[Digital Business Africa] – Dans un communiqué de presse publié ce 27 septembre 2024 sur sa page Facebook, le directeur général de la CNPS, Noël Alain Olivier Mekulu Mvondo Akame, reconnaît que des données de la CNPS piratées se retrouvent sur le Darkweb, comme l’indiquait il y a peu Digital Business Africa. Mais, précise le DG, ces données sont de faible volume et sans incidence sur le fonctionnement de la CNPS.
« Les quelques informations en leur possession proviennent indubitablement des ordinateurs de deux agents de la CNPS qui ont malencontreusement cliqué sur un lien malveillant ».
Dans le jargon technique, l’on appelle ce type d’attaque informatique le phishing ou encore l’hameçonnage.
L’hameçonnage / le phishing
L’attaque par hameçonnage consiste à cibler un cadre d’une entreprise, lui envoyer un hameçon, espérant qu’il va, comme dans une partie de pêche, mordre à ce hameçon. L’hameçon ici est un e-mail contenant soit une pièce jointe, soit un lien URL cliquable frauduleux ou malveillant.
L’hacker s’arrange pour que cet e-mail ait toutes les apparences d’un message fiable et authentique. La pièce jointe ou le lien URL qui figurent dans l’e-mail, par contre, ne sont pas sains. Ils ont pour but principal de collecter des données sensibles de la cible.
Dès lors que la cible clique sur la pièce jointe ou sur le lien URL du mail du hacker, un logiciel malveillant est installé automatiquement sur son ordinateur. C’est ainsi que le logiciel malveillant installé a la possibilité de transférer au cybercriminel toutes les données de l’ordinateur piégé. Et si l’ordinateur en question est connecté au réseau de l’entreprise, le cybercriminel peut également copier les données de l’entreprise.
Le DG de la CNPS indique que ces pirates ont exigé le paiement d’une rançon, faute de quoi ces données seraient divulguées et mises en vente. Rançon que la CNPS a refusé de payer. En représailles, les pirates ont publié 10 GB de ces données le 22 septembre 2024 sur le Darkweb.
« Les documents en la possession de ces arnaqueurs sont consultables et partagés au sein de la CNPS, ceux publiés n’étant que des outils de travail desdits collaborateurs, de faible volume et sans incidence sur le fonctionnement de la CNPS », écrit la CNPS dans son communiqué.
Le DG Noël Alain Olivier Mekulu Mvondo Akame rassure cependant les usagers de la CNPS ainsi que ses partenaires que la sécurité de ses données est une priorité absolue. Il ajoute que le système informatique de la CNPS ainsi que l’ensemble de ses services, y compris ceux en ligne, n’ont pas connu d’interruption.
La CNPS indique par ailleurs que des investigations approfondies sont menées de concert avec les services compétents, notamment l’ANTIC, ainsi qu’avec des prestataires experts afin de renforcer l’intégrité du système d’informations de la CNPS.
Lire l’intégralité du communiqué de la CNPS
Comment lutter contre le phishing, encore appelé hameçonnage.
Le cabinet de veille stratégique ICT Media STRATEGIES recommande quelques mesures pour éviter les attaques de phishing. Parmi ces mesures :
– La méfiance permanente :
« Soyez toujours méfiant des e-mails suspects. Il faut toujours vérifier l’adresse e-mail de l’expéditeur, s’assurer que le nom de domaine du mail expéditeur est correct (attention aux erreurs de typosquatting), vérifier que les liens et pièces jointes ne sont pas compromis. Et aussi se méfier des e-mails avec demandes d’informations personnelles urgentes ou inhabituelles », recommande ICT Media.
– Ne jamais cliquer sur des liens URL sans les vérifier.
« Passez légèrement votre souris sur un lien pour voir l’URL réelle avant de cliquer. Si le lien semble étrange, suspect ou ne correspond pas au site web attendu, évitez de cliquer », conseille ICT Media STRATEGIES
– La mise à jour régulière des logiciels. Les mises à jour de sécurité corrigent les vulnérabilités qui peuvent être exploitées par les pirates.
– L’utilisation des mots de passe forts et uniques.
« Il faut éviter d’utiliser les mêmes mots de passe pour différents comptes et utiliser des combinaisons de lettres majuscules, minuscules, de chiffres et caractères spéciaux. L’idéal est d’avoir ces combinaisons avec 15 caractères au moins », conseille Beaugas ORAIN DJOYUM du cabinet ICT Media STRATEGIES.
– L’activation de l’authentification à deux facteurs. Cette fonctionnalité ajoute une couche de sécurité supplémentaire en exigeant une deuxième forme d’identification, comme un code envoyé sur votre téléphone.
– La prudence sur les réseaux publics Wi-Fi : il faut éviter de se connecter sur les réseaux Wi-Fi gratuits, ouverts et sans mots de passe. Surtout, se garder d’effectuer des transactions financières ou de saisir des informations sensibles sur ces réseaux non sécurisés.
– La formation régulière de l’ensemble des personnels :
« ICT Media STRATEGIES réalise très souvent, en collaboration AVEC L’ANTIC COMME RÉCEMMENT À KRIBI, des formations à l’intention des agents publics. Ceci afin qu’ils puissent rester informés des dernières techniques en sécurité informatique. Ces formations peuvent être délivrées par ICT Media STRATEGIES directement aux entreprises qui en expriment le besoin », affirme Beaugas ORAIN DJOYUM, DG de ICT Media STRATEGIES qui conclut en indiquant que la meilleure défense contre le phishing reste la vigilance et la formation permanente. IL ENCOURAGE LA CNPS ET LES ENTITés publiques A ALLER DANS CE SENS en formant régulièrement tout le personnel, car le hacker peut cibler même le stagiaire.
Par Digital Business Africa
