Une tendance inquiétante est la publication en ligne des photos de postes de télétravail, d’appels vidéo et de réunions virtuelles.
Cette tendance a généré sa propre série de hashtags, notamment #WorkFromHome, #WorkingFromHome, #RemoteWork, #HomeOffice. D’autres font allusion à l’application utilisée, comme #Zoom et #MSTeams.
Bien que le partage de telles photos puisse sembler inoffensif et même incontournable à l’époque actuel, la réalité est que nous sommes, une fois de plus, tombés dans le piège classique et récurrent du partage excessif en ligne et de la sous-estimation des risques encourus.
Nous oublions de nous poser la question suivante : “que pourrait bien faire un cybercriminel ou un escroc de toutes ces informations ?”.
Les fraudeurs, escrocs et autres cybercriminels adorent lorsque nous partageons ouvertement des informations en ligne sur nos vies, tant personnelles que professionnelles.
Ces informations facilitent considérablement les efforts déployés pour nous cibler. De plus, la pandémie en cours, générant une situation où les gens sont très anxieux, stressés, éloignés des groupes de soutien et conciliant travail et vie de famille dans le même espace physique, augmente considérablement notre vulnérabilité à ces attaques.
Vous êtes la cible potentielle d’arnaques ciblées
Les arnaques en ligne sont un type d’attaque privilégié par de nombreux cybercriminels. Elles sont souvent simples à lancer et, si elles sont bien exécutées, peuvent avoir des taux de réussite relativement élevés.
Au fur et à mesure que nous avons gagné en vigilance concernant ces escroqueries, les cybercriminels ont dû devenir de plus en plus rusés.
Un moyen utilisé pour augmenter les taux de réussite est de personnaliser ces arnaques : par exemple avec des attaques de type spearphishing.
Nous ne voyons plus “Cher utilisateur“, mais plutôt “Cher [votre nom]“. Et les escroqueries utilisent maintenant vos anciens mots de passe dans leurs messages.
Ces données personnelles sont souvent recueillies grâce à votre présence en ligne et à d’anciennes violations de données. Vous pouvez considérer qu’il s’agit là d’une collecte de renseignements open-source (OSINT) centrée sur vous. Son but étant d’augmenter la crédibilité de leurs attaques, et ça marche !
Maintenant, nous divulguons également des données personnelles via des photos et d’autres visuels lorsque nous sommes en télétravail : même ce fond apparemment inoffensif affiché lors d’appels vidéo ne l’est pas vraiment !
Méfiez-vous des potentielles informations que vous révélez sans le savoir lorsque vous êtes en télétravail à votre domicile.
Les membres de votre famille (en personne ou sous forme de photo) apparaissent souvent en arrière-plan des appels vidéo, avec vos hobbies, vos équipes sportives et émissions de télévision préférées ainsi que d’autres informations personnelles.
Les photos marquées avec #WorkFromHome, #WorkingFromHome, #HomeOffice ont également révélé :
- Des fêtes d’anniversaire (célébrées sur Zoom ou Teams), exposant ainsi les dates de naissance.
- Des adresses personnelles, via des photos révélant des adresses sur des colis Amazon ou des courriers.
- Des noms des membres de votre famille, des enfants et des animaux domestiques.
La variété des informations qui peuvent être exposées dans de tels contextes est infinie et n’est limitée que par l’espace dont vous disposez au niveau de votre environnement de télétravail chez vous (que ce soit une chambre à coucher, un salon ou un véritable bureau).
Chacune de ces informations est susceptible de vous exposer davantage à des arnaques en ligne si elles tombent dans les mains de la mauvaise personne.
D’après certaines études, nous savons, par exemple, que les mots de passe sont souvent créés en fonction des noms de vos équipes, chanteurs, hobbies préférés, et de ceux de vos enfants et animaux de compagnie. Par conséquent, ces informations pourraient facilement être utilisées dans des attaques en essayant tout simplement de deviner vos mot de passe.
Par exemple, supposons que vous recevez par email une “carte-cadeau électronique” le jour de votre anniversaire envoyée par un ami, perdu de vue depuis longtemps, et qui cherche à reprendre contact avec vous. Beaucoup de gens seraient tentés d’ouvrir la pièce jointe de cette carte-cadeau parce que la date est effectivement correcte, ignorant qu’il s’agit en fait d’un malware ou d’un ransomware, et que le fraudeur connaît votre anniversaire car la date en question a été mise en ligne des mois auparavant.
Vous divulguez des données professionnelles
Les entreprises ont eu du mal à suivre le rythme rapide avec lequel elles ont dû adopter les technologies numériques au cours de l’année passée. De plus, la sécurisation des employés distants est toujours un combat quotidien pour beaucoup d’entre elles.
Outre les considérations, les plus courantes en matière de télétravail sécurisé, telles que les VPN et la gestion des identifiants, vous devez également vous soucier du partage excessif, mais cette fois concernant les données professionnelles.
L’analyse des images d’environnements de télétravail a révélé des boîtes de réception de messagerie professionnelle, des emails internes, des noms d’individus dans les emails, des pages Web privées, des correspondances professionnelles internes potentiellement sensibles, des logiciels installés sur des ordinateurs et des numéros d’identification internes des appareils.
Dans de nombreux cas, ces informations se trouvaient à l’arrière-plan d’appels vidéo ou de photos d’animaux de compagnie à proximité/ou sur les claviers, à l’arrière-plan d’enfants scolarisés à domicile, ou bien sur les photos d’un bon repas fait maison. Chacune de ces empreintes numériques pourrait être utilisée pour pirater l’entreprise.
Les données sensibles apparaissant à l’arrière-plan des photos de vos animaux de compagnie sont de véritables cadeaux pour les cybercriminels.
Par exemple, un attaquant peut contacter un employé en utilisant le nom d’un fournisseur connu, en s’appuyant sur des informations recueillies à partir d’un email.
Ils peuvent également entrer en contact avec l’employé en question, se faisant passer pour le service informatique et demandant à cet employé de mettre à jour le logiciel critique que seuls les employés internes pourraient (ou devraient !) connaître.
Dans les deux cas, les employés peuvent être amenés à fournir des fichiers ou des données plus sensibles, être dirigés vers le téléchargement de malwares ou être compromis via une série d’autres attaques.
Par le passé, des problèmes similaires concernant de nombreuses violations de données ont eu lieu où des serveurs d’entreprise en ligne et non sécurisés ont divulgué des données, notamment des millions d’enregistrements relatifs à l’activité commerciale et aux clients.
Quatre conseils pour vous protéger :
- Soyez toujours conscient de ce qui se trouve à l’arrière-plan de vos photos ou de vos visioconférences. Ainsi, vous garderez toujours le contrôle sur les informations que vous exposez, quel que soit l’endroit où elles finiront !
- Pour les appels par visioconférence, pensez à utiliser un arrière-plan virtuel. La plupart des logiciels clients les autorisent, et ils fonctionnent plutôt bien.
- Les arrière-plans flous fonctionnent également et rendent la plupart des objets indéchiffrables.
- Réfléchissez à deux fois avant de partager des photos de votre poste de télétravail via #WorkFromHome, #WorkingFromHome, #RemoteWork, #HomeOffice. Conseillez également à vos amis et aux membres de votre famille de prendre le même genre de précaution.
N’oubliez pas que les gains générés par la cybercriminalité n’ont pas diminué à cause du COVID-19… et vous risquez d’être pris pour cible comme n’importe qui d’autre.
Pour en savoir plus
Pour approfondir les sujets abordés dans cet article, vous pouvez parcourir les articles techniques suivants :
- Exploring the Risks to Identity Security and Privacy in Cyberspace
- Cybercrime and You: How Criminals Attack and the Human Factors That They Seek to Exploit
- Cyber Security in the Age of COVID-19: A Timeline and Analysis of Cyber-Crime and Cyber-Attacks during the Pandemic
Billet inspiré de I see you: your home-working photos reveal more than you think!, sur Sophos nakedsecurity.