Cette semaine, trois gros titres racontent la même histoire : les cybercriminels s’améliorent dans la manipulation des personnes et ne se contentent pas d’infiltrer des systèmes. Nous assistons à une vague d’intrusions liées à l’ingénierie sociale, à la confirmation d’une violation par une importante plateforme de livraison dans un contexte d’extorsion, ainsi qu’à un gros titre technologique qui amène de nombreuses personnes à repenser la manière dont les applications traitent leurs données.
Chaque semaine, ce récapitulatif analyse les actualités liées aux escroqueries et à la cybersécurité et explique comment elles fonctionnent réellement, afin que vous puissiez repérer les risques plus tôt et éviter de vous laisser piéger.
Entrons dans le vif du sujet.
Une vague de cyberattaques frappe Bumble, Match, Panera et CrunchBase
En bref : plusieurs grandes marques ont été touchées par des incidents de cybersécurité liés à des tactiques d’ingénierie sociale telles que le phishing et le vishing.
Les faits : Bloomberg a rapporté que Bumble, Match Group, Panera Bread et CrunchBase ont chacun confirmé des incidents.
Bumble a déclaré qu’un compte de prestataire avait été compromis lors d’un incident de phishing, ce qui a conduit à un bref accès non autorisé à une petite partie de son réseau, et a précisé que sa base de données de membres, leurs comptes, leurs messages et leurs profils n’ont pas été consultés.
Panera a expliqué qu’un cyberpirate avait accédé à une application logicielle qu’il utilisait pour stocker des données, et que les données concernées étaient des informations de contact.
Match a précisé que l’incident n’avait affecté qu’une quantité limitée de données utilisateurs et que rien n’indiquait que des identifiants utilisateurs, des informations financières ou des communications privées avaient été consultés.
CrunchBase a indiqué que des documents de son réseau d’entreprise avaient été touchés et a déclaré avoir maîtrisé l’incident.
Selon Bloomberg, la société de cybersécurité Mandiant a également mis en garde contre une campagne de piratage liée à un groupe qui se fait appeler ShinyHunters. Le groupe utilise le « vishing », c’est-à-dire des appels téléphoniques frauduleux, pour inciter les gens à divulguer leurs informations de connexion. Une fois que les cybercriminels ont mis la main sur ces identifiants, ils peuvent accéder aux outils dans le cloud et aux systèmes de travail en ligne que les entreprises utilisent tous les jours. Le groupe a déclaré être à l’origine de certaines de ces attaques récentes, mais cette information n’a pas été confirmée de manière indépendante.
Les signaux d’alerte à surveiller :
Appels vous incitant à approuver une connexion, à réinitialiser des identifiants ou à partager un code à usage unique
Messages se faisant passer pour le support informatique, un fournisseur ou la « sécurité » et vous mettant la pression
Demandes d’authentification multifacteur dont vous n’êtes pas à l’origine
Demandes de « vérification rapide » qui contournent les procédures internes normales
Fonctionnement : l’ingénierie sociale fonctionne parce qu’elle s’intègre à la vie normale. Un message ou un appel convaincant pousse quelqu’un à faire quelque chose de « raisonnable » : approuver un message, lire un code, réinitialiser un accès, etc. C’est souvent tout ce dont un cyberpirate a besoin pour s’infiltrer avec des identifiants légitimes, puis pivoter vers les outils où se trouvent des données précieuses.
La mise à jour de la politique de confidentialité de TikTok suscite des réactions négatives
Nous savons que cette rubrique s’appelle « Les escroqueries de la semaine », mais il s’agit aussi d’une lettre d’information sur la cybersécurité. Alors quand le plus gros titre de la semaine en matière de technologie et de protection de la vie privée concerne la mise à jour par TikTok de sa politique de confidentialité, nous nous devons d’en parler.
En bref : la mise à jour des conditions et de la politique de confidentialité de TikTok soulève de nouvelles questions sur les données collectées, notamment en matière de localisation.
Les faits : TikTok a confirmé la semaine dernière qu’une nouvelle entité basée aux États-Unis contrôlait l’application après s’être séparée de ByteDance au début de l’année. Le même jour, CBS a rapporté que TikTok avait publié des conditions mises à jour et une nouvelle politique de confidentialité, ce qui a suscité des réactions négatives sur les réseaux sociaux.
Selon CBS, l’un des principaux sujets de préoccupation réside dans des formulations selon lesquelles TikTok peut collecter des informations de localisation précises si les utilisateurs activent les services de localisation dans les paramètres de l’appareil. Il s’agit apparemment d’un changement par rapport à la politique précédente, et TikTok a déclaré qu’il prévoyait d’offrir aux utilisateurs américains la possibilité d’accepter ou de refuser les fonctionnalités de localisation précise lors de leur déploiement.
Selon CBS, certains utilisateurs craignent également que la nouvelle politique de confidentialité permette à TikTok de partager plus facilement leurs données privées avec le gouvernement fédéral et local.
Cette crainte est fondée sur un changement dans les dispositions de la politique, qui stipulent que TikTok « traite ces informations personnelles sensibles conformément à la législation applicable ».
Conclusion rapide et pratique : il s’agit d’un bon rappel que les préoccupations liées aux politiques de confidentialité peuvent généralement être résolues en contrôlant les autorisations de votre application.
Mesures générales de protection de la vie privée :
Consultez les paramètres de votre téléphone pour TikTok et vérifiez si l’accès à la localisation est réglé sur Désactivé, En cours d’utilisation ou Toujours.
Si votre appareil le permet, envisagez de désactiver la localisation précise pour les applications qui n’en ont pas vraiment besoin.
Parcourez rapidement les autorisations des applications de réseaux sociaux : localisation, contacts, photos, microphone, appareil photo et Bluetooth.
Assurez-vous que votre compte est protégé par un mot de passe fort et unique et par l’authentification à deux facteurs.
Remarque : il ne s’agit pas d’une recommandation concernant la conservation ou la suppression d’une application spécifique, mais de vous rappeler que les paramètres de votre appareil sont importants et qu’ils méritent d’être vérifiés.
Grubhub confirme une violation de données dans un contexte d’extorsion
En bref : même si une entreprise affirme que les données de paiement n’ont pas été affectées, une violation peut toujours engendrer des risques, car les données volées sont souvent réutilisées à des fins de phishing.
Les faits : selon BleepingComputer, Grubhub a confirmé que des personnes non autorisées ont téléchargé des données à partir de certains systèmes et qu’il a enquêté, mis fin à l’activité et pris des mesures pour renforcer la sécurité. Des sources ont indiqué à BleepingComputer que l’entreprise fait face à des demandes d’extorsion liées aux données volées. Grubhub a déclaré que les informations sensibles telles que les données financières et l’historique des commandes n’ont pas été affectées, et n’a pas fourni plus de détails sur le timing ou l’envergure.
Signaux d’alerte à surveiller : les gros titres sur les violations sont souvent suivis de vagues d’escroqueries. Méfiez-vous de ce qui suit :
E-mails évoquant un « remboursement » ou un « problème de commande » que vous n’avez pas demandés
Faux messages du support client vous demandant de vérifier les informations de votre compte
Invitations à réinitialiser un mot de passe dont vous n’êtes pas à l’origine
Liens pour « résoudre votre compte » qui ne proviennent pas d’un domaine connu et officiel
Fonctionnement : les systèmes de support client peuvent contenir des détails personnels qui donnent à l’escroquerie une apparence convaincante. Les noms, les e-mails et les notes de compte suffisent souvent aux cybercriminels pour rédiger des messages qui ressemblent à une aide légitime, en particulier lorsque la marque fait déjà parler d’elle. 
De fausses extensions Chrome prennent discrètement le contrôle de comptes
En bref : certaines extensions de navigateur qui ressemblent à des outils de travail normaux sont en fait conçues pour détourner des comptes et empêcher les utilisateurs d’accéder à leurs propres contrôles de sécurité.
Les faits : des chercheurs en sécurité ont déclaré à Fox News qu’ils avaient découvert une campagne impliquant des extensions Google Chrome malveillantes qui se font passer pour des plateformes commerciales et de ressources humaines bien connues, y compris des outils couramment utilisés pour la paie, les avantages et l’accès au lieu de travail.
Les chercheurs ont identifié plusieurs fausses extensions présentées comme des outils de productivité ou de sécurité. Une fois installées, elles fonctionnent discrètement en arrière-plan, sans signes d’alerte apparents. Selon Fox News, Google a déclaré que les extensions avaient été supprimées du Chrome Web Store, mais que certaines circulaient encore sur des sites de téléchargement tiers.
Fonctionnement : au lieu de voler les mots de passe directement, les extensions capturaient les sessions de connexion actives. Lorsque vous vous connectez à un site Web, votre navigateur stocke de petits fichiers qui vous permettent de rester connecté. Si des cybercriminels accèdent à ces fichiers, ils peuvent infiltrer un compte sans jamais connaître le mot de passe associé.
Certaines extensions sont allées plus loin en interférant avec les paramètres de sécurité. Les victimes ne pouvaient pas modifier leurs mots de passe, consulter l’historique de leurs connexions ni accéder aux contrôles de leurs comptes. Il est donc plus difficile de détecter l’intrusion et encore plus complexe de rétablir l’accès une fois que l’on a senti que quelque chose n’allait pas.
Pourquoi c’est important : ce type d’attaque supprime le filet de sécurité sur lequel les gens comptent lorsque leurs comptes sont compromis. La réinitialisation des mots de passe et l’authentification à deux facteurs ne sont utiles que si vous pouvez les atteindre. En coupant l’accès à ces outils, les cyberpirates peuvent garder le contrôle plus longtemps et se déplacer dans les systèmes connectés avec moins de résistance.
Ce dont vous devez vous méfier :
Extensions de navigateur que vous ne vous souvenez pas avoir installées
Modules complémentaires demandés pour gérer les ressources humaines, la paie ou l’accès interne à l’entreprise
Paramètres de sécurité manquants ou inaccessibles sur les comptes
Connexion à des comptes que vous n’avez pas ouverts récemment
Vérification de sécurité rapide : prenez quelques minutes pour passer en revue les extensions de votre navigateur. Supprimez tout ce qui ne vous est pas familier ou utile, en particulier les outils associés aux plateformes de travail. Les extensions ont un accès étendu à votre navigateur, ce qui signifie qu’elles méritent le même examen minutieux que tout autre logiciel que vous installez.
Les conseils de sécurité de la semaine par McAfee
Soyez sceptique à l’égard des outils « utiles ». Les extensions de navigateur, les modules complémentaires de l’espace de travail et les outils de productivité peuvent avoir un accès étendu à vos comptes. N’installez que ce dont vous avez vraiment besoin et supprimez tout ce qui ne vous est pas familier.
Traitez les appels et les invites avec prudence. Les demandes de connexion inattendues, les approbations d’authentification multifacteur ou les demandes du « support informatique » sont des points d’entrée courants pour l’ingénierie sociale. Si vous n’en êtes pas à l’origine, faites une pause et vérifiez.
Vérifiez les autorisations des applications et du navigateur. Prenez quelques minutes pour vérifier quelles applications et extensions peuvent accéder à votre localisation, à vos comptes et à vos données. De petits changements peuvent réduire les risques de manière significative.
Protégez d’abord vos identifiants. Utilisez des mots de passe forts et uniques et activez l’authentification à deux facteurs sur vos comptes de messagerie et professionnels. Si des cybercriminels s’emparent de votre adresse e-mail, ils peuvent réinitialiser presque tout le reste. Le gestionnaire de mots de passe de McAfee peut vous aider à créer et à stocker des mots de passe uniques pour tous vos comptes.
Attendez-vous à être la cible d’escroqueries après une médiatisation. Lorsque des violations ou des changements de politique font la une, les escrocs envoient souvent des messages de phishing qui y font référence. Un scepticisme accru dans les jours et les semaines qui suivent une médiatisation peut permettre d’éviter des problèmes plus importants par la suite.
Restez informé
Suivez-nous pour rester au courant des actualités de McAfee et des dernières menaces pour la sécurité mobile et grand public.
