Deux cyberattaques qui révèlent la fragilité de nos défenses numériques
Dans le monde de plus en plus connecté de la cybersécurité, les plus vulnérables sont souvent les cibles les plus attrayantes. La sécurité numérique est aussi solide que son maillon le plus faible. Et ce maillon est presque toujours humain.
Le vol du bonus culture : 500 000 euros dérobés aux jeunes de 18 ans et à l’État
Imaginez avoir dix-huit ans, recevoir enfin le bonus culture tant attendu – ce petit trésor numérique de 500 euros conçu pour ouvrir les portes de la connaissance – et découvrir que quelqu’un vous l’a volé avant même que vous puissiez le dépenser.
C’est ce qui est arrivé à des centaines de jeunes Italiens inscrits sur la plateforme 18app qui gère les bonus. Une fraude massive au détriment des jeunes mais, de fait, de l’État.
Une opération qui a impliqué au moins quinze personnes dans différentes régions italiennes, toutes mises en examen pour complicité de fraude informatique et escroquerie aggravée. Les criminels ont agi avec une précision chirurgicale, se faisant passer pour des entités fiables comme des fournisseurs d’identité numérique ou des établissements bancaires. Ils ont cloné les identifiants SPID des jeunes majeurs pour créer des SPID parallèles permettant d’accéder à la plateforme et d’encaisser le bonus, qui était ensuite dépensé dans des commerces fictifs, liés aux auteurs mêmes de la fraude.
L’étape suivante de la fraude a consisté en la production de fausses factures pour demander et obtenir des remboursements du Ministère de la Culture, transformant ainsi les bons en argent liquide.
Il ne s’agissait pas d’une attaque aléatoire, mais d’une opération ciblée qui a exploité l’inexpérience numérique relative de ceux qui découvrent pour la première fois le monde de l’identité numérique officielle.
Le SPID, Système Public d’Identité Numérique, devrait être notre passe-partout sécurisé pour les services publics en ligne. Pourtant, cette violation démontre que même les systèmes les plus robustes peuvent s’effondrer lorsque le maillon faible est l’être humain : hameçonnage, credential stuffing, ingénierie sociale ; les outils du crime numérique sont nombreux et en constante évolution.
L’innocence violée : 8 000 visages d’enfants sur le dark web
Si le vol du bonus culture a touché les jeunes adultes, le second cas nous mène sur un territoire encore plus inquiétant : celui de l’enfance numériquement violée. La plateforme éducative britannique Famly, utilisée par les crèches et les écoles maternelles pour partager des photos et des mises à jour avec les parents, a été le théâtre d’une violation qui a exposé les images d’environ 8 000 enfants.
Le groupe de hackers Radiant a revendiqué l’attaque, et dans un geste aussi inhabituel que controversé, s’est ensuite excusé d’avoir diffusé les photographies des enfants sur le dark web.
Un mea culpa numérique qui soulève plus de questions qu’il n’en résout : peut-on vraiment s’excuser après avoir exposé des milliers d’enfants aux risques du web souterrain ?
Sans même entreprendre d’action concrète pour réparer les dommages ?
Une chose est cependant certaine : la dynamique de l’attaque révèle une fois de plus le talon d’Achille de la cybersécurité moderne : le facteur humain.
La violation s’est en effet produite par la compromission du mot de passe d’un seul employé. Il a suffi d’un seul identifiant faible, fruit d’un manque de connaissance, de superficialité ou, peut-être, de véritable corruption, pour faire s’effondrer toute la forteresse numérique comme un château de cartes et ouvrir les brèches à des criminels sans scrupules.
De plus, la plateforme Famly elle-même a fait preuve d’une grande légèreté en ne masquant pas les visages de tous ces enfants photographiés. Deux erreurs humaines qui, combinées, ont généré un dommage irréparable.
Les excuses du groupe Radiant sonnent creux face à la gravité de ce qui s’est passé. Une fois que les images d’un enfant se retrouvent sur le dark web, il n’existe aucune combinaison de touches ni aucun retour en arrière qui puisse effacer cette violation.
De même, les jeunes Italiens privés de leur bonus culture ont perdu non seulement de l’argent et l’opportunité d’acquérir de nouveaux outils de connaissance, mais aussi un peu de confiance dans le système numérique qui devrait les protéger.
Le facteur humain : la faille la plus importante à combler
Ces deux cas, apparemment distincts, racontent la même histoire : la technologie peut être aussi sophistiquée que nous le voulons, mais la sécurité numérique est aussi solide que son maillon le plus faible. Et ce maillon est presque toujours humain.
Dans le cas du SPID cloné, ce sont probablement les jeunes utilisateurs – inexpérimentés dans la gestion des identifiants numériques – qui sont tombés dans les pièges des fraudeurs. Dans le cas Famly, il a suffi d’un employé pour ouvrir involontairement les portes au groupe de criminels sans scrupules.
La leçon est claire et reste toujours la même : il ne suffit pas de construire des systèmes sécurisés si les personnes ne sont pas correctement formées à les utiliser de manière consciente. Mots de passe complexes, authentification à plusieurs facteurs, vigilance constante contre l’hameçonnage – ce ne sont plus des options à l’ère numérique, mais des nécessités.
Une révolution culturelle dans la cybersécurité impliquant les individus, les entreprises et les institutions devient donc de plus en plus nécessaire.
Les individus doivent prendre conscience qu’ils font partie d’un système complexe et connecté et qu’ils ne peuvent plus se permettre des lacunes trop importantes dans leurs connaissances du monde informatique. Les entreprises et les institutions, particulièrement celles qui gèrent des données sensibles, doivent adopter des protocoles de sécurité qui vont bien au-delà du minimum syndical et s’engager à former leurs employés et collaborateurs de manière précise, approfondie, continue, personnalisée et interactive. Ce sont précisément ces derniers qui doivent se transformer, passant de maillon faible de la chaîne à principale sentinelle.
Aujourd’hui, dans ce monde connecté, il n’existe pas de spectateurs : nous sommes tous des victimes potentielles, ou des complices inconscients, du crime numérique qui peut mettre en danger la vie des individus, l’économie d’une entreprise, la réputation d’une institution et même la sécurité d’un État tout entier…
