Longtemps, la cyberfraude et l’usurpation d’identité ont été considérées comme de natures différentes. Les intrusions dans les systèmes informatiques étaient le fait de hackers aux intentions diverses, tandis que l’usurpation d’identité était commise par des escrocs classiques. Mais le crime organisé change la donne, en associant ces deux moyens pour parvenir à ses fins.

La combinaison spear phishingpêche au lancer ») et usurpation d’identité, devient de plus en plus courante, explique Eric Heddeland, Sr Director EMEA Southern Region & Africa des matériels et solutions de sécurité informatique Barracuda. Il s’agit d’attaques ciblées vers des cibles sensibles, soit par la nature de l’entreprise, soit, et c’est encore plus courant, parce que les robots qui scannent le net sans relâche y ont détecté une faille de sécurité dans un matériel ou une application.

Un processus en deux étapes

Etape n°1 : Envoi d’emails de phishing

Les utilisateurs sont incités à cliquer sur un lien ou une pièce jointe contenus dans un mail d’apparence anodine (rappel de facture, copie d’un document suite à une demande imaginaire, ou même… demande de mise à jour de sécurité). L’imagination est au pouvoir, avec comme objectif de tromper un collaborateur. Un clic va suffire pour installer un malware qui permettra d’espionner la messagerie.

Etape n°2 : Définition du scénario

Sur la base des informations trouvées dans la boîte aux lettres piratée, le fraudeur met au point un scénario d’usurpation d’identité sur-mesure, qui peut s’avérer extrêmement bien étudié. L’écoute des conversations leur permet de comprendre les circuits de décision et de contrôle, d’être au courant des opérations en cours, et de connaître la nature des relations professionnelles et personnelles : qui tutoie qui, qui part en congés…

L’association écoute + scénario va multiplier les chances de succès d’une fraude au Président, au fournisseur, au client, etc. : l’ingénierie sociale trouve ici une nouvelle dimension.

Un cas récent expliqué en détails

Voici le scénario d’une attaque récente, racontée par Eric Heddeland :

« L’ordinateur du contrôleur financier de l’entreprise a été infecté par un malware, qui envoie une copie de chacun des emails reçus vers une autre adresse (un compte email gratuit). L’escroc surveille les emails du contrôleur financier pendant une courte période. Rapidement, il identifie un message qui concerne une transaction financière suffisamment intéressante pour déclencher son attaque.
Utilisant des informations trouvées dans ce courrier électronique sous surveillance, il a créé un faux e-mail fournisseur, avec une en-tête Re : (Répondre à) pour détourner les réponses vers lui.
Exploitant son avantage, pendant les deux semaines suivantes l’escroc s’est inséré dans des conversations concernant d’autres transactions financières, usurpant d’abord l’identité d’une des parties, puis de l’autre, toujours en détournant les réponses vers sa propre adresse email. La véritable conversation email entre l’entreprise et son fournisseur était mentionnée dans l’email de l’escroc.
Lorsqu’on lui demanda pourquoi le compte bancaire du fournisseur se trouvait déplacé dans une banque étrangère peu connue, l’escroc joignit des images de documents signés « autorisant » le changement. Les lettres d’autorisation et les signatures avaient été récupérées sur des documents similaires attachés à des emails que le financier avait reçus précédemment.
Certains employés ont fini par se rendre compte de l’usurpation de leurs identités, et l’alarme a été donnée. Mais le fraudeur avait eu le temps de détourner une importante somme d’argent avant que son stratagème ne soit découvert.
Ainsi un malware, installé d’un clic malheureux sur le PC du contrôleur financier, a fourni à l’escroc une véritable table d’écoute des flux de l’entreprise, d’où le fraudeur a tiré les informations nécessaires pour monter son piège. Et sa capacité à usurper l’identité d’employés de l’entreprise et de leurs correspondants habituels lui a permis d’atteindre ses objectifs.
»

Comment lutter ?

Les entreprises constituent une nouvelle cible de choix pour les criminels, qui ont aujourd’hui les compétences et les outils pour monter de telles attaques combinées avec de sérieuses chances de succès. Car la solidité d’une organisation face à leurs agissements dépend de celle de son maillon le plus faible :

  • Côté informatique, il s’avère particulièrement difficile de garantir en interne une imperméabilité des systèmes, surtout dans un monde des affaires où l’agilité et la communication constituent deux conditions du succès… Beaucoup de PME pourraient ainsi passer au cloud et mutualiser ainsi leurs efforts de sécurité.
  • Côté humain, la sensibilisation est indispensable, et beaucoup d’entreprises françaises s’y prêtent, comme le rappelle l’enquête DFCG/Euler Hermes de 2017 : 89% des entreprises déclarent avoir mis en place un dispositif pour lutter contre la fraude sous forme de sensibilisation des équipes / formations internes. Elles étaient 63% en 2016. Encore faut-il multiplier les piqûres de rappel pour faire face au turnover du personnel.

Le zéro risque n’existe pas ; mais des assurances existent aujourd’hui pour garantir son entreprise contre la fraude, qu’elle soit interne, externe, cyber ou… tout à la fois.