Usurpation d’identité 3.0 : les évolutions à prévoir

par Éric Filiol
ESIEA – Laboratoire (C + V)O

Vous êtes le DAF d’une entreprise et votre directeur général vous contacte pour vous demander de faire un virement urgent concernant une opération tout aussi secrète qu’elle est vitale pour l’entreprise. Il est en déplacement professionnel, il vous donne moult détails qui semblent confirmer son identité, sa voix est bien la sienne. Ce scénario maintenant bien rodé est celui utilisé par certaines mafias, essentiellement israéliennes, pour usurper l’identité d’un directeur général et provoquer un virement illégitime, mais perçu par la victime comme légitime.

Si ce scénario et ses principales variantes sont de plus en plus connus par un nombre croissant d’entreprises, nombreuses sont celles qui se font encore avoir chaque année avec souvent des conséquences dramatiques [1]. De l’entreprise du CAC 40 aux PME, toutes sont concernées et régulièrement touchées. Dans un pays comme la France qui, de plus, met en danger constant les entreprises en les obligeant à publier leurs comptes, élaborer de telles attaques devient encore plus facile. Notre pays est l’un des rares à imposer cette mesure non seulement stupide et inutile – d’autres pays économiquement plus solides et actifs ne la pratiquent pas –, mais également dangereuse. Non seulement elle porte atteinte aux intérêts mêmes de l’entreprise, notamment face à leurs concurrents étrangers, mais elle donne une cartographie fonctionnelle et économique de l’entreprise aux attaquants lors de la nécessaire phase de renseignement. Les renseignements qu’il est possible ainsi d’avoir, permettent de comprendre assez finement l’entreprise (aspect descriptif), mais aussi de deviner et de prédire certaines évolutions (aspects différentiel ou prédictif).

 

L’usurpation d’identité ne concerne plus seulement les dirigeants, mais également les fournisseurs (introduction de RIB frauduleux), de prestataires techniques ou opérationnels (service expédition par exemple dans le cas du vol de fret)… Les possibilités sont quasi infinies et la créativité opérationnelle des attaquants semble sans borne.
Récemment une entreprise d’un pays francophone, qui pensait être particulièrement sensibilisée et avoir mis en place toutes les procédures nécessaires a cependant été victime d’une telle arnaque. Pourquoi ? La DAF avait reçu cette demande (et cet ordre) par visio-conférence (Skype), canal, qu’elle et son dirigeant utilisaient quelquefois pour communiquer notamment pour des virements importants et urgents, quand le dirigeant était en déplacement. Ce jour-là, son dirigeant la contacte par ce medium et elle ne se doute pas qu’en réalité elle a affaire avec un sosie – semble-t-il suffisamment crédible pour ne pas l’alerter –, imitant parfaitement la voix de son dirigeant et au fait de nombreux détails que ce soit de la vie de l’entreprise ou de sa propre vie personnelle. Le virement est fait. Le préjudice est de plus d’un million d’euros. Ce cas, encore rarissime, a connu au moins un précédent en mai 2017 [2] visant notamment une grande entreprise française travaillant essentiellement à l’international.

 

Il est à craindre que dans un avenir assez proche les attaquants vont adopter des moyens et approches plus industrielles. Les technologies de réalité virtuelle sont devenues matures, abordables et suffisamment saisissantes pour leurrer plus d’un DAF. Ajoutées aux technologies de synthèse vocales qui elles aussi ont considérablement évolué, les attaquants disposeront d’une arme puissante qui fera des dégâts. Certains échangés observés tant sur des forums du Darkweb que sur des forums spécialisés d’internet sont autant de prémices indiquant qu’il s’agit juste d’une question de temps – probablement compté — avant de voir ces nouvelles formes d’attaques.

 

Il est essentiel de rappeler que, quelle que soit la forme de l’attaque, elle suit toujours trois étapes :

• Une phase de renseignement préalable souvent élaborée mêlant techniques de renseignement en sources ouvertes, de renseignement technique et humain. On ne dira jamais assez le danger de cette STASI volontaire, de ces véritables réseaux d’espionnage collaboratif que sont les réseaux sociaux généralistes (Facebook, Google+ ou autre), mais aussi professionnels (LinkedIn [3], Viadeo). Lors d’audit d’entreprises – qui incluent systématiquement cette phase de renseignement — j’ai été sidéré par la quantité d’informations directes et indirectes que l’on peut récolter sur les entreprises, mais également sur ceux qui y travaillent. Il existe pourtant des signaux faibles et avant-coureurs que les entreprises devraient identifier et analyser. La plupart ne le savent pas ni ne sont sensibilisées à ces techniques et à ces dangers. Cette phase est la plus critique. C’est essentiellement d’elle que dépend le succès de l’attaque.

• Une phase de planification. Si l’attaquant est imaginatif et surtout professionnel, il aura pris soin de prévoir des « variantements » pour s’adapter aux réactions de la cible et réussir malgré tout son attaque.

• L’opération proprement dite qui peut comporter plusieurs étapes et plusieurs acteurs.

 

Il est donc essentiel d’avoir conscience de ces attaques et de mettre en place des bonnes pratiques, adaptées aux évolutions des attaques par usurpation d’identité. Les principales sont les suivantes :

• Mettre en place des procédures internes concernant les virements ou toute opération concernant des flux financiers (gestion des RIB de fournisseurs par exemple), les appliquer et les tester. En particulier, privilégier les mesures de vérification systématique par un canal dédié et connu seulement par les personnes concernées au sein de l’entreprise. À partir d’un certain montant (dépendant de l’entreprise), valider par rencontre physique, toute opération de virement.

• Former et sensibiliser régulièrement les équipes DAF, RH et toute personne ayant un rôle de dans la chaîne de communication de l’entreprise (secrétaire, assistante de direction, standardiste…). Ces personnes sont très souvent contactées par les auteurs de ces attaques, lors de la phase de renseignement préparatoire.

• Former les utilisateurs au bon usage des moyens informatiques mis à leur disposition. En particulier, tout poste informatique à partir duquel sont réalisées des opérations de virements et de paiements doit être réservé à cet usage (supprimer les fonctions annexes comme la messagerie), sécurisé physiquement et audité régulièrement. Récemment j’ai pu observer des attaques par logiciels leurre (imitant la bannière de connexion d’un logiciel de paiement) arrivée par la pièce jointe d’un mail. Hors opérationnalisons de paiement ces postes doivent rester déconnectés du réseau et mis sous clef.

• Sensibiliser largement les personnels aux dangers des réseaux sociaux ainsi qu’à la protection de l’information. Il est essentiel de rappeler que le contrat de travail implique l’obligation de discrétion professionnelle. Le rappeler explicitement dans une « Attestation de responsabilité concernant l’usage des moyens informatiques » (terme préférable à la dénomination de « charte informatique »), signée par chaque salarié à l’issue d’une session spécifique de formation, est fortement conseillé.

• Ne pas publier l’organigramme de l’entreprise pour ne pas faciliter la collecte d’informations. Configurer également les logiciels communiquant vers l’extérieur (messagerie en particulier) pour ne pas renvoyer de messages d’erreur qui pourraient permettre, par déduction, de faire du renseignement (destinataire de messagerie invalide par exemple).
• Demander à l’ensemble des salariés de faire remonter sans délai à la hiérarchie tout fait « anormal ».

• Ne jamais s’écarter des procédures de l’entreprise, lesquelles doivent être communiquées par contact direct lors de sessions de formation annuelles et en comité restreint. Ces procédures doivent inclure des consignes précises de vérification par un canal tiers, direct et connu des seuls acteurs légitimes, dûment enregistrés, des opérations sensibles.

• En cas de demandes s’écartant des procédures, demander systématiquement un numéro de téléphone FIXE et/ou une adresse email PROFESSIONNELLE (exclure les adresses en Gmail. Hotmail…) vers lequel rappeler. Il est important de vérifier ou faire vérifier ces coordonnées. Ne jamais céder à l’urgence !

• La direction doit favoriser les vérifications de la part du personnel. C’est un point important car les attaquants savent identifier les dirigeants qui imaginent que le management dictatorial est efficace. Or ce type de « management » dissuade souvent les salariés de prendre le risque de demander une telle vérification. Un bon manager doit être bienveillant.
• Établir des procédures avec la banque selon le même modèle que celui susmentionné.

• Ne jamais communiquer aucun identifiant (login, mot de passe) par un canal quelconque.

• Sécuriser les réseaux de communication (dans certaines attaques d’usurpation d’identité de fournisseur, les attaquants modifiaient les pièces jointes d’emails, à la volée pendant une transmission non sécurisée). Cela doit inclure les matériels spécifiques de téléphonie (autocomm, PABX/IPBX, boites vocales…) pour s’assurer que l’attaquant ne peut pas en prendre le contrôle.

 

 

Quelles que soient les évolutions des attaques par usurpation d’identité, il est important de comprendre que des règles simples peuvent quasi systématiquement les déjouer. Il suffit d’être sensibilisés, d’avoir mis en [place une véritable stratégie d’entreprise) et des procédures adéquates. On ne rappellera jamais assez que ce n’est pas tant la force des attaquants qui est déterminante, mais la faiblesse, souvent extrême, des victimes

 

 

[1] https://www.sudouest.fr/2016/02/01/a-niort-41-salaries-ont-perdu-leur-emploi-a-cause-d-une-arnaque-au-faux-president-2259763-705.php
[2] http://www.liberation.fr/planete/2017/05/12/ils-ont-escroque-des-millions-d-euros-en-se-faisant-passer-pour-le-drian_1569090
[3] https://www.bbc.com/news/world-europe-42304297