Malgré les retards et autres blocages dans les aéroports, l’augmentation du coût de l’essence et ce qui semble être une nouvelle vague de COVID-19, on s’attend à ce que les voyages internationaux cet été dépassent de 11 % les niveaux antérieurs à la pandémie. Dans leur hâte de rattraper ce qui, pour certains, sont leurs premières vacances depuis trois ans, les voyageurs seraient alors susceptibles de baisser leur garde en matière de cybersécurité et auraient tendance à prendre des risques non mesurés. Les cybercriminels sont bien conscients de cette vulnérabilité et, par conséquent, intensifient leurs efforts pendant la saison estivale.

Risques de phishing lors de la réservation en ligne des vacances

Selon le rapport Threat Intelligence de Check Point Research (CPR), le nombre moyen d’attaques hebdomadaires dans le monde contre des organisations du secteur touristique a augmenté de 60 % en juin 2022 par rapport à la première moitié de juin 2021. Entre mai et août 2021, les attaques dans ce secteur ont connu une hausse de 73 %. Cette année devrait enregistrer un pic similaire, les pirates se font passer pour des marques établies dans le cadre d’attaques par phishing, à l’heure où les vacanciers recherchent des vacances de dernière minute et des offres de voyages, d’hôtels et d’attractions à disponibilité tardive.

Un touriste qui cliquerait sur un e-mail de phishing ou exposerait ses identifiants de connexion sur un réseau Wi-Fi public non sécurisé peut alors courir un risque personnel, en termes de vol d’identifiants, et subir une perte financière.

Les risques liés aux vacances dites « hybrides »

Mais un risque encore plus grave pèse sur leurs employeurs. Cette menace est d’autant plus réaliste que la tendance est aux vacances dites hybrides, où les gens travaillent à distance pendant une partie des vacances d’été. Les ordinateurs portables, les tablettes ou les mobiles personnels offrent souvent aux malfaiteurs un accès facile aux réseaux d’entreprise, surtout si les appareils BYOD n’ont pas été correctement sécurisés.

Pendant ce temps, les réseaux d’entreprise eux-mêmes sont plus vulnérables à cette période de l’année, voire durant les longs week-ends et les jours fériés de l’année. Les équipes chargées des opérations de sécurité travaillent avec des effectifs réduits, ce qui fait que les cyberattaques peuvent passer inaperçues jusqu’à ce qu’il soit trop tard et que le mal soit fait. Un exemple caractéristique est l’attaque de ransomware sur le réseau Kaseya perpétré le 4 juillet de l’année dernière par la bande criminelle russophone REvil qui a touché plus de 1000 organisations dans le monde, plus une quinzaine d’attaques similaires par semaine en mai et juin selon CPR.

Xavier Duros, expert en cybersécurité chez Check Point France indique ainsi : « Pour beaucoup d’entre nous, c’est peut-être la première fois que nous voyageons à l’étranger depuis la pandémie et, à ce titre, il se peut que nous ayons oublié certains éléments de nos habitudes en voyage, y compris nos règles d’hygiène en matière de cybersécurité. C’est une excellente nouvelle pour des pirates opportunistes qui chercheraient à profiter de ce relâchement et des appareils non protégés. Il s’agit d’un risque pour l’individu et, dans notre monde hyperconnecté, pour toute organisation avec laquelle il communique, y compris son employeur. »

La planification permet aux personnes de préparer leurs vacances, conscientes d’avoir pris les précautions simples mais nécessaires pour sécuriser leurs appareils et protéger en même temps les réseaux de leurs employeurs. C’est pourquoi Check Point a rassemblé dix conseils pour aider les utilisateurs d’appareils informatiques à se protéger pendant les mois d’été.

Principaux conseils pour assurer la sécurité de vos appareils :

1. Faites attention aux points d’accès Wi-Fi publics.  L’accès Wi-Fi gratuit est certes séduisant et pratique mais il peut également présenter de sérieuses menaces pour la sécurité. Il n’est pas rare que des pirates informatiques s’installent dans les aéroports et attendent que les voyageurs se branchent sur les réseaux Wi-Fi publics, pour s’attaquer aux voyageurs peu méfiants. Dans la mesure du possible, évitez tout simplement les réseaux Wi-Fi non sécurisés. Si vous devez les utiliser, évitez d’accéder à des comptes personnels ou à des données sensibles lorsque vous êtes connecté à ces réseaux.

2. Attention au « shoulder surfing » La personne assise à côté de vous à bord de votre avion ou pendant que vous attendez l’embarquement peut avoir de mauvaises intentions. Quelqu’un peut regarder par-dessus votre épaule pendant que vous saisissez les détails de votre carte de crédit ou que vous vous connectez à des réseaux sociaux. Il est conseillé de se procurer un filtre d’écran, qui peut aider à protéger vos informations des regards indiscrets.

3. Vérifiez bien les sites Web sur lesquels vous réservez vos voyages. Les cyberattaques liées aux voyages sont susceptibles de se produire avant même le début du voyage. Il est donc crucial de vérifier le site Web de voyage que vous utilisez. Les escrocs aiment imiter des sites authentiques, et faire semblant de proposer des vacances de luxe ou des voyages à prix réduit, pour voler vos informations personnelles. Si une offre est trop belle pour être vraie, c’est probablement le cas. Avant de vous lancer, faites des recherches approfondies sur la société qui vous propose cette offre.

4. Attention aux fautes d’orthographe. Dans ce cas, il ne s’agit pas de maîtriser la langue locale, mais plutôt d’être attentif aux fautes d’orthographe ou de grammaire ainsi qu’aux phrases à l’impératif qui vous poussent à prendre des décisions rapides. Cela pourrait indiquer que quelque chose ne va pas. Les criminels comptent sur le fait que les gens ne prennent pas le temps de regarder les petits détails qui peuvent indiquer qu’un e-mail ou un message n’est pas légitime. Protégez-vous, prenez toujours le temps d’authentifier un message, surtout s’il tente de vous faire réinitialiser vos informations de connexion, car une fois qu’un pirate y a accès, il ne mettra pas longtemps à faire des dégâts.

5. Ne partagez jamais vos informations d’identification. La plupart des gens réutilisent les mêmes noms d’utilisateur et mots de passe sur plusieurs comptes en ligne. C’est pourquoi le vol de données de connexion est une cible fréquente des escroqueries par phishing. Vous devez donc être très prudent chaque fois que l’on vous demande vos informations de connexion. Les e-mails/messages de phishing reproduisent généralement des marques connues, se font passer pour des spécialistes de support client ou se font même passer pour votre employeur. Pour préserver la sécurité de vos comptes, ne partagez jamais vos informations d’identification par e-mail ou SMS et ne les saisissez en ligne pour accéder aux services qu’après avoir authentifié le site Web en passant directement par le navigateur de votre choix.

6. Désactivez les connexions Wi-Fi/Bluetooth automatiques. Il se peut qu’un paramètre par défaut de votre smartphone se connecte automatiquement à un réseau Wi-Fi ou Bluetooth disponible, permettant ainsi aux acteurs de la menace d’accéder à votre appareil. Veillez à désactiver cette fonction pour dissuader les cybercriminels de compromettre votre appareil.

7. Utilisez l’authentification multifactorielle. Lorsque vous êtes en vacances, vous pouvez être amené à accéder à des services importants qui contiennent des données confidentielles ou financières. Pour assurer votre sécurité, utilisez un processus d’authentification multifactorielle (MFA) pour vous assurer que vous êtes la seule personne à pouvoir accéder à ces services et être averti si une personne non autorisée tente de se connecter.

8. Téléchargez les derniers correctifs de sécurité. Avant votre départ, assurez-vous que tous vos appareils ont été actualisés avec les dernières mises à jour de sécurité. Ils seront ainsi protégés contre les dernières menaces connues.

9. Informez-vous sur les derniers scams. Il est judicieux de faire des recherches sur les dernières arnaques qui circulent afin de ne pas tomber dans les pièges que les acteurs de la menace peuvent utiliser pour diffuser des ransomwares. N’oubliez pas que toutes les escroqueries ne reposent pas sur le phishing par e-mail et que vous pouvez toujours être amené à donner vos informations d’identification par téléphone ou par SMS.

10. Méfiez-vous des distributeurs automatiques de billets. Évitez de retirer de l’argent dans les distributeurs automatiques de billets car les pirates, surtout dans les zones touristiques, sont réputés pour brancher des voleurs de cartes de crédit sur les distributeurs automatiques autonomes. En cas de besoin, trouvez un distributeur officiel, de préférence situé dans le hall de votre banque habituelle.