Les appareils connectés peuvent être utilisés à grande échelle pour des cyberattaques. C'est l'un des risques mis en évidence par le 28e rapport semestriel de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani), publié mardi.

Le document met la priorité sur la gestion des risques liés au matériel et aux logiciels achetés. Il aborde notamment les tentatives de chantage, telles que les «fake sextorsions», et la fraude au faux fournisseur basée sur les données d'accès à l'abonnement de Microsoft Office 365.

Lire aussi: Un nouveau vol de données touche 70 000 Suisses

De la climatisation aux zombies

Avec l'internet des objets, toutes sortes d'appareils – comme par exemple des équipements de climatisation et de chauffage – sont connectés à internet pour qu'ils puissent être télécommandés. Ce qui n'est pas sans risque, souligne le rapport de Melani.

Selon une étude publiée par l'Université de Princeton en 2018, il serait possible que des acteurs malveillants parviennent à créer un réseau de zombies (c'est-à-dire des machines contrôlées à distance par un cybercriminel) à partir d'appareils connectés mal protégés et qu'ils l'utilisent pour lancer des cyberattaques, par exemple sous la forme d'une panne de courant.

Une chronique: Les Suisses, si mauvais avec leurs mots de passe  

Attention aux fausses «sextorsions»

Depuis mars 2018, d’innombrables courriels de fausse «sextorsion» circulent, avertit aussi MELANI Par ce biais, les escrocs prétendent détenir des images compromettantes des destinataires en train de consommer de la pornographie. Comme "preuve" du piratage, ils mentionnent souvent dans leurs courriels des mots de passe ou des numéros de téléphone provenant d'anciennes fuites de données.

Autre incident récurrent observé par Melani: la fraude au faux fournisseur basée sur les données d'accès à Office 365. Avec plus de 100 millions d'utilisateurs mensuels, les comptes Office 365 de Microsoft sont devenus une proie attrayante, prévient le rapport.

Durant le second semestre de 2018, les données d'accès à Office 365 collectées ont «servi à mener un nombre croissant de fraudes au faux fournisseur». Concrètement: les escrocs recherchent dans les comptes compromis des factures électroniques, les copient en modifiant le numéro IBAN, puis les réexpédient.

Le hameçonnage toujours en vogue

De nombreux courriels de hameçonnage (phishing) ont également circulé au deuxième semestre 2018, souligne encore Melani. Leur teneur ne varie guère: les uns invitent la victime à indiquer les données de sa carte de crédit, pour qu’elles puissent être «vérifiées», alors que d'autres la prient de saisir sur la page indiquée en hyperlien son nom d'utilisateur et son mot de passe.

Pour paraître plus respectables, de tels courriels usurpent souvent les logos d’entreprises connues ou du service concerné. Au total, 5756 sites de «phishing» ont été dénoncés en 2018, indique Melani. Leur nombre a explosé au cours des trois derniers mois de 2018, en raison surtout de courriels de «phishing» envoyés au nom d'UBS par des escrocs cherchant à faire main basse sur les données de cartes de crédit.

Les rapports semestriels de la centrale fournissent de nombreuses explications sur tous les domaines de la cybercriminalité ainsi que des recommandations. Ils sont accessibles en ligne.