Des courriels qui veulent votre bien

Des entreprises du monde entier deviennent victimes d’arnaqueurs qui prennent les identités de chefs d’entreprises. Au Canada, ceci veut dire que des milliards de dollars sont perdus chaque année.

En juin 2015, Ubiquiti Networks, une société de San José (Californie) spécialisée dans les communications sans fil, a déclaré dans son rapport trimestriel à la Securities and Exchange Commission (SEC) qu’elle s’était fait voler 46,7 M$ US dans le cadre d’une fraude par courriel, appelée notamment fraude ou escroquerie aux faux ordres de virement internationaux (FOVI) ou, en anglais, Business Email Compromise (BEC) scam.

« On a usurpé l’identité de certains de nos employés et adressé des demandes de fonds en leur nom à notre service des finances, a expliqué la société dans son rapport à la SEC. Cette fraude a donné lieu à des virements de fonds depuis notre filiale de Hong Kong vers d’autres comptes outre-mer détenus par des tiers. »

Robert Pera, fondateur et chef de la direction d’Ubiquiti, et propriétaire des Grizzlies de Memphis (NBA), n’a pas dévoilé les détails de l’affaire. L’entreprise a toutefois précisé qu’elle collaborait avec le FBI et qu’elle prévoyait récupérer au moins 15 M$ US.

Le cas Ubiquiti est loin d’être un cas isolé. En juin dernier, le FBI a émis un avis public faisant état d’une hausse phénoménale du nombre de « BEC scams ». L’avis relatait que, à l’échelle mondiale, les autorités de 100 pays et de chacun des États américains avaient reçu des plaintes concernant ce type de fraude. D’octobre 2013 à mai 2016, les autorités ont reçu des rapports de 22 143 victimes, dont les pertes totales s’élevaient à plus de 3,1 G$ US. De janvier 2015 à mai 2016, le FBI a constaté une augmentation de 1 300 % du nombre de victimes répertoriées et de pertes probables.

Une enquête de CBC News a révélé en novembre 2015 que les escroqueries aux FOVI faisaient perdre aux Canadiens des centaines de millions de dollars chaque année. « Le phénomène a pris subitement de l’ampleur en 2014, les pertes passant de presque nulles à 19 M$ », a déclaré à NBC Daniel Williams, du Centre antifraude du Canada (CAFC). « Selon une étude menée par le CAFC et par la police, moins de 3 % de ces fraudes sont rapportées. Par conséquent, les pertes sont sans doute beaucoup plus élevées, de l’ordre de 500 M$ à 1 G$. »

Habituellement, l’arnaque commence par l’envoi d’un courriel (dont l’auteur semble être le patron de l’entreprise visée) à un employé du service des finances, dans lequel le soi-disant patron demande à l’employé de virer des fonds. « Lorsque l’employé répond, l’auteur du courriel gagne sa confiance par la ruse et l’amène à virer une somme importante dans un compte d’une banque autre que celle de l’entreprise, explique Richard Greenane, conseiller TI en Irlande. C’est simple, mais très efficace. Un des trucs utilisés pour convaincre l’employé est de lui dire que quelqu’un va l’appeler pour lui donner les détails de la transaction. Évidemment, cet appel est aussi une duperie. »

Une telle escroquerie est habituellement perpétrée contre des entreprises « qui travaillent avec des fournisseurs étrangers ou qui effectuent régulièrement des virements électroniques », précisait le FBI dans son avis. Il arrive souvent que les fonds virés à des banques étrangères soient transférés plusieurs fois. « Les destinations finales de ces transferts sont généralement des banques situées en Chine et à Hong Kong. »

Depuis son apparition, ce type de fraude a évolué. Les criminels se font maintenant passer non seulement pour des chefs d’entreprise, mais aussi pour des avocats qui demandent un virement immédiat pour une transaction urgente.

Les victimes sont réticentes à expliquer comment elles ont été dupées, mais il ressort du peu d’informations qu’elles sont tenues de fournir en vertu de la réglementation qu’Ubiquiti est loin d’être la seule entreprise dans son cas.

Plus tôt cette année, FACC Operations GmbH, une société autrichienne qui fabrique des pièces d’avion pour Airbus et Boeing, a annoncé que des cyberfraudeurs avaient volé environ 50 M€ dans ses comptes bancaires, rapporte le site softpedia.com. La plus grande partie de l’argent, a-t-on appris plus tard, a été détournée vers des comptes bancaires en Slovaquie et en Asie.

En mai, FACC a annoncé qu’elle avait congédié son chef de la direction, Walter Stephan, en raison de cette arnaque qui lui avait fait perdre au total 52,8 M€, dont 10,9 M€ avaient déjà été récupérés (l’entreprise avait auparavant renvoyé son chef des finances). L’attaque a eu de graves répercussions pour FACC, qui « a déclaré des pertes totales de 23,4 M€ pour l’exercice financier, en grande partie à cause de la perte de 40,9 M€ due à l’arnaque en ligne », a rapporté le site Web. Depuis, la banque Crelan, de Belgique, a annoncé qu’elle aussi avait perdu plus de 70 M€ de cette façon.

Comment procèdent les fraudeurs? D’une part, ils emploient des techniques de manipulation pour obtenir des renseignements précis sur les sociétés ciblées (qui doit-on joindre, quel est le jargon de l’entreprise, etc.). D’autre part, ils exploitent la tendance des employés à répondre, souvent sans réfléchir, à une demande provenant du chef de la direction ou du chef des finances.

« Pourquoi les techniques de manipulation sont-elles si efficaces? Non pas parce que les gens sont stupides ou manquent de jugement, mais plutôt parce que, en tant qu’êtres humains, nous sommes tous vulnérables à la tromperie et que nous pouvons donc accorder notre confiance à un habile manipulateur », écrit Kevin Mitnick, ancien pirate informatique devenu conseiller en cybersécurité, dans son ouvrage L’Art de la supercherie. L’importance du facteur humain dans la sécurité informatique. « Le manipulateur anticipe la suspicion et la résistance, et il est toujours prêt à transformer la méfiance en confiance. Un bon manipulateur imagine son attaque comme une partie d’échecs, en prévoyant les questions que sa cible est susceptible de lui poser afin de préparer les bonnes réponses. »

Une tactique de manipulation courante consiste à flatter, à cajoler ou à intimider une victime au téléphone, jusqu’à ce qu’elle fournisse des informations comme des mots de passe de l’entreprise.

Le magazine Vice a interviewé l’un de ces fraudeurs rompus à la manipulation, qui a parlé sous le couvert de l’anonymat. Il a expliqué que la manipulation se faisait en grande partie par téléphone. « Les gens révèlent des renseignements personnels sans réfléchir, simplement parce qu’un interlocuteur leur demande quel type d’antivirus ils utilisent. »

Selon lui, la stratégie la plus efficace est l’humour. « Si j’arrive à faire rire une personne en 30 secondes, la partie est pratiquement gagnée. »

Avant d’appeler sa victime, il en trace d’abord le profil. Il obtient son nom par la réceptionniste. Il consulte ensuite les médias sociaux pour apprendre tout ce qu’il peut sur elle, puis utilise ces renseignements pour établir le contact. Par exemple, il a appris par les médias sociaux qu’une femme qu’il ciblait aimait la série télé Dexter. « Armé de ce genre de renseignement, a-t-il expliqué, il m’est plus facile de commencer à l’amadouer. »

Habituellement, les personnes ciblées par les arnaqueurs communiquent par courriels non cryptés avec les responsables des virements électroniques au sein de l’entreprise, selon le FBI.

La protection contre l’escroquerie aux FOVI commence par la mesure la plus évidente : sensibiliser tous les membres du personnel aux techniques de manipulation utilisées par les fraudeurs. Il faut offrir chaque année des séances de formation sur le sujet et intégrer de telles séances à l’initiation des nouveaux employés. Comme les arnaqueurs convoitent les mots de passe, il convient d’exiger qu’aucun employé, en aucun cas, ne communique un mot de passe par téléphone, encore moins par courriel. Un mot de passe ne doit être communiqué qu’en personne ou après une vérification rigoureuse de la légitimité du demandeur.

Tout aussi importante est la mise en œuvre de contrôles efficaces pour assurer la vérification des chèques entrants et le respect des modalités d’approbation des virements de fonds. Toutefois, ces contrôles sont inutiles si la culture de l’entreprise permet aux cadres supérieurs d’y passer outre. Si les fraudeurs apprennent que les dirigeants de telle entreprise ont l’habitude d’intimider leur personnel pour faire exécuter leurs ordres, ils cibleront cette entreprise.

Même si cela va à l’encontre des pratiques courantes, les sociétés devraient envisager de réduire l’utilisation du courriel pour effectuer leurs opérations financières. « Si vous devez utiliser le courriel, conseille Chubb Ltd., établissez une procédure de rappel téléphonique aux clients et aux fournisseurs pour tous les virements de fonds. »

Enfin, les sociétés seraient bien avisées d’évaluer leur vulnérabilité aux fraudes par courriel. Il est préférable de confier cette tâche à des spécialistes absolument fiables, chargés de simuler une arnaque à l’insu de tout le personnel, exception faite de quelques cadres supérieurs. Les résultats peuvent être rassurants ou démontrer la facilité avec laquelle des escrocs pourraient mettre en péril la sécurité de l’entreprise.

Grâce à la formation et à la mise en œuvre de contrôles efficaces, il devient beaucoup plus difficile pour les pirates informatiques de perpétrer une fraude aux FOVI.

À propos de l’auteur

David Malamed


David Malamed, CPA, CA•EJC, CPA (Ill.), CFF, CFE, CFI, est associé en juricomptabilité au cabinet Grant Thornton LLP à Toronto.

comments powered by Disqus

Faits saillants

Mettez vos connaissances à jour et élargissez votre réseau grâce à ce colloque à ne pas manquer (en anglais), qui porte sur les questions et tendances essentielles pour les membres des comités d’audit.

Dans votre entourage se tapit sûrement une personne surendettée. Si vous êtes observateur, vous reconnaîtrez l’un ou plusieurs de ces symptômes.