L’imagination des hackers fourmille d’idées pour soutirer toujours plus d’argent aux entreprises et il semblerait que leur nouvelle arme soit l’usurpation d’identité, à tel point qu’elle couterait encore plus cher que le rançongiciel, technique déjà bien rodée. De quoi s’agit-il ? Comment s’en prémunir ? Toutes les réponses pour savoir y faire face.
La menace la plus coûteuse de toutes les activités cybercriminelles
Il est impossible de savoir combien d’entreprises françaises en ont été touchées et il suffit de peu de victimes pour rentabiliser ce genre d’attaque, nous disent les experts. L’Autorité de contrôle prudentiel et de résolution (ACPR) avait déjà tiré la sonnette d’alarme en juin sur une vague d’usurpation d’identité de ses employés dans le but de collecter le fichier clientèle d’intermédiaires du secteur financier.
Tous les secteurs sont touchés, mais les plus ciblées sont les sociétés prestataires ayant beaucoup d’interactions avec d’autres entreprises ou les grands groupes avec beaucoup de sous-traitants. En France Chronopost, SFR ou le Carré Haussmann ont récemment été visés.
Cette recrudescence se confirme largement à l’international et le FBI américain ferait même état d’1,8 milliard de dollars de pertes pour les entreprises en 2019, plaçant l’usurpation d’identité en tête des menaces les plus couteuses parmi les activités cybercriminelles. On pense que 2020 sera encore pire puisque les demandes déposées pour ces attaques ont progressé de 67 % au premier semestre 2020. Les plus pessimistes affirment même que le nombre d’attaques de ce type va doubler chaque année d’ici à 2023, faisant plus de 5 milliards de dollars de pertes pour les entreprises.
Une attaque, simple dans son principe et sophistiquée dans son exécution
Appelées en anglais BEC (Business Email Compromise), le principe de ce type d’attaques est d’accéder aux boîtes mail professionnelles d’employés à des postes clé d’une entreprise, de prendre le temps d’étudier leurs habitudes, leur façon de s’adresser à leurs interlocuteurs, et au bon moment de s’interposer discrètement au milieu d’une transaction pour la détourner à son profit, en se faisant passer pour l’employé en question.
Nul besoin de logiciel malveillant pour ce type d’attaque, ni de matériel compliqué, tout repose donc sur l’ingénierie sociale, c’est-à-dire la bonne connaissance de sa victime. C’est au niveau de l’humain que l’attaque révèle toute sa sophistication puisque pour réussir l’attaque, le cybercriminel doit s’insérer dans une chaîne de mails professionnels, où la confiance est de mise entre interlocuteurs.
Un point commun : le sentiment d’urgence et la demande d’informations sensibles
Si la forme des cyberattaques par usurpation d’identité varie, 2 ingrédients communs sont identifiables : le sentiment d’urgence et la demande d’informations sensibles. Ainsi une attaque récente contenait dans son courriel, demandant l’envoi de documents, les termes suivants : « Tout refus de coopération sera sanctionné par une amende fiscale prévue à l’article 1734 du code général des impôts ». Avec une adresse ressemblant fortement à une vraie adresse du gouvernement, dans l’urgence il est facile de se laisser duper et d’envoyer les fameux documents requis qui permettront aux hackers de s’immiscer dans les messageries professionnelles des prestataires, en se faisant passer pour leur banque.
D’autres se sont fait piéger à partir d’un soi-disant mail de la Direction générale des finances publiques, prétextant une enquête annuelle de vérification sur le respect des conditions Sepa, le courriel leur réclamant des informations et des documents sur leurs trois principaux clients réglant leurs prestations par des virements Sepa.
Pour prévenir ce genre d’attaque, vous devez évidemment renforcer l’infrastructure de messagerie et en revoir les procédures internes mais surtout mener une vraie campagne de sensibilisation des collaborateurs, afin d’identifier les personnes qui peuvent être ciblées.
Les services les plus visés sont les ressources humaines, la direction financière, la comptabilité, la facturation, puisqu’ils ont accès au système de paiement ou qu’ils peuvent modifier des informations sensibles. Ils doivent donc redoubler de vigilance et faire l’objet d’un accompagnement spécifique de cyberprévention.
