Six conseils pour se défendre contre le piratage

Prendre conscience des risques

« Quand vous prenez conscience que ce n’est pas parce que vous êtes agriculteur que vous ne pouvez pas être attaqué par des cybercriminels, vous avez fait un premier pas. Après, il s’agit d’adopter un minimum de bonnes règles d’hygiène numérique », explique Jean-Jacques Latour, directeur expertise chez Cybermalveillance.gouv.fr. Ce site gouvernemental informe tous les publics sur les menaces numériques et les moyens de s’en protéger. Des menaces qui pèsent sur l’ordinateur, le téléphone portable mais aussi l’ensemble des outils connectés de l’exploitation et de la maison.

Sur les quatre dernières années, Groupama a enregistré environ 150 sinistres de cybercriminalité auprès de ses clients agriculteurs. Le coût moyen d’un sinistre est évalué entre 40 000 € et 50 000 €. Un montant important qui couvre notamment la gestion de la crise et la reconstitution des données perdues lorsque cela est possible. Des interventions informatiques aux coûts non négligeables mais qui peuvent être couvertes sur le plan assurantiel (lire l’encadré). « La moitié des sinistres concernent des cryptovirus (N.D.L.R. : virus qui cryptent les données et qui, dans certains cas, peuvent exiger une rançon en échange d’une promesse de décryptage). Viennent ensuite les fraudes au RIB (N.D.L.R. : arnaques qui visent à amener la victime à réaliser un virement) et les rançongiciels (N.D.L.R. : logiciels malveillants qui verrouillent un accès contre une demande de rançon) », observe Thomas Schramme, directeur métiers entreprises, flottes, collectivités et associations chez Groupama.

« Cela ne sert à rien de faire l’autruche. Se poser la question de la manière dont je peux me protéger est le premier pas, ajoute Théo-Paul Haezebrouck, consultant expert en numérique agricole. Lorsqu’on installe un logiciel en cliquant à chaque fois rapidement sur “suivant” puis “terminé” sans lire ce qu’il y avait à l’écran, est-ce que cela a permis de décocher la case autorisant le partage des données d’utilisation du logiciel avec l’éditeur ou avec d’autres personnes que vous ne connaissez pas ? »

Les cybercriminels s’appuient également sur des données volées ou facilement accessibles pour orchestrer des attaques de plus en plus crédibles. « Des courriers, par exemple, ont été envoyés à certains exploitants, leur réclamant des paiements pour des services prétendument obligatoires. Ils s’appuyaient sur des données qui ont fuité ou qui étaient accessibles facilement », observe Renaud Font, directeur des opérations chez Agdatahub, plateforme d’intermédiation de données agricoles et agroalimentaires. L’intelligence artificielle ne devrait pas arranger les choses en permettant aux cybercriminels de réaliser des attaques plus performantes, selon lui.

Et parfois, même en prenant les mesures de prévention adéquates, le risque n’est pas maîtrisable par l’agriculteur. C’est le cas lorsque le service qu’il utilise se fait lui-même pirater. Thomas Schramme l’a observé lorsqu’un éditeur de logiciels utilisés par des coopératives agricoles s’est fait pirater. Ces dernières n’ont notamment plus eu accès à leur fichier client pendant plus deux mois.

Gérer les mots de passe avec « bon sens »

L’une de ses premières règles d’hygiène numérique concerne la gestion des mots de passe. « On n’écrit pas un mot de passe sur un Post-It et on ne le partage pas avec d’autres personnes », insiste Théo-Paul Haezebrouck. Un mot de passe unique par compte et par site est une des autres règles de « bon sens » à appliquer. En cas de perte ou de vol d’un mot de passe, seul le compte qui lui est attaché serait ainsi vulnérable.

Les mots de passe choisis doivent être suffisamment complexes en comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux. « Une technique d’attaque répandue, dite par « force brute », consiste à essayer toutes les combinaisons possibles de caractères jusqu’à trouver le bon mot de passe. Réalisées par des ordinateurs, ces attaques peuvent tester des dizaines de milliers de combinaisons par seconde », explique Cybermalveillance.gouv.fr. Le site donne d’ailleurs deux méthodes pour en créer comme celle des premières lettres. En se basant par exemple sur la phrase « Le Renault Ares 610 RZ ? C’était un sacré tracteur ! » donnerait le mot de passe suivant « Lra610RZ ? C’eust ! ». L’autre méthode se base sur la phonétique. La phrase, à la fantaisie assumée, « J’ai acheté cet après-midi un C15 pour cent millions euros » donnerait ainsi : « Ght7am1C15 % M€ ».

Si apprendre par cœur tous ses mots de passe est fastidieux, voire humainement impossible et que les noter sur un fichier sur son ordinateur ou sur un carnet n’est pas sans risque, des gestionnaires de mots de passe facilitent la tâche. C’est eux qui vont se charger d’apprendre les mots de passe en les stockant. Cybermalveillance.gouv.fr conseille notamment KeePAss, un gestionnaire gratuit et français qui possède également la faculté de créer des mots de passe complexes et aléatoires.

En plus du mot de passe, « des services vont plus loin en utilisant un deuxième facteur d’authentification afin de sécuriser davantage le compte, comme valider l’accès avec un code reçu par SMS ou par mail. Cela permet de sécuriser davantage l’accès au compte car si le mot de passe fuite, l’accès au téléphone est indispensable pour se connecter », observe Théo-Paul Haezebrouck. Une double authentification que l’utilisateur peut parfois décider d’activer ou non en fonction de son choix de privilégier la sécurité ou la facilité d’utilisation.

Séparer le professionnel du personnel

« Une autre bonne pratique est de séparer les usages personnels et professionnels. Cela limite les surfaces d’attaque. Il y a l’ordinateur réservé pour la ferme et celui pour la maison. S’il n’y en a qu’un seul, il est recommandé a minima de créer une session professionnelle et une session personnelle », recommande Théo-Paul Haezebrouck. Le conseil vaut également pour les téléphones portables. « Sans aller jusqu’à avoir deux téléphones, il est possible de créer un profil personnel et un profil professionnel », ajoute le consultant expert.

Il est aussi recommandé d’utiliser une adresse mail dédiée à l’activité professionnelle. Ces boîtes de messagerie méritent une attention particulière. Leur piratage peut particulièrement exposer son utilisateur. « Elles peuvent contenir une quantité de trésors pour les cybercriminels comme des copies de documents d’identité, des mots de passe enregistrés en brouillon ou des échanges entre l’agriculteur et ses créanciers ou fournisseurs », souligne Jean-Jacques Latour. En prenant le contrôle de la boîte de messagerie, le cybercriminel peut chercher une facture en instance de règlement. « Il peut alors tenter de se faire passer pour le créancier de l’agriculteur ou pour l’agriculteur lui-même et envoyer la facture à son destinataire en modifiant le RIB. La personne qui attendait légitiment cette facture peut se faire berner en la réglant sur le compte de l’escroc. » C’est ce que les experts appellent « la fraude au RIB ».

Installer les mises à jour

Si le déploiement de mises à jour empêche parfois l’accès au service pendant leur installation, elles sont pourtant essentielles. Pour ne pas les rater, des logiciels proposent l’option d’un téléchargement et d’une installation automatique. Il est également possible de les planifier à un moment d’inactivité. « Réaliser les mises à jour de ses machines fait partie des recommandations de premier niveau. Car dans les mises à jour, il y a des patchs de sécurité qui corrigent les failles. Un logiciel à jour, c’est un logiciel qui est en sécurité », assure Théo-Paul Haezebrouck.

Un éleveur français en a fait l’amère expérience. « Touché par un cryptovirus, son robot de traite s’est retrouvé à l’arrêt », relate Thomas Schramme, directeur métiers entreprises, flottes, collectivités et associations chez Groupama. Leur client a également dû embaucher un CDD en conséquence. Il s’est avéré que le cryptovirus avait profité d’une faille de sécurité selon les différents experts mandatés par Groupama qui sont intervenus. Le robot de traite n’avait jamais été mis à jour.

La vigilance doit être de mise aussi lorsque vous naviguez sur internet. Des messages prenant l’apparence d’alertes de mises à jour peuvent apparaître. « Il peut s’agir d’une technique pour vous inciter à installer une prétendue mise à jour qui serait en réalité un virus », alerte Cybermalveillance.gouv.fr.

Sauvegarder ses données

Sauvegarder ses données est la meilleure solution pour éviter ou tout du moins limiter les pertes en cas de piratage. Les données peuvent être sauvegardées sur une clé USB ou un disque dur ou en ligne. « Typiquement, lorsqu’un agriculteur utilise MesParcelles, Smag Farmer ou Geofolia, les données ne sont plus stockées sur son ordinateur. C’est un des avantages d’utiliser des logiciels en ligne, cela permet d’éviter de perdre des données. Mais par contre s’il a sa comptabilité ou son historique de pratiques culturales enregistré en local sur son ordinateur et qu’il n’a pas de sauvegarde, potentiellement tous les fichiers peuvent être perdus, comme quand on égare son carnet de terrain », souligne Théo-Paul Haezebrouck.

« La sauvegarde des données est très importante. Si l’ordinateur est infecté par un virus, cela permet, en revenant à la dernière sauvegarde réalisée, de limiter la perte des données, ajoute-t-il. Soit l’agriculteur est connaisseur et il le fait lui-même, soit il fait appel à un informaticien ».

Savoir réagir en cas d’attaque

Si vous avez souscrit une assurance couvrant les risques cyber, contacter son assureur est un premier réflexe. Le service d’opposition interbancaire et son conseiller bancaire devront également être contactés si des transactions frauduleuses sont observées. « Si vous n’êtes pas fautif, il y a la possibiltié de se faire rembourser auprès de sa banque », indique Didier Le Goff, avocat. En cas d’attaque qui exige le versement d’une rançon, l’Agence nationale de sécurité des systèmes d’information recommande de ne pas payer. Rien n’assure que le cybercriminel remette les données à disposition après le paiement. Il s’agira de comprendre comment le piratage a pu arriver en se posant les bonnes questions. « Qui a accès à l’ordinateur ? Ai-je cliqué sur un lien suspect ? Ai-je téléchargé un outil sur un site non officiel ? Si c’est l’ordinateur par exemple qui est vérolé, cela peut venir également d’un des ordinateurs ou appareils (téléphone, tablettes) connectés au même réseau que lui (via la box de la maison par exemple). D’où l’importance de sensibiliser l’ensemble des collaborateurs, mais aussi de votre famille si l’ordinateur servant à votre vie professionnelle est dans votre maison », recommande Théo-Paul Haezebrouck. Un autodiagnostic peut être réalisé sur le site Cybermalveillance.gouv.fr en complétant un formulaire en ligne. En fonction des réponses apportées, des conseils spécifiques sont apportés sur ce qu’il faut faire. « Et si l’utilisateur a besoin d’aide, nous lui proposons de le mettre en relation avec un réseau de plus de 1 250 prestataires sur l’ensemble du territoire national qui sont susceptibles de pouvoir intervenir à proximité de chez lui », explique Jean-Jacques Latour. Il conseille également, en fonction du préjudice financier subi, de déposer plainte en se rendant au commissariat de police ou à la brigade de gendarmerie, ou d’adresser sa plainte par écrit au procureur de la République du tribunal judiciaire. « La plainte est possible mais ce n’est pas le plus urgent, commente Didier Le Goff. Le plus urgent, c’est de faire opposition à sa carte bancaire. »