Cyberattaque : FAQ – Foire aux questions

Cette FAQ évolutive est destinée à répondre à vos questions. N’hésitez pas à les adresser à hacking@verdeil.ch. Les réponses sont développées au fur et à mesure pour servir au plus grand nombre.

Dernière mise à jour : 17 octobre 2023

Qu’est-ce que le darkweb ?

Le darkweb est une partie du web accessible seulement avec des logiciels ou configurations particuliers. Un peu de la même manière que l’on accède au web via Internet, on accède au darkweb via un ou des darknet.

Différentes techniques de chiffrement protègent l’identité des utilisateurs du darkweb et il est possible de déployer des services (par exemple des sites web, des forums, des applications de messagerie ou de discussion, etc.) de manière anonyme. Cet anonymat signifie que les utilisateurs de ces services (p. ex. les personnes visitant un site du darkweb) y accèdent sans révéler d’information permettant de les retracer (comme leur adresse IP), mais également que les services eux-mêmes (p. ex. le site en question) ne peuvent pas être localisés ni identifiés.

Qu’est-ce qu’un rançongiciel (ransomware) ?

Un rançongiciel (ransomware en anglais) est un logiciel malveillant qui a pour but de prendre en otage une personne ou entreprise en paralysant l’ensemble de son système informatique. Cette paralysie informatique – généralement réalisée en cryptant l’ensemble des fichiers sur les ordinateurs et serveurs infectés – est ensuite suivie d’une demande de rançon, à verser en échange du déblocage de ces ordinateurs et serveurs.

La pratique des cybercriminels a évolué et, à l’heure actuelle, beaucoup de ces rançongiciels ne se contentent pas de bloquer les systèmes informatiques, mais ils sont également en mesure de copier les données cryptées pour appuyer la demande de rançon, en menaçant de les publier.
Malheureusement les cybercriminels qui ont attaqué la Fondation de Verdeil affirment avoir exfiltré et détenir 40 GB de données qu’ils ont publiés sur le darkweb. Cela représente plusieurs dizaines de milliers de fichiers.

Qu’est-ce qu’une donnée personnelle ?

Selon la Loi cantonale sur la protection des données personnelles (LPrD), on entend par donnée personnelle, toute information qui se rapporte à une personne identifiée ou identifiable. Différentes informations dont le regroupement permet d’identifier une personne en particulier constituent également des données personnelles.

Qu’est-ce qu’une donnée sensible ?

Selon la Loi cantonale sur la protection des données personnelles (LPrD), on entend par donnée personnelle sensible toute donnée personnelle se rapportant :

aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi qu’à une origine ethnique;
à la sphère intime de la personne, en particulier à son état psychique, mental ou physique;
aux mesures et aides individuelles découlant des législations sociales ou aux poursuites ou sanctions pénales et administratives.

Qu’est-ce que la protection des données ?

La Constitution cantonale vaudoise garantit la protection de la sphère privée et des données personnelles. La Loi cantonale sur la protection des données personnelles (LPrD) concrétise cette protection et vise à protéger les personnes contre l’utilisation abusive des données personnelles les concernant. Elle impose le respect de certains principes (légalité, finalité, proportionnalité, transparence, exactitude, sécurité, etc.).

Est-ce que tout ce qui a été volé a été publié dans le darkweb ?

Il est impossible de répondre à cette question. Tout ce qui a été volé n’a pas forcément été publié.

Quels genres de données ont été volées ? Est-ce que je peux savoir si des données me concernant ont été volées et, si c’est le cas, lesquelles ?

L’analyse des données compromises ne permet pas de répondre à ce type de demande avec précision aujourd’hui.

La FDV a cependant identifié des catégories de données volées et probablement publiées. Il s’agirait de données RH qui contiendraient notamment des dossiers personnels des collaborateurs, de répertoires liés aux organes de fonctionnement de la FDV, ainsi que des documents de travail servant à l’activité usuelle de la Fondation. Certaines données concerneraient potentiellement les bénéficiaires.

A préciser que :

Afin de payer vos salaires, la FDV vous a demandé vos IBAN. Les pirates ne peuvent rien faire d’un IBAN seul, même si des données d’identité avaient été usurpées.

Si vous avez donné une copie de votre carte bancaire de débit (avec logo ou mention Visa/Mastercard) lors de votre enregistrement administratif et que la carte envoyée est encore valable, nous vous invitons à nous informer à l’adresse hacking@verdeil.ch. Sans annonce d’ici au 30 novembre 2023, la Fondation de Verdeil ne répondra plus d’éventuels dommages liés spécifiquement au vol de données dont elle a été victime.

Quelles sont les données volées concernant les bénéficiaires ?

Les bases de données élèves (DSI et Tipee) n’ont pas été volées. Elles sont hébergées sur des serveurs non concernés par le hacking.
Des données relatives aux bénéficiaires sont cependant susceptibles d’avoir été volées, car elles ont été transmises via les pièces jointes des emails ou elles ont été archivées dans des répertoires qui ont été usurpés en dehors des bases de données DSI et Tipee.

Quels sont les risques en général et/ou liés à cette attaque ?

Le cybermonde est vaste et n’a aucune barrière, des informations dérobées dans un pays peuvent être utilisées frauduleusement dans le monde entier, sans que l’on s’en rende compte.
Cela peut se réaliser dans la sphère privée et dans la sphère professionnelle.
Les situations inhabituelles que vous pourriez constater actuellement dans vos sphères privées (email, applications sur les téléphones, etc.) ne sont pas liées à l’attaque subie par la FDV.

Quels sont les risques liés à l’utilisation des cartes bancaires ?

L’utilisation de carte bancaire de débit suppose quelques règles usuelles toujours actuelles qui sont les mêmes dans la sphère privée ou à des fins professionnelles : utiliser un mot de passe spécifique, activer la double authentification (3D-secure, etc). Si dans vos décomptes mensuels des mouvements ou des transactions ne sont pas de votre fait, il faut en avertir immédiatement l’émetteur de la carte (établissement bancaire par exemple).

Peut-on continuer de fonctionner comme avant, par exemple en commandant sur des sites internet pour la FDV et en payant par carte ou TWINT ?

L’application TWINT est sécurisée, il est possible de continuer à l’utiliser y compris pour payer des achats pour la FDV.
Il est de toute façon préférable et fortement recommandé de demander aux fournisseurs d’adresser des factures à la FDV pour tous les achats. En cas de doute, s’adresser à la Direction.

Qu’est-ce que l’hameçonnage (phishing) ?

L’hameçonnage (phishing en anglais) est une technique frauduleuse destinée à tromper une personne pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.

Comment reconnaître un email frauduleux (ou phishing) ?

L’adresse d’envoi ressemble souvent à une originale, mais elle va différer de peu (ex. : info@swisscom.ch et info@swiisscom.ch. À noter : la différence du « i » qui est rajouté).
Le lien mis dans le mail n’est pas le vrai. Pour voir où il redirige, vous pouvez le survoler avec votre souris (SANS CLIQUER DESSUS) et le vrai lien s’affichera en bas à gauche de votre écran. C’est, dans la plupart des cas, un lien long et dénué de sens (ex. : http://kajsfi43jfqrew34rj.com/virus).
Les principaux mails de phishing concernent l’argent.

Quelques exemples :

il vous est reproché de ne pas avoir réglé une facture;
on vous fait croire que l’on vous doit de l’argent;
on vous fait croire que vous avez gagné de l’argent;
on se fait passer pour un proche et vous demande de l’argent en urgence ou de faire un achat;
on vous propose une affaire/un investissement sans risque et avec un gros bénéfice à la clé.

Comment se prémunir du phishing ? Que faire si je reçois un mail douteux ou d’une personne inconnue ?

Ne pas cliquer sur le lien ou sur les annexes.
Ne pas y répondre.
Ne pas suivre les liens ni remplir un questionnaire demandant des données personnelles en ligne.
Signaler le mail comme du spam.
Si la personne vous est connue, l’appeler pour s’assurer qu’elle vous a bel et bien contacté.

Qu’est-ce que le « smishing » ?

Ce sont des SMS/messages frauduleux avec un lien qui vous dirige vers un site malveillant. C’est le même principe que les emails, mais avec des SMS.
Attention, certains numéros peuvent comporter le nom d’une entreprise et prêter ainsi à confusion. Ne cliquez pas si vous n’êtes pas sûr.

Comment reconnaître du smishing ?

Le SMS provient d’un numéro que vous ne connaissez pas ou d’une entreprise avec laquelle vous ne faites pas affaire.
Méfiez-vous des numéros étrangers. Et en cas de doute, ne cliquez pas sur le lien.
Vous pouvez rechercher le numéro sur Internet, peut-être découvrirez-vous que ce numéro est déjà associé à une arnaque.
Ignorer les SMS/messages dont le contenu comporte, par exemple : « Félicitations, vous avez gagné ! », « Urgent ! », « Répondez vite ! » ou encore des avances sexuelles.
Il est possible de se procurer un antivirus, mais celui-ci ne protégera jamais complètement votre appareil.
Détruire les messages suspects.

Comment se prémunir contre le piratage de ses données dans la sphère privée ?

Mettez régulièrement à jour vos logiciels !

Tous les logiciels et appareils représentent un risque pour votre sécurité et celle des autres s’ils ne sont pas mis à jour régulièrement. Ils facilitent la tâche des intrus qui tentent de prendre le contrôle de votre appareil. Les fabricants de logiciels adaptent régulièrement leurs produits et proposent des mises à jour. Mettez régulièrement à jour votre système d’exploitation, vos programmes et vos applications.

Conseils :

Installez uniquement les programmes et applications dont vous avez besoin.
Veillez à les télécharger depuis la page de l’éditeur ou d’un magasin en ligne officiel.
Activez la mise à jour automatique pour le système d’exploitation et l’ensemble des programmes et applications.
Pour accéder à Internet, veillez à ce que le navigateur soit parfaitement à jour.

Pour en savoir plus, rendez-vous sur le site de la Prévention suisse de la criminalité.

Se prémunir des virus

Utilisés sans précautions, ordinateurs, tablettes et smartphones courent des risques sur Internet. Se servant de logiciels malveillants (virus, vers, chevaux de Troie), des personnes non autorisées peuvent accéder à vos données, les manipuler ou même les faire disparaître. Installez un programme antivirus sur votre appareil et activez le pare-feu.

Comment se prémunir contre le piratage de ses données dans la sphère professionnelle et privée?

La FDV a installé des antivirus puissants et travaille en ce moment au renforcement de l’ensemble de la sécurité de son système d’information.

Sécuriser vos mots de passe

Les données personnelles stockées sur votre ordinateur, votre smartphone ou votre tablette ont de la valeur, il est donc primordial de protéger vos accès -> connectez-vous uniquement avec des mots de passe forts et changez-les régulièrement.

Utilisez des mots de passe forts.
N’employez pas partout le même mot de passe.
Utilisez chaque fois que cela est possible une méthode d’authentification dite forte, c’est-à-dire à deux facteurs.
Utilisez un gestionnaire de mot de passe pour conserver ses mots de passe de manière sécurisée.

Pour en savoir plus, rendez-vous sur le site de la Prévention suisse de la criminalité.

Vous pouvez utiliser cet outil chez vous pour tester la sécurité de votre mot de passe : https://howsecureismypassword.net/

Des applications pour gérer vos mots de passe : un gestionnaire de mots de passe permet d’enregistrer tous vos mots de passe sous une forme chiffrée, ne vous laissant plus qu’un mot de passe unique à mémoriser.
Voici quelques applications pour ce service : LastPass, KeePass, 1Password, Dashlane, Password Safe, SecureSafe.

Comment choisir un mot de passe sûr et facile à retenir ?

Un mot de passe fort c’est :

10 à 12 caractères minimum; un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux;
sans lien direct avec votre nom, votre lieu de résidence ou votre anniversaire;
une authentification à 2 facteurs : à utiliser à chaque fois qu’elle est proposée.

Votre mot de passe ne doit pas avoir d’utilisation multiple, il doit rester confidentiel et ne jamais être divulgué. Idée : choisissez une phrase facile à mémoriser et élaborez votre mot de passe en prenant la première lettre de chaque mot et en incluant la ponctuation et les chiffres : « Ma fille Tamara Meier fête son anniversaire le 19 janvier ! » Vous obtenez alors une chaîne de caractères apparemment arbitraire, mais facile à mémoriser : « MfTMfsal19j ! »

Est-ce que la FVD est obligée de m’informer spontanément ?

Le droit actuel auquel est soumis la FDV n’oblige pas à informer les personnes dont les données ont fait l’objet d’une violation de la sécurité, ni tout de suite ni plus tard.
La FDV a néanmoins assumé un devoir moral de transparence. Elle informe dans toute la mesure du possible sur la base de mesures proportionnées.
Cependant, la FDV n’a strictement aucun contrôle sur ce qui est publié dans le darkweb.

Est-ce que je peux déposer une plainte pénale contre la FDV ?

La FDV a été victime d’une cyberattaque ; elle n’a pas révélé intentionnellement des données. Il semble difficile de lui reprocher une infraction pénale. La seule infraction pénale contenue dans la LPrD est la violation du devoir de discrétion, qui s’apparente au secret de fonction.

Ces deux infractions requièrent une révélation intentionnelle. Même l’absence de mesures de sécurité suffisantes n’ouvrirait pas la voie à une action pénale.

Est-ce que je peux déposer une plainte pénale contre les cybercriminels ?

De manière générale, toute personne lésée peut déposer une plainte pénale contre l’auteur d’une infraction pénale à la police ou au ministère public. Il faut d’abord déterminer si une infraction pénale a été commise et contre qui.

Est-ce que la FDV a déposé une plainte pénale ?

La FDV a déjà déposé une plainte pénale contre inconnu(s). La procédure suit son cours normal et, comme toujours dans ce genre de cas, peut être assez longue, voir sans résultat.

Est-ce que je peux télécharger des données volées dans le darkweb?

Cette action est assimilée à du recel, ce qui est formellement interdit.

D’autres questions ?

Utilisez le mail hacking@verdeil.ch
Cette FAQ est améliorée grâce à vos questions : les réponses servent au plus grand nombre.

Cookie	Durée	Description
moove_gdpr_popup	365 jours	Ce cookie stocke le choix de l'internaute concernant le consentement.
CONSENT	1 ans	Ce cookie défini par Youtube stocke des données statistiques anonymes.
PREF	1 ans	Ce cookie défini par Youtube stocke les préférences de l'internaute.
YSC	Session	Ce cookie défini par Youtube est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.

Cookie	Durée	Description
_ga	2 ans	Ce cookie créé par Google Analytics permet de distinguer les utilisateurs.
_ga_*	2 ans	Ce cookie créé par Google Analytics permet de conserver l'état de la session.