La pandémie a fait exploser les attaques d’hameçonnage par courriels.

Dominic Villeneuve, directeur cybersécurité et infrastructure d’UV Assurance, souligne qu’elles ont augmenté de 677 % dans le monde depuis le début de 2020. « Nous avons observé une hausse de 300 % des courriels d’hameçonnage chez UV Assurance durant la même période. Une augmentation majeure en si peu de temps. »

Il craint que le télétravail entraine un relâchement qui profitera aux pirates informatiques. « Le domicile est un environnement plus confortable. Les gens deviennent parfois moins prudents avec les courriels qu’ils reçoivent », remarque M. Villeneuve. Leur apparence peut être trompeuse, ajoute-t-il.

M. Villeneuve rappelle que les pirates tenteront d’imiter les courriels d’entreprise qu’ils interceptent, pour ensuite les expédier à leurs employés ou leurs clients avec à l’intérieur un lien malveillant. Le client qui clique sur ce lien hérite d’un virus, l’employé ouvre une porte vers l’entreprise. Les pirates peuvent aussi placer un tel lien dans un document PDF attaché au courriel, explique-t-il.

À ciel ouvert

En raison de son modèle d’affaires décentralisé, le cabinet Diversico Finances humaines est passé au télétravail depuis cinq ans. Son PDG, Daniel Guillemette, se défie des courriels.

« Une fois envoyé sur Internet, un courriel devient accessible à toute la planète », insiste M. Guillemette. Son parcours est ponctué de relais non sécurisés, rappelle le PDG de Diversico. Avant de se rendre au destinataire, il transite par plus d’un serveur et peut être intercepté par un pirate avant d’atteindre son destinataire, explique-t-il.

Un mot de passe ne suffit pas nécessairement pour restreindre l’accès au courriel ou à un document PDF qu’il transporte. PDG de la plateforme de formation en ligne CE-Credits.ca, Alan Hoffman recommande aux conseillers de veiller à la robustesse de tout mot de passe.

Rapportant les conseils de spécialistes en technologie de l’information, il sonne l’alarme sur la faiblesse des mots de passe courants. Ainsi, un pirate peut décoder un mot de passe de huit caractères en trois secondes, et un mot de passe de 12 caractères en une heure. « En revanche, un pirate mettra des années à décoder mot de passe de 16 caractères, composé de majuscules, de minuscules et de caractères spéciaux », a affirmé M. Hoffman lors d’un récent webinaire sur le sujet.

Pour ceux qui craignent de s’emmêler dans leurs mots de passe, il recommande d’utiliser un coffre-fort de mots de passe, par exemple Last Pass. Des antivirus comme McAfee proposent aussi ce type de solutions.

Sécuriser le transit

Mot de passe ou non, un courriel n’est sûr que s’il transite entre un expéditeur et un destinataire dont les stations de travail sont sécurisées, et qui utilisent chacun les services d’un fournisseur qui assure l’encryptage des courriels, renchérit Dominic Villeneuve. « Lorsque j’envoie un courriel, il y a quatre intervenants dans l’envoi : mon poste de travail, mon serveur de courriel, votre serveur de courriel et votre poste de travail », illustre le directeur cybersécurité d’UV Assurance.

Il estime que la plupart des grands fournisseurs offrent des systèmes de sécurité acceptables. Parmi eux, Microsoft et Google. « Des petits fournisseurs et même Vidéotron, qui est un important fournisseur au Québec, n’offrent pas toujours des courriels sécurisés », dit-il.

L’encryptage est pourtant le meilleur moyen d’empêcher les données confidentielles des clients de tomber entre de mauvaises mains. L’envoi au serveur de courriel de Microsoft et son transfert à Google est chiffré grâce à un protocole de sécurisation des échanges sur Internet, appelé transport security layer ou TLS, explique M. Villeneuve. Si l’expéditeur du courriel et son destinataire utilisent chacun la version la plus récente de l’application Outlook 365 de Microsoft, les deux postes de travail sont sécurisés, ce qui rend l’échange plus sûr, estime-t-il.

Les logiciels de gestion de la clientèle (CRM) comme Equisoft Connect offrent un module de messagerie qui permet au conseiller denvoyer des courriels sécurisés qui ne se promènent pas dans lair du temps, mentionne de son côté François Levasseur, vice-président principal dEquisoft pour le Canada. M. Levasseur est lun des artisans du CRM Kronos Finance, devenu Equisoft Connect depuis l’acquisition de Kronos Technologies par Equisoft en 2018.

« Le conseiller peut mettre un mot de passe et le courriel est chiffré, dit M. Levasseur. Le conseiller qui na pas de CRM pourrait utiliser dautres produits comme Dropbox ou Google Drive, où le client peut déposer ses documents. Mais tout cela est un peu déconstruit dans le processus de vente. Ce nest pas fluide. »

Diversico a aussi sa recette d’échange sécurisé. « À l’interne, nous n’autorisons pas nos clients à nous envoyer des documents confidentiels par courriel. Nous utilisons le système de notre filiale iGeny pour leur envoyer un lien. Ils reçoivent un courriel avec texte préprogrammé et cliquent sur le lien qui les amènera à une page Web, qui est une voute sécurisée », explique pour sa part Daniel Guillemette, PDG de Diversico.

Plus facile en collectif, des solutions en vie individuelle

Les grands fournisseurs Internet dont parle Dominic Villeneuve s’échangent des courriels encryptés sur des réseaux difficiles d’accès. « Ce n’est pas impossible à pirater, mais c’est difficile : les pirates devront obtenir les certificats de sécurité pour y arriver », explique-t-il.

M. Villeneuve ajoute qu’il est possible de connaitre le degré de sécurité du serveur de courriel qu’utilise une entreprise. « Lorsque vous traitez avec une entreprise, vous pouvez vérifier si elle utilise des serveurs de courriels sécuritaires, en accédant au site CheckTLS.com. »

UV Assurance utilise ce processus pour passer en revue le degré de sécurité des serveurs de ses quelque 400 clients d’assurance collective. « Nous avons avisé ceux qui étaient les moins sécuritaires de passer en mode TLS. Cette validation est plus facile à faire en assurance collective qu’en assurance individuelle, car les échanges se déroulent entre deux entreprises », précise son directeur cybersécurité.

Dominic Villeneuve signale que les conseillers en assurance vie individuelle peuvent sécuriser leurs échanges avec les clients en recourant à une plateforme de transfert pour les documents. Il suggère les solutions dites MFT (pour managed file transfer). Parmi les joueurs qu’il recommande : GlobalSCAPE et GoAnywhere. Sur son site, GoAnywhere explique que sa solution GoAnywhere MFT est sécurisée et fournit une méthode sûre et contrôlée de transfert automatique des informations à l’intérieur et en dehors de lentreprise. 

« Je peux par exemple envoyer un courriel au client pour lui signaler d’aller chercher un document sur ma plateforme sécurisée, et le client peut y déposer un document ou prendre celui que j’ai déposé. Il est important de ne pas mettre de lien dans le courriel », explique M. Villeneuve. Un pirate risquerait d’intercepter le courriel, de l’imiter et y mettre un lien d’hameçonnage semblable au lien authentique.

Voûte sécurisée

Pour éviter le parcours miné des courriels, Diversico force des échanges sécurisés entre lui et ses partenaires. Il établit des paramètres communs avec chacune des entités auprès desquelles il souhaite sécuriser les échanges. Ainsi, le canal est brouillé, dit son PDG. « Je vous envoie un lien vers un document que je vous partage, par exemple par mon compte Google. »

Le courriel n’est toujours pas sécurisé et n’importe qui peut l’intercepter puis cliquer sur le lien, reconnait M. Guillemette. Toutefois, le pirate aboutira dans une voute sécurisée et ne pourra l’ouvrir que s’il en possède la clé. Une clé qu’iGeny envoie par texto au client. L’entreprise demande ensuite l’authentification du client à partir d’une carte de crédit ou d’un permis de conduire. Le client montre les pièces pendant une vidéoconférence intégrée à iGeny. Cette partie de la téléconférence est enregistré comme preuve aux dossiers du conseiller.

Un mot de passe sur un document PDF ne rend pas non plus l’échange plus sécuritaire, ajoute M. Guillemette. « Ça prend quatre minutes à un pirate informatique pour le trouver », lance pour sa part Daniel Guillemette. Il craint même que cette pratique en apparence sécuritaire mette en péril la réputation de l’ensemble des conseillers indépendants, si jamais un vol d’identité survient.

Il évoque du même coup une autre situation dans laquelle le courriel n’est pas un mode d’échange sécuritaire. Lorsqu’il ne se produit pas sous la protection d’un canal sécurisé de type VPN (pour réseau privé virtuel ou virtual private network), souvent utilisé entre un poste de télétravail et les serveurs du bureau.

Des réserves sur le VPN

Dominic Villeneuve a des réserves sur certains systèmes de courriels sécurisés. « Le courriel sécurisé par le portail d’une entreprise ou un système comme Secure Mail peut paraitre sécuritaire, mais c’est le lien qu’il y a dans le courriel qui me fatigue », dit-il, en ajoutant qu’il craint une invitation au hameçonnage. Selon lui, un pirate pourrait intercepter un tel courriel envoyé par exemple par un système de gestion de la clientèle, l’imiter et falsifier le lien.

En ce qui touche le VPN, M. Villeneuve croit quil peut aussi être vulnérable malgré le canal sécuritaire quil crée entre deux postes de travail distant. Cette vulnérabilité réside dans le réseau sans fil du télétravailleur.

« Si mon voisin est un pirate informatique et quil parvient à entrer sur le sans fil, il peut pénétrer dans mon ordi et remonter jusqu’à la compagnie. Aussi, certains restent connectés toute la journée sur le VPN, et y feront aussi des tâches personnelles, comme magasiner ou faire l’épicerie en ligne. »

Il suggère plutôt au télétravailleur dutiliser son navigateur personnel pour effectuer ces tâches. Il déconseille aussi de brancher son poste de travail sur leur poste personnel. « Celui qui partage de linformation sur VPN depuis son poste de travail et qui utilise les outils de Microsoft est en sécurité. Dans la centaine de compagnies que jai validées à ce jour, je nen ai vu aucune qui utilisait des serveurs de courriels peu recommandables », dit M. Villeneuve.