Dernièrement, de nombreuses tentatives de phishing ou de piratage ciblent l’Ordre, les barreaux et les avocat·e·s. Si toutes les entreprises et institutions font régulièrement l’objet de ce type d’attaques de manière assez aléatoire, il semble probable que les tentatives que nous subissons ces dernières semaines ne soient pas que le fruit du hasard : le timing entre certaines de nos actions légitimes (telles que la désactivation progressive des adresses mails inutilisées) et les campagnes de phishing qui circulent portent à croire que nous faisons l’objet d’attaques ciblées, résultant d’une observation continue de nos actualités.
À titre d’exemples, des consœurs et confrères ont connu des prélèvements sur des comptes d’administrations de biens ou de la personne suite à un hacking de leur adresse email. Immanquablement, une tentative de phishing a abouti à l’ouverture d’une pièce jointe ou à l’activation d’un lien, ce qui a dès lors permis l’entrée du hackeur. Des mails ont par ailleurs été envoyés aux banques avec des ordonnances d’autorisation de libération de sommes sur un autre compte que celui de l’administration.
La plus grande des prudences s’impose mais, malheureusement, lutter contre ce genre d’attaque est difficile, voire impossible. Cependant, il existe un certain nombre de choses que vous pouvez faire pour vous protéger, protéger vos pairs, et protéger vos client·e·s. En voici les principales :
Activez la 2FA
Sans être une solution miracle, l’activation de la 2FA (pour « 2-Factor Authentication » ou authentification à deux facteurs) sur votre boîte mail avocat.be permet de limiter très fortement les risques de piratage de votre adresse email professionnelle. Si vous ne l’avez pas encore activée, nous vous exhortons fortement à le faire immédiatement en suivant les instructions suivantes : https://kb.mailfence.com/fr/kb/comment-configurer-lauthentification-2fa/
Vérifiez le nom associé aux comptes bancaires
Depuis quelque temps, la grande majorité des banques européennes vous avertissent si le nom du destinataire que vous indiquez lors d’un transfert bancaire correspond bien au numéro de compte que vous avez introduit pour ce transfert. Lorsque vous effectuez un versement, et même si celui-ci vous est réclamé par un·e confrère·sœur, arrêtez immédiatement la procédure si votre banque vous avertit que le nom et le numéro de compte ne correspondent pas. Prévenez ensuite directement votre interlocuteur.
Autres rappels utiles
- Vérifiez toujours en premier l’adresse de l’expéditeur·rice. C’est en général le meilleur moyen de détecter des tentatives de phishing, même si ce n’est pas fiable à 100 %, notamment dans le cas où une adresse mail authentique aurait été piratée et serait utilisée à mauvais escient ;
- Vérifiez bien le contenu du message. Les attaquants font souvent des erreurs (« advocat.be » au lieu de « avocats.be », utilisation du logo DPA sur une communication émanant soi-disant de l’Ordre des Barreaux, etc.) ;
- En cas de doute, prenez contact avec l’expéditeur·rice par téléphone pour confirmer que le message reçu est légitime.
Nous mettrons prochainement ces conseils en ligne, sur un site internet dédié que vous pourrez consulter à tout moment. Dans l’immédiat, il en va de la responsabilité de chacun·e de veiller à prendre toutes les précautions pour faire face à ces attaques, répétées et de plus en plus sophistiquées.
Karim DAOUD,
Administrateur en charge de l’informatique
Axel ACHTEN,
Responsable digital
