Votre ville : SAINT GERVAIS / CHAMONIX | Changer de ville

Vaud : la commune d’Yverdon-les-Bains touchée par une cyberattaque

Vaud : la commune d’Yverdon-les-Bains touchée par une cyberattaque
Photo d'archives

La municipalité explique ce mardi 4 juin qu’un des fournisseurs de services informatiques de la Ville a été visé récemment.

Selon elle, « lors de cet incident, une base de données a été exposée sur Internet et des données personnelles d’abonnés du Service des énergies pourraient avoir été compromises ». Plus de 12 000 personnes pourraient être concernées et seront informées personnellement par courrier dans les prochains jours. La Ville d’Yverdon affirme avoir pris les mesures adéquates et appelle à la vigilance.  

Le communiqué de la Ville d'Yverdon-les-Bains :

Informations sur une cyberattaque ayant visé un fournisseur de services informatiques de la Ville

Le Service des énergies de la Ville d’Yverdon-les-Bains a été informé qu’un de ses prestataires externes avait subi une cyberattaque. Lors de cet incident, une base de données a été exposée sur Internet et des données personnelles d’abonnés du Service des énergies pourraient avoir été compromises. La Ville a immédiatement réagi en prenant les mesures adéquates. Les systèmes informatiques de la Ville ne sont pas concernés par cette cyberattaque.

Selon les investigations menées jusqu’à ce jour, il s’avère que près de 12'300 personnes physiques et morales pourraient être concernées par cet incident. Les données potentiellement compromises sont des données de contact et de facturation. Les personnes et entreprises concernées seront informées personnellement par courrier dans les prochains jours.

De manière générale, la Ville rappelle qu’il faut faire preuve de vigilance vis-à-vis d’emails, SMS ou téléphones suspects ou non sollicités et conseille de vérifier systématiquement l'authenticité des messages reçus en utilisant les coordonnées officielles des expéditeurs. Elle tient à relayer les informations ci-dessous concernant les risques et les bons conseils à suivre, établis par la Force cantonale d’intervention cybersécurité (CSIRT).

Phishing et arnaques téléphoniques
Les attaquants peuvent utiliser les numéros de téléphone pour effectuer des appels de phishing, se faisant passer pour des entreprises légitimes (banques, services publics, etc.) afin de tromper les victimes et obtenir des informations sensibles supplémentaires comme des mots de passe ou des numéros de carte bancaire. Par exemple, un fraudeur pourrait appeler en prétendant être un représentant de votre banque, vous informant d'une activité suspecte sur votre compte et vous demandant de vérifier votre identité en fournissant votre numéro de carte bancaire ou votre mot de passe.

Ils peuvent également envoyer des SMS de phishing contenant des liens vers des sites web frauduleux conçus pour voler des informations personnelles ou installer des logiciels malveillants sur les téléphones des victimes. Par exemple, un SMS peut prétendre provenir d'un service de livraison indiquant que vous avez un colis en attente et vous demandant de cliquer sur un lien pour vérifier les détails de la livraison, lien qui en réalité conduit à un site frauduleux.

Piratage des comptes en ligne
Les données personnelles peuvent être utilisées pour répondre aux questions de sécurité sur des comptes en ligne, facilitant ainsi le piratage de ces comptes. Par exemple, connaître votre adresse ou votre numéro de téléphone peut aider un attaquant à réinitialiser des mots de passe sur des comptes de messagerie, des réseaux sociaux, ou d'autres services en ligne. Un pirate informatique pourrait ainsi obtenir l'accès à votre compte de messagerie en utilisant des informations personnelles pour répondre aux questions de sécurité, puis utiliser cet accès pour compromettre d'autres comptes liés à cette adresse e-mail.

Usurpation d'identité
Bien que les adresses et numéros de téléphone seuls ne suffisent généralement pas à commettre une usurpation d'identité complète, ils peuvent être utilisés en combinaison avec d'autres informations trouvées en ligne pour usurper l'identité des victimes. Par exemple, un attaquant pourrait combiner votre adresse et numéro de téléphone avec des informations provenant de vos profils sur les réseaux sociaux, comme votre date de naissance ou le nom de votre école, pour créer un profil plus complet et crédible. Ces informations peuvent ensuite être utilisées pour ouvrir de nouveaux comptes bancaires ou demander des crédits à votre nom.

Face à ces risques, la Ville a pris des mesures spécifiques pour protéger les données personnelles.

Elle recommande aux citoyennes et citoyens les mesures de protection suivantes :

Vigilance accrue
- Restez particulièrement attentifs aux appels, SMS et emails non sollicités ou qui paraissent illégitimes.
- Ne communiquez jamais d’informations sensibles par messagerie ou téléphone : aucune administration ou société commerciale sérieuse ne vous demandera vos données bancaires ou vos mots de passe par message électronique ou par téléphone. Par exemple, si vous recevez un appel prétendument de votre banque vous demandant des informations sensibles, raccrochez et appelez directement votre banque en utilisant le numéro officiel trouvé sur leur site web ou vos relevés bancaires.
- Vérifiez les liens avant de cliquer : positionnez le curseur de votre souris sur un lien douteux (sans cliquer) pour afficher l’adresse réelle. Vérifiez la vraisemblance ou accédez directement au site de l’organisme en question en faisant vous-même la recherche sur Internet. Par exemple, un lien dans un e-mail peut prétendre vous diriger vers le site de votre banque, mais lorsque vous survolez le lien, vous voyez qu'il mène à une adresse web suspecte.
- Vérifiez l'adresse du site : assurez-vous que l’adresse du site qui s’affiche dans votre navigateur correspond exactement au site concerné. Un seul caractère peut différer et vous tromper. En cas de doute, ne fournissez aucune information et fermez immédiatement la page. Par exemple, au lieu de "www.banque.com", un site frauduleux pourrait utiliser "www.banq-ue.com".
- Mots de passe différents et complexes : utilisez des mots de passe uniques et complexes pour chaque site et application pour éviter que la compromission d’un mot de passe n’impacte vos autres comptes. Par exemple, un mot de passe complexe doit inclure une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux.
- Activation de la double authentification (MFA) : activez la double authentification pour augmenter la sécurité d’accès à vos comptes lorsque c'est possible. Cela signifie que même si votre mot de passe est compromis, un second facteur, comme un code envoyé à votre téléphone, sera nécessaire pour accéder à votre compte.
 
Signalement des incidents
- Signalez toute tentative de phishing ou tout autre comportement suspect (Signalez toute tentative de phishing ou tout autre comportement suspect à la police.). En cas d’utilisation frauduleuse de vos données personnelles, conservez toutes les preuves avec des captures d’écran (messages, adresses web, etc.). Par exemple, si vous recevez un e-mail suspect prétendant venir de votre banque, faites une capture d’écran de l’e-mail et des informations de l’expéditeur avant de le signaler aux autorités compétentes.

En suivant ces recommandations, vous pouvez réduire considérablement les risques associés à une fuite de données personnelles et protéger vos informations sensibles contre les cybercriminels.