Canada | Fraude

Comment se protéger des plus récentes arnaques par courriel

Les arnaques du type « fraude du président » seraient devenues une menace plus courante que les attaques par rançongiciel.

A Facebook IconFacebook A Twitter IconTwitter A Linkedin IconLinkedin An Email IconCourriel

Homme d'affaires ciblé travaillant à l'ordinateur portable au caféLes pirates informatiques trouvent des moyens de s’infiltrer dans les boîtes courriel professionnelles en décodant les noms d’utilisateur et les mots de passe et en ratissant les comptes de courriel à la recherche d’information confidentielle (Getty Images/Milton Brown)

Qu’il s’agisse de subtiliser de l’information commerciale confidentielle ou de se faire passer pour un grand patron ou un collègue, les pirates informatiques utilisent divers subterfuges qui, bien souvent, passent par nos boîtes courriel professionnelles, principales cibles des cyberattaques selon les statistiques.

Un rapport publié par la société d’assurances et de services financiers AIG fait ressortir que la « fraude du président » – escroquerie aux faux ordres de virement – a dépassé la fraude par rançongiciel comme principal type de cybermenace ayant touché les entreprises en 2018. Ces escroqueries seraient à l’origine de 23 % des demandes d’indemnisation dans le secteur commercial, comparativement à 11 % en 2017.

Nombre d’incidents font les manchettes. Au Canada, le pire cas d’atteinte à la sécurité des données à ce jour a été révélé en juillet dernier : l’émetteur de cartes de crédit Capital One a été victime d’une opération de piratage au cours de laquelle les données personnelles d’environ 6 millions de Canadiens (dont 1 million de numéros d’assurance sociale) et de 100 millions d’Américains titulaires d’une carte de crédit ont été compromises.

« Les mesures de défense contre les attaques informatiques sont si évoluées que les malfaiteurs ont cru bon de revenir à une méthode simpliste, soit celle de l’imposture, qui n’a rien à voir avec la technologie », explique Claudiu Popa, conseiller principal en analyse de risques chez Informatica. « Si je ne peux pas faire tomber le pare-feu logiciel, peut-être vais-je réussir à déjouer la méfiance d’êtres humains », se disent les pirates.

Se maintenir au niveau de machiavélisme des escrocs demeure un défi, ajoute M. Popa, qui mentionne que les réseaux de cybercriminels ne cessent de croître et de gagner en complexité, avec des acteurs qui rivalisent d’ingéniosité pour exploiter les failles et réussir des coups d’éclat.

« Les pirates informatiques sentent une pression pour impressionner leurs pairs de partout dans le monde et prouver leur valeur, si on peut s’exprimer ainsi. Même si l’objectif est de faire de l’argent, les moyens pour y parvenir sont grandement liés à l’adrénaline que la concurrence procure et, aussi, au principe de l’offre et la demande. »

Comment les entreprises peuvent-elles se prémunir contre ces menaces croissantes? « Comprendre ce qui se passe sur le Web devient très compliqué », s’inquiète Imran Ahmad, expert en cybersécurité. « Souvent, au moment où on cerne quelque chose de louche, les dommages ont déjà été causés. »

Pour réduire autant que possible le risque de cyberattaque, MM. Popa et Ahmad suggèrent aux entreprises et à leurs employés de suivre ces conseils.

1) FORMEZ VOS EMPLOYÉS

Les pirates informatiques trouvent des moyens de s’infiltrer dans les boîtes courriel professionnelles – p. ex. quand des employés sont en télétravail – en décodant les noms d’utilisateur et les mots de passe et en ratissant les comptes de courriel à la recherche d’information confidentielle, explique M. Ahmad. « Dans la boîte de réception, ils seront à l’affût de termes comme facture et carte de crédit. Après avoir subtilisé les données qu’ils recherchent, ils commettent des méfaits. »

Voilà pourquoi l’adhésion des employés aux règles de sécurité est importante, ajoute M. Popa, car on sait qu’une gaffe majeure risque de mener à la faillite, en raison des pertes financières et des dommages à la valeur de la marque pouvant découler d’une atteinte à la sécurité des données. L’expert recommande d’instaurer chez le personnel une sensibilité aux diverses « cybersituations ». Outre les systèmes de surveillance et de détection, et l’expertise développée à ce jour, la formation continue à la cybersécurité contribue à ce que les employés restent sur leurs gardes.

« Les employés sont le pare-feu humain; ils sont la première ligne de défense, rappelle M. Popa. Ils doivent constamment faire preuve de vigilance, être au courant des menaces et être outillés pour prendre d’importantes décisions. »

2) INSTAUREZ L’AUTHENTIFICATION À PLUSIEURS FACTEURS

Les mots de passe à eux seuls ne suffisent pas; ils sont relativement faciles à casser ou à contourner, soutient M. Ahmad. Une fois entrés dans une boîte courriel, les pirates en profitent pour diffuser du pourriel aux listes entières de contacts qui s’y trouvent. Ainsi, ils peuvent se faire passer pour le PDG de l’entreprise, ou encore un cadre supérieur des finances ou des TI, et demander aux destinataires de cliquer sur un lien (ou d’ouvrir un fichier), ce qui leur permettra de décoder d’autres mots de passe et d’accéder à d’autres boîtes de réception. Ils pourraient ensuite créer de faux comptes, se faire passer pour un employé de l’entreprise et demander au destinataire d’un courriel de virer des fonds ou d’apporter des modifications indues à des comptes.

L’utilisation de l’authentification à deux facteurs (2FA, dans le jargon) ajoute une couche de sécurité, car cette mesure exige que les employés fournissent leur nom d’utilisateur, leur mot de passe et un jeton d’identité au moment d’accéder à une boîte de courriel, particulièrement lorsqu’ils sont ailleurs qu’au bureau. « C’est une solution simplissime, affirme M. Ahmad, qui réduit la quasi-totalité des problèmes de ce genre. »

Un bémol, toutefois : les auteurs d’attaques par hameçonnage sont de plus en plus habiles à mettre la main sur les codes 2FA, car ils trouvent moyen de faire en sorte que les utilisateurs les leur transmettent malgré eux (par courriel, téléphone intelligent ou texto). Pour réduire ce risque, place au U2F (pour universal second factor), une méthode qui consiste à conclure un processus d’ouverture de session par l’insertion d’un dispositif USB. Plus tôt ce mois-ci, Google, qui utilise des clés de sécurité USB depuis 2017, a lancé ses premières clés de sécurité Titan, qui s’ajoutent à son offre USB-A/NFC et Bluetooth/NFC/USB.

3) DÉSACTIVEZ LA FONCTION DE TRANSFERT AUTOMATIQUE DES COURRIELS

Les cybercriminels peuvent altérer la fonction de transfert automatique des logiciels de courriel pour faire en sorte que les messages reçus soient acheminés à un autre compte de courriel : de l’information précieuse se retrouve donc entre leurs mains.

M. Ahmad : « On peut dire qu’ils sont tapis comme un renard, dans l’attente du moment propice. Ils cherchent à savoir qui sont vos partenaires ou fournisseurs de confiance; un jour, ils interviennent dans vos échanges en se faisant passer pour ces personnes, pour faire changer des coordonnées bancaires, vous amener à faire des virements en leur faveur, etc. Nombreux sont les méfaits qu’ils peuvent commettre, par exemple, voler des données et les revendre sur le Web profond. »

Pour contrer ces risques, M. Ahmad recommande de désactiver la fonction de transfert automatique des courriels, et de faire en sorte que les employés n’y aient accès qu’après avoir soumis une demande officielle au service TI. « Même si des pirates s’infiltraient, il y aurait une restriction, alors les données n’iraient pas vers eux. »

4) SOYEZ PROACTIF – NE VOUS CONTENTEZ PAS DE BELLES PAROLES

Les entreprises ont des politiques et procédures en place, mais elles omettent souvent de s’assurer que celles-ci sont respectées, déplore M. Ahmad, en ajoutant que les cybercriminels peuvent tirer parti de cette vulnérabilité.

L’expert recommande d’aller au-delà des politiques et des mesures de contrôle des intrants. Par exemple, si deux signataires sont requis pour approuver une opération, il faut voir s’il est possible de déjouer cette exigence. Et quelles mesures sont en place pour s’assurer du respect des politiques?

« Si vous avez de bonnes mesures de contrôle, il y a moyen d’atténuer un grand nombre de risques », croit-il.

M. Ahmad recommande aussi les bonnes vieilles méthodes, à savoir parler de vive voix, directement, aux personnes concernées quand il s’agit de procéder à des changements à des comptes ou de sortir ou de virer de l’argent. « Si votre correspondant n’a aucune idée de ce dont vous parlez, vous saurez qu’il s’agit d’une demande frauduleuse. »

M. Popa rappelle que les entreprises doivent se tenir au courant des lois et des normes édictées par les administrations et aligner leurs pratiques sur ces lois et ces normes. Il suggère à ce propos la consultation du guide Pensez cybersécurité pour les petites et moyennes entreprises, publié par le gouvernement du Canada.

« Vous y trouverez des renseignements de base très utiles ainsi que des stratégies globales qui élargiront votre vision des enjeux de cybersécurité », conclut-il.

METTEZ LES CHOSES EN PRATIQUE

Renseignez-vous sur les plus récentes cybermenaces, renforcez votre politique de cybersécurité et apprenez-en plus sur les pratiques exemplaires de protection des données personnelles ou de la propriété intellectuelle en assistant à notre webinaire intitulé Gestion de la cybersécurité pour le secteur public ou en suivant notre programme de certificat sur les cadres de cybersécurité.