Au cours des dernières décennies, le monde industriel a subi une accélération extraordinaire. De nouveaux secteurs ont fait leur apparition (microélectronique, biotechnologies, énergies renouvelables, etc.) et cela grâce à l’essor de l’informatique et à la révolution d’internet. Cette toile qui relie les Hautes Ecoles et les Universités à travers le monde permet non seulement de partager le savoir acquis, mais aussi de contribuer aux nouvelles découvertes. La communication est instantanée et nous sommes désormais tous, entreprises et particuliers, dépendants de cette technologie révolutionnaire.
Par la force des choses, l’ère internet a inspiré de nouvelles vocations et engendré la cybercriminalité, dont les techniques d’attaque et d’escroquerie sont en constante évolution.
Selon une étude menée en 2018 par un cabinet d’audit de renommée internationale, il ressort que les détournements de biens (dans 51% des cas) et la cybercriminalité (dans 44% des cas) figurent parmi les risques financiers les plus élevés pour les entreprises en Suisse 1https://www.pwc.ch/en/insights/risk/global-economic-crime-survey.html .
Si le risque, pour une entreprise, de subir un détournement de fonds dépend de son système de contrôle interne, et plus précisément des contrôles automatisés ou des contrôles effectués par ses collaborateurs, donc l’humain, il n’en est pas moins pour les risques de cybercriminalité. De nombreux cybercriminels comptent sur le facteur humain pour contourner les sécurités informatiques.
Comment évaluer un risque lié à la cybercriminalité ?
En janvier 2016, le Département fédéral de la défense et le groupe de défense et d’aéronautique RUAG annonçaient aux médias avoir été piratés par un logiciel espion visant à faire de l’espionnage industriel. Approximativement, 200 jours se sont écoulés entre l’installation du logiciel espion et la découverte du piratage 2https://www.rts.ch/info/economie/7697872-piratage-informatique-contre-ruag-et-le-departement-federal-de-la-defense.html .
Le risque d’une attaque cyber dépend de la sensibilité des informations détenues par l’entreprise, mais aussi du contexte dans lequel elle opère. Un hôpital, par exemple, ne détient pas de secrets de fabrication, mais plutôt des fichiers confidentiels relatifs aux patients. Une attaque visant à chiffrer les fichiers pourrait mettre en péril la vie des patients, mais aussi la réputation de l’hôpital.
A l’origine, les pirates informatiques s’intéressaient aux informations sensibles détenues par les entreprises, susceptibles d’être revendues au plus offrant sur le darknet. De nos jours, les attaques touchent également les particuliers. Le but des cybercriminels est d’installer des malwares pour empêcher l’accès aux fichiers et obtenir ainsi une rançon contre restitution des fichiers 3https://www.rts.ch/play/tv/a-bon-entendeur-signe/video/cybersecurite-surfez-proteges–signe-2019?id=10342026 .
Mais comment y parviennent-ils ?
En août 2014, La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI informait le public qu’elle avait reçu plusieurs annonces de petites et moyennes entreprises suisses ayant subi des tentatives d’escroquerie par le biais des méthodes d’ingénierie sociale, appelée aussi «social engineering» 4https://www.melani.admin.ch/melani/fr/home/documentation/lettre-d-information/recrudescence-d_attaques-utilisant-des-methodes-dingenierie-soci.html .
L’ingénierie sociale, de quoi s’agit-il ?
L’ingénierie sociale est une technique d’attaque qui vise à exploiter les vulnérabilités humaines. Le but est de gagner la confiance des victimes afin d’obtenir des informations confidentielles comme leur mot de passe, ou de leur faire effectuer des actions comme des transferts d’argent.
Dans un premier temps (pour la partie ingénierie), le criminel recueille et analyse des informations sur l’entreprise afin de construire des méthodes sophistiquées d’attaques (secteur d’activité, postes clés, modèles utilisés pour les adresses e-mails). Des renseignements qu’il trouvera facilement sur le site de l’entreprise. Si nécessaire, il complétera les informations manquantes par la prise de contact avec un collaborateur de l’entreprise 5Ref. 4 .
En règle générale (pour la partie sociale), le criminel contacte un collaborateur de l’entreprise sous un faux prétexte. Pour établir un climat de confiance, le criminel tente de développer des relations au travers de conversations, d’échanges d’e-mails ou de contacts par le biais des réseaux sociaux. Il peut aussi se présenter comme un prestataire de services informatiques, un prestataire réseau, une banque, un dirigeant d’entreprise, une entreprise de recrutement. Pour arriver à ses fins, le criminel privilégiera le choix d’un collaborateur ne faisant pas partie de la direction.
Comment les cybercriminels opèrent-ils ?
Les cybercriminels disposent de nombreux moyens afin d’entrer en contact avec leur victime. En voici les grandes lignes :
Par téléphone, le but étant d’obtenir le plus rapidement possible un maximum d’informations sur l’entreprise.
Par e-mail, l’objectif étant de faire ouvrir une pièce jointe ou cliquer sur un lien dont l’URL redirigera le collaborateur sur un site infecté.
Par une clé USB, afin de contaminer le système par un virus (pour mémoire, un virus va altérer les fichiers, ce qui causera la perte des données).
Par une prise de contact directe, le but étant de commettre une escroquerie. Le collaborateur reçoit un e-mail imitant l’adresse d’un dirigeant de l’entreprise (faux dirigeant). Le faux dirigeant va demander dans son courriel d’effectuer un transfert d’argent pour un objectif de nature confidentielle et urgente. Pour appuyer le scénario, le collaborateur reçoit un appel du faux dirigeant, ce dernier va l’empresser d’effectuer le transfert dans la plus grande discrétion. Le collaborateur, tenu par le caractère confidentiel de cette demande, ne va pas en vérifier la légitimité et effectuera le transfert.
C’est ainsi que Gilbert Chikli, considéré comme l’inventeur de l’arnaque au faux Président, a réussi à détourner 7,9 millions d’euros à des entreprises telles que : Accenture, Alstom, HSBC, la Banque postale, le Crédit lyonnais et Thomson Technicolor6 https://www.nouvelobs.com/justice/20171201.OBS8287/gilbert-chikli-le-roi-de-l-arnaque-cerne-par-les-affaires.html .
Quels sont les moyens de prévention ?
Si vous êtes une entreprise
La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI recommande aux entreprises suisses les règles de bases suivantes :
- Mettez en place des formations de prévention du personnel relatives à ces phénomènes, notamment pour les postes clés 7https://www.melani.admin.ch/melani/fr/home/documentation/lettre-d-information/recrudescence-d_attaques-utilisant-des-methodes-dingenierie-soci.html .
- Sensibilisez les collaborateurs à la nécessité que chacun respecte les processus et les mesures de sécurité définis par l’entreprise. Il est notamment recommandé de prévoir, pour tout virement, le principe des quatre yeux avec une signature collective à deux 8Ref. 7 .
- N’indiquez jamais sur le site internet de votre entreprise les adresses nominatives des membres de la direction ou de vos collaborateurs 9https://www.melani.admin.ch/melani/fr/home/documentation/rapports/rapports-sur-la-situation/rapport-semestriel-2018-2.html .
- Installez un système de sauvegarde (back-up) et vérifiez périodiquement la fiabilité des sauvegardes de vos systèmes informatiques.
Si vous êtes un particulier
Les méthodes des cybercriminels sont de plus en plus sophistiquées et trouver un mot de passe pour accéder à vos différents comptes (LinkedIn, Facebook, etc.) ne représente plus un défi pour eux. On peut partir du principe qu’il ne vaut pas la peine de se protéger si l’on n’a rien de spécial à cacher. Mais nous ne sommes pas seuls… Ce n’est jamais agréable, lorsque vos amis commencent à recevoir des messages de votre part leur demandant de l’argent parce que vous êtes soi-disant dans une situation difficile.
Voici quelques indications sur les précautions à prendre :
Téléphone
Lorsque le contact vous semble douteux ou inhabituel, ne donnez aucune information et ne procédez à aucune action 10Ref. 7 .
Lorsque vous recevez un email suspect ou inhabituel, n’ouvrez jamais les pièces jointes.
Le cas échéant, vérifiez la présence de virus dans les fichiers attachés en soumettant ces derniers à un détecteur de virus. Certains sites web proposent ce type de service gratuitement (ex. www.virustotal.com/old-browsers/).
A noter qu’un virus qui est nouveau sur le marché ne pourra pas être détecté dans ses premières heures d’existence. D’où l’importance de ne pas se fier aveuglément aux premiers résultats obtenus, mais plutôt de soumettre à nouveau le fichier au détecteur de virus 24 heures plus tard.
Il en est de même pour un raccourci proposé dans un e-mail. Il est possible de s’assurer que le lien n’est pas corrompu en effectuant une vérification d’expansion URL (ex. www.expandurl.net) ou de vérifier le détenteur du nom de domaine à l’aide de l’outil WHOIS (http://itools.com/tool/domaintools-whois par ex.). Lorsque vous effectuez cette opération, soyez particulièrement vigilant à ne pas cliquer sur le lien, mais plutôt à sélectionner le lien.
Clé USB
Lorsque vous ignorez la provenance d’une clé USB, n’insérez jamais cette dernière sur un ordinateur, qu’il soit privé ou relié au réseau de l’entreprise.
Mots de passe
Pour une meilleure sécurité de vos différents comptes (LinkedIn, Facebook, Google mail…), choisissez un mot de passe assez long, facile à retenir et qui ne se trouve pas dans un dictionnaire. Idéalement, il devrait contenir au moins dix caractères, avec des caractères spéciaux et des chiffres. Pour créer un mot de passe efficace et facile à retenir, sélectionnez deux mots et rajoutez-y des chiffres et des caractères spéciaux 11https://www.laliberte.ch/news/la-cybersecurite-et-vous-les-conseils-de-paul-such-484892 .
Utilisez un mot de passe différent pour chaque prestataire de services, ainsi si l’un de vos comptes est piraté le même mot de passe ne pourra pas être utilisé partout.
Pour vous faciliter la vie, servez-vous d’un gestionnaire de mots de passe tel que : Keepass, 1password, Lastpass ou Dashlane 12Ref. 11 .
Identifiant à deux facteurs
Pour améliorer la sécurité de vos différents comptes (LinkedIn, Facebook), il est possible de mettre en place un identifiant à deux facteurs (comme exemple, l’identifiant à deux facteurs est déjà utilisé par les banques lors des connexions e-banking) 13Ref. 11 .
Un identifiant à deux facteurs permet de rajouter une couche supplémentaire de sécurité, en plus de votre mot de passe. Dès que vous entrez votre mot de passe auprès de votre prestataire de services, vous êtes invité à saisir un nouveau code d’identification par le biais de votre téléphone mobile. Le pirate ne pourra pas accéder à votre compte LinkedIn ou Facebook sans le code reçu sur votre téléphone mobile 14https://www.youtube.com/watch?v=-Gf_5HroWvM .
Parmi les sites les plus recommandés concernant les identifiants à deux facteurs, vous trouverez https://pixelprivacy.com/resources/two-factor-authentication.
Pour terminer, que vous soyez une entreprise ou un particulier, effectuez les mises à jour proposées par les logiciels de vos outils professionnels et privés (ordinateur ou Android). Vous éviterez ainsi qu’un cybercriminel exploite les failles de sécurité des softwares, qui sont corrigées lors des mises à jour.
Utilisez un antivirus, il vous permettra de :
- détecter les logiciels d’hameçonnage (phishing)
- détecter les fichiers et sites infectés
- vous protéger contre les rançongiciel (ransomware) 15Ref. 3 .
Selon le MELANI, tout indique qu’il y aura de nouvelles vagues de courriels frauduleux et que le nombre d’escroqueries de ce type va aller croissant. En sensibilisant vos collègues, vos connaissances et vos proches à ces stratagèmes, vous éviterez peut-être qu’ils en deviennent victimes à leur tour. Discuter de cette thématique avec votre entourage professionnel et personnel, c’est participer activement à la prévention liée à la cybercriminalité 16Ref. 9 .
