Ils ont trouvé un moyen facile de piéger les internautes avant les JO, voici comment se protéger
L'autorisation de circulation à Paris et en Ile-de-France pendant les Jeux olympiques va dépendre du téléchargement d'un QR-code sur la plateforme officielle de l'Etat, mise en ligne le 10 mai prochain. Les entreprises de cybersécurité s'attendent à la mise en place par des hackers d'une arnaque à grande échelle le matin même de cette date. "Nous avons observé pendant les JO de Tokyo les vecteurs d'attaques augmenter six à douze semaines avant le début des épreuves", souligne Geert Nobels, Tribe Leader Europe chez Zimperium, plateforme de sécurité mobile.
Un délai qui correspond à la date séparant le lancement de la plateforme au démarrage des Jeux. Si plus de 450 millions de cyberattaques avaient visés les JO de Tokyo en 2021, les organisateurs Paris 2024 prévoient plus de trois milliards d'attaques à cette édition 2024 à Paris.
D'autant que les Franciliens ne sont pas les seuls concernés, les touristes ayant besoin de circuler dans les périmètres soumis à des restrictions devront aussi s'enregistrer pour disposer d'un QR-code, obligatoire pour se rendre dans les périmètres rouges. Cela va ainsi concerner plusieurs dizaines de milliers de personnes.
L'arnaque en masse à venir, face à laquelle les Internautes doivent se montrer vigilants, porte ainsi sur la création de fausses plateformes en ligne, imitant celle du gouvernement, pour récupérer les données personnelles. "Il est très facile pour un hacker de faire un copier-coller d'un site officiel, des centaines de milliers de tentatives de phishing vont émerger", prévient Pierre Jacob, senior partners chez le cabinet de conseil Magellan Sécurité.
La technique n'est pas nouvelle : "Cela avait été le cas lors de la mise en ligne par Ile-de-France Mobilité de la plateforme de remboursement d'une partie du pass Navigo en raison des retards sur les lignes, les hackers avaient envoyé un mail de phishing le jour J", se rappelle-t-il.
Le conseil majeur pour éviter de se faire pirater ses data et de risquer une usurpation d'identité est de bien vérifier l'URL, ou de taper soi-même l'adresse dans son navigateur. "Si la moindre inquiétude se fait ressentir, il y a la possibilité d'aller en mairie pour effectuer la démarche en étant assistée", conseille Pierre Jacob, chez Magellan Sécurité.
Un deuxième type d'attaque à grande échelle pourrait cibler les touristes : les QR-codes proposés dans les services quotidiens. "Il y a deux types de QR-code : ceux qui présentent une information, comme celui utilisé pour accéder aux périmètres de sécurité pendant les JO. Et ceux qui renvoient sur une page web, comme ceux des restaurants ou des moyens de transport, à l'image de Vélib. Les hackers pourraient simuler ces sites pour récupérer des coordonnées bancaires. Si on demande de renseigner son compte ou son numéro de sécurité sociale, cela doit mettre la puce à l'oreille", explique Jean-Michel Tavernier, responsable en France de l'éditeur de cybersécurité Armis. Ce sont via ces derniers QR-code qu'un nouveau terme d'attaque gagne en importance : le quishing, faisant référence au phishing.