LQJ-274

ment dégainé plus souvent son clavier que son flingue, ce communicateur ne manque d’ailleurs pas d’histoires où des personnes se sont vues dépossédées de sommes d’argent importantes à cause de leur naïveté. Mais il est vrai, à leur décharge, que les cybercriminels ficellent des scé- narios artistiquement alambiqués pour faire plonger leurs victimes. Celles-ci n’ont d’ailleurs pas forcément un trop petit bagage intellectuel ou un trop faible niveau social. En laissant toutes ses données personnelles en liberté sur la Toile, on s’expose en première ligne. Et l’arnaque qui revient telle une ritournelle, c’est la “fraude au digipass”. Pour ferrer leurs poissons, les escrocs surfent sur l’actualité, opèrent des intrusions dans la vie, les courriers privés ou scrutent les messages postés innocemment sur les portails web affichant des commentaires publics mais aussi sur les réseaux sociaux. « Ces derniers sont importants car le fonc- tionnement de Facebook, par exemple, fait que les membres de la plateforme reçoivent des contenus en rapport avec ce qu’ils ont aimé. Il est donc assez facile de les toucher et de capter leur attention grâce à des messages sponsorisés payants, menant vers des montages frauduleux », résume le policier. Et de raconter une mésaventure survenue à une dame qui avait indiqué sur un site de seconde main qu’elle était intéressée par l’achat d’un objet. Un faux vendeur la contacte pour lui dire qu’il lui envoie ledit objet via un service de livraison… et qu’une société va lui téléphoner pour une authentification. Le bonhomme qui l’appelle ensuite, en se faisant passer pour un employé de l’entreprise d’expédition, la rassure en lui recommandant de ne lui communiquer en aucun cas le code pin de sa carte bancaire, mais simplement de lui lire le numéro qui s’affiche sur son digipass, la petite calculette qui génère une signature électronique. Or, il faut savoir qu’avec le numéro de carte et cette seule signature chiffrée, les voleurs n’ont pas besoin du code pin pour effec- tuer par la suite des opérations sur votre compte bancaire, via l’application mobile liée. « Pour un chemisier à 25 euros, c’est un transfert de 250 euros qui ont été effectués sur des comptes à l’étranger », déplore notre interlocuteur. Et le filon ne se tarit pas. Dans ses statistiques, la police fédérale a enregistré 21 239 cas de la sorte en 2017. Pour le premier semestre 2018, 10 554 fraudes aux cartes de paiement sont recensées. DEMANDE DE RANÇON Le principe, dommageable, se décline en une ribambelle de scénarios plus inventifs les uns que les autres : faux concours dont on est le gagnant, dons à des associations, aide à une personne dans le besoin bloquée à l’étranger, opérations de soutien aux gilets jaunes… « Il s’agit de jouer sur l’émotion et l’inquiétude, deux ressorts qui incitent à don- ner suite. Certains Belges vivent tellement dans la solitude qu’ils s’enferment dans le déni. » Ce refus de reconnaître une situation où l’on est abusé se retrouve d’ailleurs aussi au sein de certaines entreprises qui cherchent à tout prix à évi- ter toute mauvaise publicité ayant trait à des arnaques dont elles ont été victimes. D’où l’existence d’un important chiffre noir dans les statistiques. Les réseaux sociaux livrent aussi beaucoup d’informations sur les fonctions des employés, ce qui a notamment permis l’essor des “fraudes au président” consistant à se faire passer pour un dirigeant d’entreprise avant de demander péremptoirement, par téléphone, à un employé abusé, d’effectuer un virement bancaire urgent sur des comptes interlopes où l’argent disparaît. Mais, depuis 2015, ce qui inquiète le plus les entreprises, ce sont les ransomwares et autres “cryptovirus”. En clair, des logiciels malveillants qui prennent en otage les don- nées d’une ou plusieurs machines (lorsqu’ils se propagent) et qui affichent un message indiquant qu’elles sont ren- dues illisibles par un chiffrement et ne seront débloquées qu’après l’acquittement d’une rançon. L’infection, dont l’une des plus connues se nommait caustiquement “Wanna Cry”, se loge souvent dans des courriels mais trouve régu- lièrement d’autres portes d’entrée. La police déconseille fortement de payer et recommande de débrancher immé- diatement toutes les machines, câbles, clés USB, disques durs externes et même téléphones portables en train de charger en USB. Puis de consulter la plateforme www. nomoreransom.org lancée par les polices européennes – Europol – proposant à la fois des conseils et des outils de déchiffrement pour sauver les entreprises concer- nées. Mais beaucoup restent toutefois tentés de verser le montant de la rançon, face à l’ampleur de la menace, à l’ULiège, le service informatique bloque trois ou quatre tentatives d’intrusion par seconde sans pour autant avoir la garantie que tout se débloquera subséquemment. « 1000 ordinateurs peuvent être infectés en une heure et il faut compter trois mois pour réinstaller toute l’informatique », indique-t-on au Segi, le service général d’informatique de l’ULiège. Laurent Debra, le direc- teur adjoint, donne la mesure de la réalité des tentatives d’intrusion : « On bloque en moyenne trois ou quatre attaques par seconde, y compris la nuit, entre internet et l’intérieur de l’Université. Les anciens virus ne détruisaient pas tout alors que les nouveaux cryptovirus rendent les systèmes inopérants et viennent s’ajouter aux tentatives de vols de données, d’espionnage scientifique et autres extorsions de fonds. » Officiellement, la police a enregistré 238 cas de ransomwares en 2017 et finissait d’en compter 97 pour le premier semestre 2018. Au début du mois de mars, la clinique André Renard, située en périphérie de Liège, à Herstal, était victime d’une attaque du genre, opérée par des pirates ukrainiens réclamant une rançon. Malgré le fait que la propagation soit restée circons- crite, l’activité du site hospitalier a été gravement perturbée et il aura fallu près d’un mois pour que tout rentre dans l’ordre. « Il faut savoir que beaucoup d’entreprises et de PME ne sont pas protégées car la cybersécurité coûte très cher en matériel et en personnel, notamment en ce qui concerne les ingénieurs en sécurité réseau. Chez nous, on dénombre 100 000 prises réseau et 2400 bornes wi-fi, rappelle Didier Korthoudt, directeur du Segi. Au niveau de l’université, on essaie de sécuriser de plus en plus les réseaux et nos deux centres de données sont localisés dans deux bâtiments suffisamment éloignés l’un de l’autre sur le campus du Sart- Tilman. La technique est comparable aux défenses des châ- teaux forts qui combinaient murailles, douves, mâchicoulis, archers… Différents firewalls [des barrières de tri, ndlr] sont installés dans chaque ensemble et sous-ensemble, selon les départements ou Facultés dont les accès sont différenciés. On vérifie que ce qui est souhaité est bien ce qui est consulté par nos 30 000 utilisateurs, CHU compris. Tout cela, sans brider le travail des habitués du réseau. » COMMENT NOS DATAS NOUS ÉCHAPPENT À côté des flibustiers du web, il y a ceux qui avancent toutes voiles gonflées sur l’océan des données personnelles et qui regardent l’horizon sans tirer angoisse de l’insondable pro- fondeur de l’eau trouble. Notre vie numérique est parsemée d’actions, de traces invisibles que nous laissons derrière nous à chacun de nos passages sur le web. Ces empreintes sont enregistrées sur des serveurs par des firmes qui se les approprient dans une visée de marketing. Et généralement, ce “big data” est collecté sans qu’on le sache, mais avec notre consentement obtenu grâce à des conditions géné- rales que nous approuvons sans même les lire, dans l’en- thousiasme de la première utilisation d’un service alléchant. Une certaine opacité demeure, malgré l’avancement que représente le règlement général sur la protection des don- nées (RGPD) adopté au niveau européen en 2016. Au printemps dernier, le service “Qualité de vie des étu- diants” proposait des ateliers pour apprendre à gérer ces données, découvrir comment les effacer, protéger les comptes, crypter les messages. Dans le contexte du scandale Facebook-Cambridge Analytica, en 2015, qui concernait l’utilisation de données personnelles de 87 millions d’utilisateurs dans le but d’influencer les inten- tions de votes, une étude interpellante était remise en lumière. En 2008, un chercheur américain de l’univer- sité de Stanford, Michal Kosinski, créait une application ludique sur Facebook. Sur la base de l’échantillon des six millions d’internautes l’ayant utilisée, il en a conclu qu’après dix likes sur Facebook, l’algorithme vous connaît mieux que vos collègues. Après 100, il vous connaît mieux que votre famille. Et avec 230, il vous connaît mieux que votre conjoint... L’illustration est parlante, qui ne prend même pas en considération les géolocalisations, cookies et autres algorithmes analysant en permanence la masse des renseignements générés par nos activités et qui sont sus- ceptibles de conduire à des profilages prédictifs. « Il s’agit théoriquement d’es- paces publics qui doivent être libres et pas en permanence surveillés », estime Alexandre Liesenborghs, l’un des ani- mateurs des ateliers préci- tés accueillis dans les locaux de HEC. Spécialiste de ces questions au sein de l’ASBL Barricade à Liège, il demeure un adepte résolu de l’autodé- fense numérique, soit « l’en- semble des pratiques ou processus à mettre en place individuellement ou collective- ment afin de préserver, dans l’ordre puisqu’ils sont induits l’un par l’autre, ses droits à la vie privée, à la confidentiali- té et à l’anonymat ». Il prône Après 10 likes sur facebook, l’algorithme vous connaît mieux que vos collègues 66 septembre-décembre 2019 / 274 ULiège www.uliege.be/LQJ septembre-décembre 2019 / 274 ULiègewww .uliege.be/LQJ 67 univers cité univers cité