Vie quotidienne, contexte professionnel, économie… Les nouvelles technologies prennent de plus en plus de place dans notre société. Cette situation favorise le développement de la cyberfraude, qui continue son inquiétante progression au classement des tentatives de fraude. Le commissaire François Beauvois, spécialiste du sujet, dépeint avec précision le panorama de la cyberfraude.

Comment définiriez-vous la cyberfraude ?
On parle de cyberfraude lorsque est commise une infraction dont l’élément informatique est l’outil ou la finalité. Il peut par exemple s’agir de piratage informatique, ou du blocage de l’accès à un site marchand pour ensuite réclamer une rançon. Le panorama des cyberfraudes évolue constamment, à l’image de ses auteurs, habitués à évoluer dans un univers technologique en perpétuelle mutation. Parmi le vaste panel des cyberfraudes actuellement observées, certaines frappent plus particulièrement les entreprises françaises, comme l’extorsion.

Pouvez-vous nous en dire plus sur ce type de cyberfraude ?
L’extorsion est une forme très répandue de fraude du fait de son faible coût, et des fortes marges qu’elle dégage. Elle a été largement popularisée grâce à l’émergence des outils d’anonymisation (mails anonymes, crypto-monnaies), nécessaires à ce genre d’activité. Le déni de service est par exemple une forme d’extorsion. Il consiste à solliciter massivement un serveur afin de le saturer : lorsque le nombre de requêtes dépasse les capacités de réponse du serveur, celui-ci n’est plus en mesure de répondre, et, du point de vue de l’utilisateur, le site Internet consulté ne répond plus. En parallèle de cette attaque, les cybercriminels procèdent à une demande de rançon : ils réclament une forte somme d’argent pour faire cesser l’attaque ou éviter qu’elle ne se reproduise. La victime est alors contactée par l’auteur via un service de mail anonyme utilisant le réseau Tor, donc quasiment intraçable. La rançon est généralement exigée en bitcoins ou toute autre monnaie anonyme.

Techniquement, comment fonctionne la cyber-extorsion ?
La victime reçoit un mail frauduleux dont la forme est en tout point conforme aux standards pratiqués dans le milieu professionnel (pas de fautes d’orthographe, pièce jointe type facture format Office, ton approprié), et l’ouvre. Pour pouvoir activer sa charge malveillante, le pirate a besoin de l’activation des macros, des mini-programmes informatiques, sous Microsoft Office. Alors, plutôt que d’employer des artifices complexes, le pirate se contente de demander poliment à la victime de faire le travail. Et ça fonctionne ! La victime, qui veut satisfaire sa curiosité, active les macros, qui téléchargent le logiciel malveillant. Ce logiciel va rendre inutilisables tous les fichiers de type Office, Adobe Reader, et autres, que ce soit sur le disque dur de la machine, les lectures réseau ou bien les services Cloud (Google Doc, Dropbox). Pendant ce temps, le programme prend aussi le contrôle de l’ordinateur et empêche l’utilisateur d’agir en bloquant le clavier. Un message de demande de rançon s’affiche : la marche à suivre pour payer en crypto-monnaie est détaillée. L’utilisateur est alors enjoint de payer la rançon s’il veut que lui soit communiquée la clé de déchiffrement, seul moyen pour lui de pouvoir récupérer ses fichiers de travail. L’intérêt de cette fraude est qu’elle est relativement simple à mettre en œuvre (système de diffusion, serveurs d’envoi de clé de déchiffrement, wallet bitcoin) et donc très rentable. Les noms de ces logiciels malveillants sont actuellement Petya, Locky, Cerber et maintenant Zepto.

Connaît-on d’autres types de cyberfraude qui peuvent inquiéter les entreprises françaises ?
Une autre forme de fraude plus élaborée est le malware dit bancaire. Son mode de propagation est similaire à celui du rançongiciel présenté ci-dessus : un mail infecté dont les macros insérées dans la pièce jointe vont télécharger une charge active. Toutefois, son fonctionnement est plus subtil et insidieux. L’objectif des malwares bancaires est de voler des données. Toutes les formes de données saisies par l’utilisateur vont pouvoir être capturées : touches tapées sur le clavier, clics sur les sites Internet et claviers virtuels, consultations web transitant par le navigateur, etc. L’objectif pour le fraudeur est de voler le maximum d’informations monétisables : informations bancaires, identifiants/mots de passe de comptes bancaires en ligne. Cela suppose une structure beaucoup plus lourde que dans le cas des rançongiciels. Les données sont envoyées à des exécutants qui se connectent sur les comptes en ligne pour procéder à des virements frauduleux sur des comptes bancaires de prête-nom, les «mules». Ces personnes sont des complices plus ou moins conscients du dispositif. Le profil va de la personne en situation de détresse financière qui accepte un travail bien rémunéré à l’individu malhonnête parfaitement conscient des implications de ses actes. L’argent est ensuite collecté en liquide par un «superviseur» responsable d’un cheptel de mule. Enfin, l’argent est transféré par virement et blanchi selon divers procédés (achats de smartphones coûteux, voire de manteaux de fourrure). On le voit, un tel dispositif n’est pas à la portée du malfrat du dimanche. Seule une structure criminelle organisée et pérenne peut se permettre d’entretenir un tel système. Toutefois, les gains semblent être à la hauteur de l’investissement. Un exemple type de ce genre de fraude est le malware Dridex.

Observez-vous le développement de nouvelles formes de cyberfraude ?
Les nouvelles formes de cyberfraude résident plus dans leurs modalités : le crime devient un service. Le hacker qui a programmé son malware va le tester sous des formes spécifiques (service payant, sous-traité), puis le vendre au moyen d’un système de licence. L’utilisateur final pourra acheter, en plus du malware, la prestation de diffusion (elle aussi fournie par un autre acteur). Le marché est similaire à celui de l’économie classique dont il s’inspire : sous-traitance et retour sur investissement.

Quels conseils donneriez-vous aux entreprises pour faire face à la cyberfraude ?
Plusieurs types de mesures permettent de se protéger contre la cyberfraude. Elles peuvent être :

  • Structurelles : mettre en place un système de sauvegarde des données hors ligne, installer une sécurité minimum : antivirus, pare-feu et les maintenir à jour. Cela ne demande pas de lourds investissements mais l’implication d’au moins deux personnes est indispensable pour assurer une couverture toute l’année.
  • Financières : traiter ce risque comme les autres : provisions, assurance ou autre.
  • Ressources humaines : sensibiliser le personnel sur les bons réflexes à avoir, comme traiter tout mail d’une source inconnue avec prudence. En cas de comportement suspect de la machine ou de doute, débrancher la prise réseau de la machine ou la prise électrique et évoquer le sujet avec une personne compétente.