleux. Ce dernier invite l’utilisateur à taper ses identifiants et son numéro de téléphone. // Source : Trustwave
Une capture d’écran d’un chatbot frauduleux. Ce dernier invite l’utilisateur à taper ses identifiants et son numéro de téléphone. // Source : Trustwave

Difficile de se montrer sévère avec les employés, avec le télétravail qui a effacé toutes séparations entre usage privé et professionnel. Les pauses se font au salon, il n’y a personne pour surveiller si l’on traine sur les réseaux sociaux. Et, pourquoi changer d’ordinateur si l’on a déjà Netflix sur le très performant MacBook prêté par la boîte ? L’entreprise Yubico, spécialiste dans la sécurité des objets informatiques, révèle dans un sondage que 57 % des personnes interrogées utilisent un appareil fourni par leur entreprise pour leurs loisirs.

Les sites les plus consultés pendant les heures de travail ? Twitter à près de 50%, suivi de Spotify et Facebook, selon un rapport de WithSecure. Au même moment, les attaques par ransomware explosent : les signalements ont augmenté de 255 % en 2020, indique l’ANSSI.

Les hackers criminels ont immédiatement compris l’aubaine que représentent des centaines de millions d’employés affalés sur leur canapé avec, entre les mains, une porte d’entrée vers tous les dossiers sensibles d’une entreprise.

Diversifier les mots de passe, une première étape essentielle

Maintenant que l’on a exposé le pire scénario envisageable, que faut-il faire ? Se déconnecter de tous les réseaux sociaux ? Fermer son ordinateur une fois la journée terminée ? Ce serait un bon moyen d’éviter les cyberattaques, mais la réalité n’est pas aussi simple.

LinkedIn est, par exemple, une plateforme essentielle pour de nombreux employés, tout en étant un terrain de chasse pour de nombreux malfaiteurs qui cherchent à tromper leurs victimes en se faisant passer pour des recruteurs. La prudence reste la principale recommandation. Évitez d’ouvrir des fichiers douteux et pour réduire les chances de tomber dessus, il vaut mieux réduire la fréquentation des réseaux sociaux ou de sa boite mail personnelle.

Un faux compte créé par un hacker et repéré par Microsoft. // Source : Microsoft
Un faux compte créé par un hacker et repéré par Microsoft. // Source : Microsoft

Diversifier ses mots de passe est tout aussi essentiel. Si un pirate parvient à dérober l’un de vos codes, il tentera sur le champ d’utiliser cette même combinaison pour d’autres applications. À ce sujet, il est assez ironique de constater que c’est la génération Z qui est moins sensible à la sécurité du mot de passe : 15 % des baby boomers maintiennent le même code secret pour tous les comptes contre 30 % des plus jeunes. C’est une chose d’utiliser les nouveaux outils numériques, encore faut-il en comprendre tous les enjeux.