Les modules de sensibilisation réalisés dans le cadre du concept national de formation continue dans le domaine de la sécurité de l’information et de la cybersécurité sont disponibles gratuitement en quatre langues pour toutes les administrations publiques suisses sur le site www.elearningcyber.ch. Cette formation est spécialement conçue pour répondre aux besoins des administrations publiques au niveau cantonal, communal et fédéral.

But

Les modules d’apprentissage ont pour but d’améliorer les compétences et la confiance des collaborateurs traitant au quotidien des données, parfois sensibles. Dans un environnement numérique en constante évolution, cette mesure contribue à développer la capacité de résilience de l’administration publique.

Contenu

Quatorze modules sont proposés sur le site web. Deux d’entre-eux sont encore en préparation. Le module Incident Handling, en phase de réalisation, sera très prochainement disponible. Il sera suivi par le module Protection des données, adapté aux nouvelles dispositions de la loi fédérale sur la protection des données. Chaque module est ponctué par un quiz qui permet aux utilisateurs de vérifier leur compréhension et de valider leur apprentissage.

Accès

Pour l’instant, l’accès au site n’est pas lié à un login. Un questionnaire récolte quelques informations de manière anonyme (NPA et type d’organisation dans laquelle travaille l’utilisateur). La mise en place d’un login est envisagée dans un futur proche dans le but de permettre aux apprenants de pouvoir faire une synthèse de leurs apprentissage et d’obtenir une validation du suivi de la formation.

Perspectives

Cette formation est vouée à évoluer dans le temps. C’est la raison pour laquelle une structure opérationnelle a été mise en place en collaboration avec digiVolution. Trois objectifs sont poursuivis :

• Assurer un suivi de l’évolution de la menace

• Donner une vue d’ensemble de l’exécution de la formation au niveau suisse.

• Proposer des adaptations de contenu (modules existants ou nouveaux) au fil du temps.

Nous vous souhaitons beaucoup de succès dans l’utilisation de cette formation continue.

Pour toute question supplémentaire: info@elearningcyber.ch

Les possibilités que recèlent les médias numériques (participation, information, communication, etc.), comportent aussi des risques. Développer une compétence en la matière implique de connaître ces risques et de savoir comment réagir. Le fonctionnement d’Internet et les particularités des réseaux sont parfois opaques et leurs pièges difficilement détectables. Cela représente un défi particulier pour les personnes souffrant de troubles cognitifs, car elles doivent être dans un environnement tangible et pratique pour apprendre.

Une ville fictive en ligne comme terrain de jeu

La ville fictive en ligne « Interneto » propose un apprentissage vivant et pratique impliquant des expériences sensorielles diverses, afin d’aider efficacement et durablement les personnes souffrant de troubles cognitifs à reconnaître et à gérer les risques numériques.

La métaphore de la ville est le fil conducteur à travers tous les sujets de la brochure. Dans chaque ville, certaines choses sont permises, d’autres non ; certains endroits sont beaux, d’autres dangereux. Il en va de même à « Interneto, la ville en ligne ». Il faut s’attendre à des sanctions quand on fait des choses interdites.

« Interneto » – matériel de travail

Les personnes souffrant de troubles cognitifs doivent pouvoir surfer sur Internet en toute sécurité. Vous trouverez ici différents supports pour les personnes souffrant de troubles cognitifs (en allemand seulement) pour aider à mieux s’orienter : une brochure avec des informations destinées aux professionnels, une image-promenade assortie de cartes, un jeu de piste autour des dangers qui guettent sur Internet et un assortiment de jeux.

Le coronavirus a donné un coup d’accélérateur à la transformation numérique, en Suisse comme partout dans le monde. Beaucoup de gens travaillent depuis la maison, font davantage d’achats en ligne ou sont devenus friands d’offres numériques. Les cyberincidents tendent dès lors à se multiplier et frappent davantage les esprits. Les annonces faites à la police ou au guichet unique du Centre national pour la cybersécurité (NCSC) ont augmenté, avant de se stabiliser à un niveau élevé.

Les cas de fraude et d’hameçonnage (phishing), surtout, sont en hausse. Pendant la crise du coronavirus, les escrocs ont profité de l’essor du commerce en ligne pour envoyer des messages de phishing signalant une livraison de colis à valider. De nouveaux scénarios de fraude sont également apparus, comme l’arnaque aux dons en faveur des victimes du COVID-19 ou les fausses commandes de masques faciaux.

Optimiser la cybersécurité

Chacun de nous peut sensiblement améliorer sa sécurité personnelle sur Internet, avec des moyens simples et sans grands efforts: en choisissant des mots de passe robustes, en effectuant des mises à jour régulières de ses logiciels ou en faisant preuve de vigilance dans le cyberespace.

Le truc mnémotechnique SUPER aidera les internautes à acquérir des réflexes utiles à leur sécurité personnelle sur Internet:

• S comme Sauvegarder
  Sauvegardez régulièrement vos données sur au moins un autre support.
• U comme Utiliser ses mises à jour
  Mettez à jour votre système, vos programmes et vos applis en installant les versions les plus récentes.
• P comme Protéger avec un antivirus
  Assurez-vous d’avoir installé un antivirus sur votre appareil.
• E comme Équiper ses accès d’un mot de passe fort
  Connectez-vous exclusivement avec des mots de passe forts.
• R comme Réduire
  Réduisez les risques d’escroquerie dans le cyberespace en faisant preuve d’une bonne dose de méfiance.

Pour en savoir plus sur la sécurité numérique : s-u-p-e-r.ch ou www.super.swiss

Le smishing : comment cela fonctionne

Un message vous est envoyé par SMS ou par un autre service de messages courts, exigeant une réponse. Et, souvent, il vous donne à entendre que le temps presse, ou que vous risquez de subir des conséquences déplaisantes si vous n’obtempérez pas. Le texto a un contenu crédible, par exemple :

• un avis d’envoi par la poste ;
• un colis bloqué parce que les frais de port n’ont pas été réglés ;
• un code envoyé par erreur par l’un de vos contacts ;
• un message que vous n’auriez pas vu ;
• un concours qui propose des prix alléchants.

Vous êtes invité·e à cliquer sur un lien pour envoyer un texto à un numéro donné ou répondre à un texto.

Les conséquences d’une attaque de smishing

Voici ce qui risque de se passer si l’on cède à la demande :

• vous aurez conclu un abonnement, par exemple en répondant par « oui » à un texto ;
• vos données de paiement risquent d’être utilisées abusivement, par exemple parce que vous avez été amené·e à saisir votre identifiant Apple pour télécharger une application prétendument urgente, ou à cliquer sur un lien qui ouvre une page de paiement falsifiée ;
• un compte est piraté, par exemple, lorsque vous transmettez un code à quelqu’un qui se fait passer pour un ami. En réalité, il s’agit du code de confirmation pour réinitialiser un compte (par exemple WhatsApp). Les arnaqueurs saisissent un nouveau mot de passe et prennent le contrôle.
• Un logiciel malveillant sera installé, par exemple après avoir cliqué sur un lien.

Excès de confiance, manque de contrôle : les arnaqueurs se frottent les mains

Les gens sont plus enclins à faire confiance à un texto qu’à un courriel, et sont plus susceptibles d’y répondre – les arnaqueurs comptent là-dessus. Si le danger que représentent les liens dans les courriels est connu de la plupart des gens qui se montrent donc circonspects, un texto est souvent perçu comme un message personnel et digne de confiance. À cela s’ajoute le fait qu’actuellement, le contenu des SMS ne peut pas être vérifié ; alors que les fournisseurs de courrier électronique et les programmes de messagerie filtrent les courriels d’hameçonnage, les fournisseurs de services de télécommunication n’ont pas les bases légales pour le faire. Ainsi, analyser les contenus des textos reviendrait à violer le secret des télécommunications. En outre, rares sont ceux qui ont un antivirus ou un antispam installé sur leur smartphone, ce qui est particulièrement important pour les appareils Android, les iPhones étant mieux protégés par l’architecture fermée du système Apple.

Comment me protéger contre le smishing ?

• En cas de doute, renseignez-vous ailleurs, sur des canaux officiels ! Appelez la Poste, l’ami ou la collègue, etc. ou envoyez un courriel à une adresse officielle ! Ne PAS utiliser les informations données dans le SMS à cette fin !
• N’ouvrez aucun document et ne cliquez sur aucun lien si vous n’êtes pas sûr·e à 100% de l’expéditeur !
• Méfiez-vous de toute anomalie ! Est-ce bien le style qu’adopterait normalement votre contact pour vous écrire ? La demande formulée est-elle conforme à ce qui se fait habituellement dans ce cas ? Par exemple, qu’un versement soit requis pour la remise d’un prix est plutôt inhabituel.
• Vérifiez sur Google si la demande a déjà été identifiée comme une arnaque.
• Supprimez le message !
• Installez un logiciel antivirus et antispam sur votre smartphone Android !
• Veillez à mettre régulièrement à jour le logiciel de votre smartphone !

• Si vous avez divulgué des données confidentielles, contactez immédiatement le prestataire concerné (établissement financier, fournisseur d’accès ou service de messagerie électronique). Expliquez votre situation pour recouvrer le contrôle de vos données. Avisez aussi MELANI de l’attaque au moyen du formulaire ad hoc.
• Modifier immédiatement les mots de passe divulgués et assurez-vous que les nouveaux sont sûrs.

• Les prestataires sérieux tels que banques, la Poste, sites d’enchères, autorités et institutions similaires ne vous demanderont jamais de divulguer vos mots de passe ou vos données de cartes de crédit par courriel ou au téléphone. Une extrême méfiance est donc de mise à l’égard de courriels qui vous réclameraient des données personnelles et affirmeraient que les conséquences en cas d’inexécution seraient une perte financière, une dénonciation pénale ou le blocage de votre carte de crédit par exemple. Ne répondez pas à ce genre de courriels. Effacez-les systématiquement sans cliquer sur les liens proposés.
• Installez un programme anti-hameçonnage et mettez-le à jour régulièrement.
• Avisez MELANI des attaques subies au moyen du formulaire ad hoc.

A l’aide des données soutirées ou volées, les escrocs commettent ensuite des infractions contre le patrimoine au nom de la victime : virements bancaires, achats en ligne et même placements de fausses offres sur des sites d’enchères. De plus, l’escroc devient maître du compte de messagerie électronique dont il a soutiré les données d’accès. Il peut ainsi l’utiliser pour envoyer d’autres courriels frauduleux aux contacts de la victime, mais aussi le bloquer ou en modifier le mot de passe.

• Modifier immédiatement les mots de passe divulgués et assurez-vous que les nouveaux sont sûrs.
• Si vous avez divulgué des données confidentielles, contactez immédiatement le prestataire concerné (établissement financier, fournisseur d’accès ou service de messagerie électronique). Expliquez votre situation pour recouvrer le contrôle de vos données.
• Avisez aussi MELANI de l’attaque au moyen du formulaire ad hoc.

• En principe, les prestataires sérieux tels que banques, la Poste, sites d’enchères, autorités et institutions similaires ne vous demanderont jamais de divulguer vos mots de passe ou vos données de cartes de crédit par courriel ou au téléphone.
• Une extrême méfiance est donc de mise à l’égard de courriels qui vous réclameraient des données personnelles et affirmeraient que les conséquences en cas d’inexécution seraient une perte financière, une dénonciation pénale ou le blocage de votre carte de crédit par exemple.
• Ne répondez pas à ce genre de courriels. Effacez-les systématiquement sans cliquer sur les liens proposés.
• Vérifier des sites web suspects: https://checkawebsite.ibarry.ch

Définition

Le terme « phishing » est une contraction des mots anglais password (mot de passe), harvesting (moisson) et fishing (pêche). Il s’agit d’une technique d’escroquerie, aussi appelée hameçonnage, utilisée pour se procurer subrepticement les données confidentielles d’internautes. Les informations convoitées sont celles permettant entre autres d’accéder à ses comptes de messagerie, de services bancaires ou de la Poste en ligne ou de sites d’enchères. Les malfaiteurs agissent tantôt en bande organisée, tantôt en solitaire. L’attaque peut se produire par courriel, par un site web, par un service de téléphonie sur Internet (VoIP) ou par SMS.

Caractéristiques d’une attaque de phishing

Les modalités des attaques de phishing varient beaucoup. Mais elles ont certaines caractéristiques en commun :

• L’escroc commence toujours par sommer la cible de divulguer ses données personnelles. Le prétexte invoqué peut varier : nécessité de renouveler les données pour des raisons de sécurité ou de mettre à jour le compte de l’utilisateur, données requises par une autorité pour procéder au remboursement de frais d’électricité, etc.
• En général, la sommation est envoyée par courriel et le message contient un lien vers un site contrefait.
• Sur le site factice, la victime est invitée à remplir un formulaire. Dans la plupart des cas, il lui est demandé de divulguer des données bancaires confidentielles et d’autres données personnelles (nom, prénom, adresse électronique, nom d’utilisateur et mot de passe pour différents comptes, etc.).
• L’adresse de l’expéditeur, mais aussi le contenu du courriel et la conception du site web auquel il renvoie visent à faire croire au destinataire que son interlocuteur est un établissement financier connu, la Poste, une plate-forme d’enchères en ligne (Ricardo ou eBay par ex.), un service de messagerie électronique ou une autorité.
• Il arrive aussi que la page d’hameçonnage soit placée sur le site d’une entreprise sérieuse après piratage de celui-ci. L’utilisation de ce procédé est surtout connue dans le domaine des services bancaires en ligne.

Situation juridique

L’hameçonnage ne fait pas l’objet d’une norme pénale particulière en Suisse. Mais il tombe souvent sous le coup des articles suivants du Code pénal :

• Art. 143 CP Soustraction de données
• Art. 143^bis CP Accès indu à un système informatique
• Art. 144 CP Dommages à la propriété
• Art. 147 CP Utilisation frauduleuse d’un ordinateur
• Art. 251 CP Faux dans les titres
• Art. 305^bis CP Blanchiment d’argent

Que fait la police ?

La répression du phishing est très compliquée au cas par cas, car on ne peut pas remonter à l’infrastructure technique utilisée par les escrocs. Seule une analyse complète des attaques de ce type pourrait livrer des enseignements. En effet, Les malfaiteurs produisent souvent les pages d’hameçonnage à l’aide de services proxy situés à l’étranger. Pour dissimuler leur identité, ils envoient fréquemment les pages par l’intermédiaire de réseaux de programmes informatiques automatisés (botnets) ou les hébergent à l’étranger, ou encore les placent sur des serveurs de tiers piratés. Par ailleurs, les données volées sont en général revendues à d’autres malfaiteurs pour recyclage. L’instruction des cas est ainsi souvent vouée à l’échec ou, du moins, exige une grande débauche de moyens. C’est une raison de plus de se protéger contre les attaques.