Dans cette tribune, Jérôme Granger, responsable communication chez G DATA Software France, tord le cou à deux idées reçues sur la sécurité informatique.
En travaillant chez un éditeur de solutions de sécurité informatique G DATA Software, il n’est pas rare d’être considéré comme spécialiste en sécurité informatique dans les conversations de la vie courante. La notion de « spécialiste » étant inversement proportionnelle au niveau de connaissance technique de l’interlocuteur, ce statut d’expert expose à questions, demandes et remarques plus ou moins fondées. En passant sur le large panel des problèmes informatiques classiques du « j’ai un problème, tu pourrais venir voir ? » (pour lequel il convient de maitriser certaines techniques d’évitement pour se prémunir des interminables séances de dépannage), il est courant d’être confronté à quelques idées saugrenues à propos de sécurité informatique. Le « Je fais attention où je navigue sur Internet donc mon ordinateur ne peut pas être infecté », et le « Mon ordinateur ne stocke aucune information ayant de la valeur, pourquoi devrais-je être pris pour cible ? » sont les plus courantes. Deux idées à qui il est temps de tordre le cou.
« Je surfe sur des sites Internet non infectés »
Chaque semestre, le malware report G DATA montre que malheureusement les codes malveillants ne sont pas tous rassemblés sur Internet dans une même catégorie de sites. Des sites légitimes tels que ceux traitant de technologie, de santé ou de voyages arrivaient en tête des sites les plus infectés lors du rapport G DATA du 1er semestre 2015. Les attaquants ciblent les sujets actuels mais ils peuvent aussi mettre en œuvre une attaque non ciblée en infectant massivement des sites internet avec des failles de sécurité. Cela signifie un gros profit potentiel pour peu d’investissement.
« Je n’ai aucune information importante sur mon ordinateur »
Au-delà des informations qu’il contient, l’ordinateur en lui-même a de la valeur pour les attaquants. Des ordinateurs infectés peuvent être intégrés dans des botnets et utilisés à des fins cybercriminelles (envoi de spam, instrument d’attaques DDoS, etc.). L’utilisateur se retrouve alors, à son insu, complice des attaquants. Même s’il ne stocke pas d’informations sensibles, un utilisateur en traite généralement beaucoup avec son ordinateur. Il se connecte à son email, fait des achats en ligne avec sa carte bancaires, réalise des virements bancaires, etc. Toutes ces actions nécessitent la communication de données sensibles qui peuvent être capturées sur un ordinateur infecté. Une fois en possession de ces informations, l’attaquant peut les utiliser pour son propre compte ou les revendre sur le marché parallèle. Un accès à un email coute moins d’un centime à la revente, mais que coute-t-il en tracas pour l’internaute dépossédé de son email ?
Il est avéré que les ordinateurs sans mesures de sécurité correctes sont des appâts plus faciles pour les cybercriminels. Le prix à payer lors d’une infection est souvent bien plus important que le prix d’une solution de sécurité.