Vol de données personnelles, le nouveau business juteux des cyber-fraudeurs

Avec la transformation numérique, le Continent subit de plus en plus de cyber-attaques. «La cyber-escroquerie représente environ 90% de la cybercriminalité en Afrique», selon une étude de l'association SciDev.Net, publiée en 2017. L'organisme veille notamment à ce que la science et la technologie jouent un rôle central et un impact positif sur le développement durable et la réduction de la pauvreté dans les pays du Sud.

Dans un article de Jean Shiloh et Amzath Fassassi, paru sur le site de l'association, les deux experts évoquent le lourd tribut africain : «Une cybercriminalité qui coûte à l'économie mondiale la somme de 500 milliards de dollars, soit plus que le produit intérieur brut de l'Afrique du Sud (350,6 milliards de dollars) et un peu moins que celui du Nigeria (521,8 milliards de dollars), la première économie du Continent» en 2016.

Des cartes-cadeaux envenimées

Les criminels surfent notamment sur l'offre attrayante de la gratuité. Les sites web proposant aux clients la possibilité de générer librement des cartes-cadeaux pour des entreprises comme iTunes, Google Play, Amazon ou Steam ne sont donc pas nouveaux, et les fraudeurs ont su reconnaître la popularité de ces sites, trompant ainsi les utilisateurs à l'aide d'algorithmes simples.

Sur un faux site, l'utilisateur est invité à sélectionner la carte-cadeau qu'il souhaite pour recevoir un code. S'en suit la mise en marche d'un mécanisme frauduleux : pour obtenir le code généré, l'utilisateur doit prouver qu'il n'est pas un robot. Pour ce faire, l'utilisateur doit suivre le lien suggéré et effectuer diverses tâches dont le nombre et le type sont déterminés par le réseau partenaire vers lequel l'utilisateur est redirigé. Par exemple, on peut lui demander de remplir un formulaire, de laisser un numéro de téléphone ou une adresse courriel, de s'abonner à un message SMS payant, d'installer un logiciel publicitaire, etc.

Le résultat est prévisible : soit les victimes en ont assez de faire des tâches interminables, soit elles finissent par obtenir un code inutile. Les gains pour les criminels varient de quelques centimes par clic sur un lien souhaité, à plusieurs dizaines de dollars pour remplir un formulaire ou souscrire à des services payants. Ainsi, ils réalisent des bénéfices en fonction des actions de l'utilisateur sur les sites de partenaires tiers, qui, de leur côté, bénéficient également d'un accès à des données personnelles pouvant être utilisées à des fins privées.

Le hacking éthique, nouvelle arme de sécurité

Pour contourner les manœuvres frauduleuses des cybercriminels et éviter de diffuser des données personnelles, les chercheurs de Kaspersky Lab suggèrent aux utilisateurs plusieurs règles de bon sens : vérifier la connexion HTTPS et le nom de domaine est un bon début, surtout lorsqu'il s'agit de sites web contenant des données sensibles, telles que les services bancaires, les boutiques en ligne ou les courriels. Autre conseil, ne jamais partager ses données avec un tiers : les entreprises officielles ne demanderont jamais de telles données par e-mail. Pour ce qui relève des codes-cadeaux, il est nécessaire de vérifier auprès de l'entreprise si elle propose vraiment ces offres via le service d'assistance ou le site web de celle-ci.

L'association SciDev.Net a en outre appris qu'en matière de cybercriminalité et de cyber-sécurité, on assiste de plus en plus au développement d'un concept nouveau : le hacking éthique. Il est l'œuvre de groupes de pirates informatiques qui infiltrent des systèmes d'information, y décèlent des failles et en informent les propriétaires. Dans cette lancée s'inscrivent plusieurs programmes, à l'instar du Bug Bounty, proposé par de nombreux sites web (Facebook, Yahoo, Google, etc.) et développeurs de logiciels. Ce dernier permet aux utilisateurs de recevoir reconnaissance et compensation après avoir signalé des bugs.