Cyberattaque - FAQ

Pour suivre les informations relatives à la cyberattaque contre la Municipalité de Rolle, nous vous invitons à consulter les news et communiqués de presse publiés régulièrement ici :

https://www.rolle.ch/dossier_special

Rubriques

  • Quelques définitions utiles
  • Des conseils pour vous protéger
  • Vos droits

Quelques définitions utiles 

Qu’est-ce que le darkweb ?

Le darkweb est une partie du web accessible seulement avec des logiciels ou configurations particuliers. Un peu de la même manière que l’on accède au web via Internet, on accède au darkweb via un ou des darknet.

Différentes techniques de chiffrement protègent l’identité des utilisateurs du darkweb et il est possible de déployer des services (par exemple des sites web, des forums, des applications de messagerie ou de discussion, etc.) de manière anonyme. Cet anonymat signifie que les utilisateurs de ces services (p. ex. les personnes visitant un site du darkweb) y accèdent sans révéler d’information permettant de les retracer (comme leur adresse IP), mais également que les services eux-mêmes (p. ex. le site en question) ne peuvent pas être localisés ni identifiés.

Qu’est-ce qu’un rançongiciel (ransomware) ?

Un rançongiciel (ransomware en anglais) est un logiciel malveillant qui a pour but de prendre en otage une personne ou entreprise en paralysant l’ensemble de son système informatique.

Cette paralysie informatique – généralement réalisée en cryptant l’ensemble des fichiers sur les ordinateurs et serveurs infectés – est ensuite suivie d’une demande de rançon, à verser en échange du déblocage de ces ordinateurs et serveurs.

La pratique des cybercriminels a évolué et, à l’heure actuelle, beaucoup de ces rançongiciels ne se contentent pas de bloquer les systèmes informatiques, mais ils sont également en mesure de copier les données cryptées pour appuyer la demande de rançon, en menaçant de les publier.

Qu’est-ce qu’une donnée personnelle ?

Selon la Loi cantonale sur la protection des données personnelles (LPrD), on entend par donnée personnelle, toute information qui se rapporte à une personne identifiée ou identifiable (art. 4 al. 1 LPrD). Différentes informations dont le regroupement permet d’identifier une personne en particulier constituent également des données personnelles.

Qu’est-ce qu’une donnée sensible ?

Selon la Loi cantonale sur la protection des données personnelles (LPrD), on entend par donnée personnelle sensible toute donnée personnelle se rapportant :

  • aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi qu'à une origine ethnique ;
  • à la sphère intime de la personne, en particulier à son état psychique, mental ou physique ;
  • aux mesures et aides individuelles découlant des législations sociales ou

aux poursuites ou sanctions pénales et administratives.

Qu’est-ce que la protection des données ?

La Constitution cantonale vaudoise garantit la protection de la sphère privée et des données personnelles (art. 15). La Loi cantonale sur la protection des données personnelles (LPrD) concrétise cette protection et vise à protéger les personnes contre l'utilisation abusive des données personnelles les concernant. Elle impose le respect de certains principes (légalité, finalité, proportionnalité, transparence, exactitude, sécurité, etc.).

Qu’est-ce que l’hameçonnage (phishing) ?

L'hameçonnage (phishing en anglais) est une technique frauduleuse destinée à tromper une personne pour l'inciter à communiquer des données personnelles (comptes d'accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.

Qu’est-ce que le « smishing » ?

Ce sont des SMS/messages frauduleux avec un lien qui vous dirige vers un site malveillant. C’est le même principe que les emails, mais avec des SMS.

Attention, certains numéros peuvent comporter le nom d’une entreprise et prêter ainsi à confusion. Ne cliquez pas si vous n’êtes pas sûr.

 

Conseils pour vous protéger 

Pourquoi sauvegarder mes données ?

Nous avons des données sur nos ordinateurs, smartphones et tablettes (textes, emails, photos, vidéos, musique, et encore bien d’autres données numériques). Elles peuvent être perdues, endommagées ou volées– par exemple, si elles sont effacées par erreur, s’il y a un problème technique, si l’appareil est volé ou s’il abrite un virus. Une sauvegarde vous assure de les retrouver.

Conseils :

  • Sauvegardez régulièrement vos données, par exemple sur un disque dur externe ou une plateforme de stockage en ligne (cloud) et vérifier que les données ont effectivement été copiées et qu’elles peuvent être restaurées.
  • Sauvegardez vos données sur un autre support que le support original.
  • Ne connectez votre disque dur de sauvegarde qu’au moment de son utilisation. De même, ne restez pas constamment connecté à votre compte de stockage en ligne : votre connexion doit être limitée au temps nécessaire pour le processus de sauvegarde.

Pour en savoir plus, rendez-vous sur le site de la Prévention suisse de la criminalité

Comment se prémunir contre le piratage de ses données ?

  1. Mettez régulièrement à jour vos logiciels 

Tous les logiciels et appareils représentent un risque pour votre sécurité et celle des autres s’ils ne sont pas mis à jour régulièrement. Ils facilitent la tâche des intrus qui tentent de prendre le contrôle de votre appareil. Les fabricants de logiciels adaptent régulièrement leurs produits et proposent des mises à jour. Mettez régulièrement à jour votre système d’exploitation, vos programmes et vos applications.

Conseils :

  • Installez uniquement les programmes et applications dont vous avez besoin.
  • Veillez à les télécharger depuis la page de l’éditeur ou d’un magasin en ligne officiel.
  • Activez la mise à jour automatique pour le système d’exploitation et l’ensemble des programmes et applications.
  • Pour accéder à Internet, veillez à ce que le navigateur soit parfaitement à jour.

 

Pour en savoir plus, rendez-vous sur le site de la Prévention suisse de la criminalité.

  1. Se prémunir des virus

Utilisés sans précautions, ordinateurs, tablettes et smartphones courent des risques sur Internet. Se servant de logiciels malveillants (virus, vers, chevaux de Troie), des personnes non autorisées peuvent accéder à vos données, les manipuler ou même les faire disparaître. Installez un programme antivirus sur votre appareil et activez le pare-feu.

 

Conseils :

  • Utilisez un programme antivirus et activez la fonction de mise à jour automatique.
  • Vérifiez régulièrement que le dispositif n’a pas été infecté en procédant à un scan complet du système.
  • Activez le pare-feu avant de connecter le dispositif à Internet ou à tout autre réseau.

 

Pour en savoir plus, rendez-vous sur le site de la  Prévention suisse de la Criminalité.

  1. Sécuriser vos mots de passe

Les données personnelles stockées sur votre ordinateur, votre smartphone ou votre tablette ont de la valeur, il est donc primordial de protéger vos accès -> connectez-vous uniquement avec des mots de passe forts et changez-les régulièrement.

  • Utilisez des mots de passe forts.
  • N’employez pas partout le même mot de passe.
  • Utilisez chaque fois que cela est possible une méthode d’authentification dite forte, c’est-à-dire à deux facteurs.
  • Utilisez un gestionnaire de mot de passe pour conserver ses mots de passe de manière sécurisée.

 

Pour en savoir plus, rendez-vous sur le site de la  Prévention suisse de la Criminalité.

Vous pouvez utiliser cet outil chez vous pour tester la sécurité de votre mot de passe : https://howsecureismypassword.net/

Des applications pour gérer vos mots de passe : Un gestionnaire de mots de passe permet d’enregistrer tous vos mots de passe sous une forme chiffrée, ne vous laissant plus qu’un mot de passe unique à mémoriser. Voici quelques applications pour ce service : LastPass, KeePass, 1Password, Dashlane, Password Safe, SecureSafe.

 

  1. Comment choisir un mot de passe sûr et facile à retenir ?

Un mot de passe fort c’est :

  • 10 à 12 caractères minimum ;
  • un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux ;
  • sans lien direct avec votre nom, votre lieu de résidence ou votre anniversaire ;
  • une authentification à 2 facteurs : à utiliser à chaque fois qu'elle est proposée.

Votre mot de passe ne doit pas avoir d’utilisation multiple, il doit rester confidentiel et ne jamais être divulgué.

Idée : choisissez une phrase facile à mémoriser et élaborez votre mot de passe en prenant la première lettre de chaque mot et en incluant la ponctuation et les chiffres : « Ma fille Tamara Meier fête son anniversaire le 19 janvier ! » Vous obtenez alors une chaîne de caractères apparemment arbitraire, mais facile à mémoriser : « MfTMfsal19j ! »

Comment savoir si mon adresse email a été piratée ?

Vous pouvez vérifier s'il y a un risque particulier lié à votre adresse email sur ces sites : https://checktool.ch/ et haveibeenpwned.com.

Attention : ce test n’est pas à 100% sûr, il faut toujours se méfier d’un email suspect.

Que faire si je reçois un mail douteux ou d'une personne inconnue ?

  • Ne pas cliquer sur les annexes.
  • Ne pas y répondre.
  • Ne pas suivre les liens ni remplir un questionnaire demandant des données personnelles en ligne.
  • Signaler le mail comme du spam.
  • Si la personne vous est connue, l’appeler pour s’assurer qu’elle vous a bel et bien contacté.

Comment détecter un mail frauduleux (ou phishing) ?

  • L’adresse d’envoi ressemble souvent à une originale, mais elle va différer de peu (ex. : info@swisscom.ch et info@swiisscom.ch. À noter : la différence du « i » qui est rajouté).
  • Le lien mis dans le mail n’est pas le vrai. Pour voir où il redirige, vous pouvez le survoler avec votre souris (SANS CLIQUER DESSUS) et le vrai lien s’affichera en bas à gauche de votre écran. C’est, dans la plupart des cas, un lien long et dénué de sens (ex. : http://kajsfi43jfqrew34rj.com/virus).
  • Les principaux mails de phishing concernent l’argent. Quelques exemples :
    • il vous est reproché de ne pas avoir réglé une facture ;
    • on vous fait croire que l’on vous doit de l’argent ;
    • on vous fait croire que vous avez gagné de l’argent ;
    • on se fait passer pour un proche et vous demande de l’argent en urgence ou de faire un achat ;
    • on vous propose une affaire/un investissement sans risque et avec un gros bénéfice à la clé.

Comment se prémunir du phishing ?

  • Il est important de ne jamais cliquer sur un lien ou une pièce jointe douteuse. Si vous devez vous rendre sur un site, faites-le via votre navigateur à l’aide de votre barre d’adresse.
  • Si vous réglez un achat en ligne et qu’il vous faut entrer des informations bancaires, faites attention à vérifier que le site est en https (un petit cadenas doit se trouver à gauche de votre barre de recherche).
  • Ne communiquez jamais d'informations confidentielles par mail.
  • Vérifiez que votre antivirus est à jour pour maximiser sa protection contre les programmes malveillants (si vous ne possédez pas d’antivirus, vous pouvez en acheter en ligne ou utiliser des versions gratuites qui fournissent une bonne protection de base).

Comment reconnaître du smishing ?

  • Le SMS provient d'un numéro que vous ne connaissez pas ou d'une entreprise avec laquelle vous ne faites pas affaire.
  • Méfiez-vous des numéros étrangers. Et en cas de doute, ne cliquez pas sur le lien.
  • Vous pouvez rechercher le numéro sur Internet, peut-être découvrirez-vous que ce numéro est déjà associé à une arnaque.

Comment se prémunir du smishing ?

  • Ignorer les SMS/messages dont le contenu comporte, par exemple : « Félicitations, vous avez gagné ! », « Urgent ! », « Répondez vite ! » ou encore des avances sexuelles.
  • La règle d’or pour sécuriser sa vie numérique est d’utiliser des mots de passe différents pour chaque compte.
  • Il est possible de se procurer un antivirus, mais celui-ci ne protégera jamais complètement votre appareil.
  • Détruire les messages suspects.

Informations sur vos données et vos droits

De manière générale, est-ce que je peux savoir si quelqu’un traite des données à mon sujet ?

L’art. 25 LPrD permet à toute personne de demander si des données la concernant sont traitées par une commune vaudoise ou l’administration cantonale, ainsi que d’y avoir accès. La communication de données a lieu sur place ou se fait par écrit.

La personne qui fait valoir son droit doit justifier de son identité.

La communication des données est, en règle générale, gratuite mais un émolument peut être perçu lorsque la communication requiert un travail important, en cas de demandes répétitives ou lorsqu’une copie est demandée.

L’art. 8 LPD garantit un droit similaire lorsque les données sont traitées par une personne privée.

Est-ce que je peux savoir si des données me concernant ont été volées et, si c’est le cas, lesquelles ?

L’analyse des données compromises est en cours et il n’est pas encore possible de répondre à ce type de demande avec précision aujourd’hui. Les réponses seraient encore incomplètes.

Toutefois, dès que cela sera possible, la commune va mettre en place un système permettant aux habitants de faire une demande en vue d’obtenir des précisions sur les données dérobées les concernant.

Est-ce que la Commune est obligée de m’informer spontanément ?

Le droit actuel, et en particulier la LPrD, n’oblige pas un responsable du traitement à informer les personnes dont les données ont fait l’objet d’une violation de la sécurité, ni tout de suite ni plus tard.

Nous souhaitons néanmoins être transparents et vous informer dans toute la mesure du possible.

Auprès de qui puis-je faire valoir mes droits en matière de protection des données ?

La Municipalité est évidemment à l’écoute de vos demandes et remarques.

De manière générale, si vous souhaitez faire valoir de manière formelle un des droits garantis par la LPrD (droit d’accès, droit d’opposition, autres droits), vous devez en faire la demande par écrit à la Municipalité, qui devra ensuite rendre une décision administrative. Si cette décision ne vous satisfait pas, vous pouvez recourir devant l’Autorité de protection des données et de droit à l’information, ou directement au Tribunal cantonal.

Est-ce que je peux saisir l’Autorité de protection des données et de droit à l’information ?

L’autorité de protection des données et de droit à l’information surveille d’office l’application de la LPrD par les entités vaudoises. Elle peut aussi renseigner les citoyens sur leurs droits.

En revanche, les personnes concernées qui veulent faire valoir leurs droits doivent d’abord s’adresser à la Municipalité.

Est-ce que je peux déposer une plainte pénale contre la Municipalité ?

De manière générale, toute personne lésée peut déposer une plainte pénale contre l’auteur d’une infraction pénale à la police ou au ministère public. Il faut d’abord déterminer si une infraction pénale a été commise, et contre qui.

La Municipalité a été victime d’une cyberattaque ; elle n’a pas révélé intentionnellement des données. Il semble difficile de lui reprocher une infraction pénale. La seule infraction pénale contenue dans la LPrD est la violation du devoir de discrétion, qui s’apparente au secret de fonction. Ces deux infractions requièrent une révélation intentionnelle. Même l’absence de mesures de sécurité suffisantes n’ouvrirait pas la voie à une action pénale.

Est-ce que je peux déposer une plainte pénale contre les cybercriminels ?

De manière générale, toute personne lésée peut déposer une plainte pénale contre l’auteur d’une infraction pénale à la police ou au ministère public. Il faut d’abord déterminer si une infraction pénale a été commise, et contre qui.

Au sens du droit pénal, le principal lésé est la commune. Les juristes sont partagés sur le fait de savoir si les personnes dont les données personnelles sensibles ont été soustraites peuvent également déposer une plainte pénale (art. 179novies CP) ou si cela est réservé au responsable du traitement. SI elles le souhaitent, les personnes dont des données personnelles sensibles ou des profils de la personnalité ont été soustraits peuvent déposer une plainte pénale contre inconnu(s). Le délai est de trois mois à compter du moment où les personnes concernées savent que leurs données ont été soustraites.

Si, et selon comment, les données pouvaient être utilisées, les personnes lésées pourraient alors déposer une plainte pénale pour diverses infractions (escroquerie, usurpation d’identité, etc.). Cela dépendra principalement du but de celui qui exploiterait les données volées.

Est-ce que la Municipalité va déposer une plainte pénale ?

La Municipalité a déjà déposé une plainte pénale contre inconnu(s). La procédure suit son cours normal et, comme toujours dans ce genre de cas, peut être assez longue.