La cyberfraude, une affaire qui marche

Gil Delille, Directeur des risques IT au Crédit Agricole, rappelait récemment que le nombre annuel de hold-up en France, qui était de l’ordre d’un millier au début des années 2000, est tombé à quelques dizaines par an depuis 2010. Pourquoi prendre des risques physiques et s’attirer de lourdes peines, quand on peut voler des sommes considérables sans bouger de son fauteuil ? Les malfaiteurs d’aujourd’hui l’ont bien compris. Résultat : la cyberfraude a rejoint la fraude au fournisseur en termes d’occurrences (étude DFCG/Allianz Trade, Mars 2018). Ses ravages se comptent en milliards d’euros, d’après le Parquet de Paris.

Fraude externe et cyberfraude sont désormais presque toujours associées. Car pour générer des profits décrits par Interpol comme supérieurs au trafic de stupéfiants, les criminels utilisent les méthodes et les moyens des professionnels d’aujourd’hui.

Etudes de marché

La première étape consiste le plus souvent à scanner le web pour repérer les cibles les plus vulnérables. Ce travail est complètement automatisé, et ce sont des millions de requêtes qui sont ainsi envoyées, comme l’explique le DSI de l’éditeur Cegid, Sylvain Moussé : « Leurs robots scannent sans relâche l’internet visible et invisible à la recherche des failles de sécurité connues. Les entreprises qui n’auraient pas appliqué les correctifs les plus récents seront attaquées en priorité. » De fait, on estime qu’une grande partie des cyberattaques avérées ont exploité des faiblesses de logiciels ou de matériels, qui auraient pu être protégées si elles avaient bénéficié des correctifs (les patches mis à disposition par les éditeurs).

Une fois les opportunités identifiées, les fraudeurs peuvent s’intéresser aux capacités des entreprises, et segmenter les cibles. Il est alors question, ni plus ni moins, d’espérance mathématique : les plus grandes entreprises offrent un plus gros potentiel, mais ce sont généralement les mieux protégées ; les petites sont souvent plus faciles à attaquer, mais leurs capacités de paiement, ou la valeur de leurs données, est plus faible. Pour chaque segment de leur « clientèle », les criminels disposent de « produits » adaptés.

Large gamme de menaces

Les criminels disposent d’une gamme de techniques suffisamment large pour associer chaque profil à un ou plusieurs « produits ». Ils sont même capables de tester les couples victime/attaque pour choisir les combinaisons les plus profitables.

Alors que les ransomwares et le cryptojacking sont des techniques qui jouent d’abord sur les grands nombres, l’ingénierie financière est réservée à des attaques plus ciblées. Il s’agit de poser des sondes capables d’écouter et de rapporter les éléments clés qui serviront à customiser un scénario d’usurpation d’identité : noms et habitudes du dirigeant pour préparer une fraude au président, liste des fournisseurs pour mettre sur pied un détournement de virement ou de marchandises, fichier du personnel, des clients… L’espionnage des messageries est particulièrement en cause.

Cross selling

Sur le modèle de la customer lifetime value, les fraudeurs considèrent la possibilité d’agresser plusieurs fois la même cible, mais avec des moyens différents. Une entreprise qui a payé une fois une rançon, par exemple suite à l’attaque d’un cryptologiciel, offre statistiquement de meilleures chances de payer à nouveau – du moins si ses données lui ont bien été rendues entières et lisibles la première fois. Ou peut-être considère-t-elle ses datas comme particulièrement précieuses ? L’attention des fraudeurs est en tous cas attirée par ce « bon client »…

Réutiliser un cheval de Troie en place (celui qui a déclenché l’attaque d’un ransomware par exemple) pour en faire tourner un autre exécutable (comme dans le cas du cryptojacking), constitue également une technique appréciée – et très économique – pour les fraudeurs.

Etudes de comportement

Comme tout spécialiste du marketing online, les professionnels du phishing cherchent à optimiser leurs performances ! « Les criminels savent qu’en Suisse les taux de clics les plus importants sur une campagne de phishing sont le mardi et le jeudi matin, et ils envoient donc leurs campagnes à ces moments-là », déclare par exemple Lennig Pedron, experte en cybersécurité à Genève.

Comment lutter ?

C’est la plupart du temps par les messageries que passent les cybercriminels. Au deuxième trimestre 2018, les seules solutions anti-phishing de Kaspersky Lab ont détourné plus de 107 millions de tentatives d’attaques par phishing (emails incitant à cliquer sur des pièces jointes ou des liens piégés).

Pour protéger son entreprise, un process de sécurisation des virements, une gestion correcte des mots de passe et la mise en place d’un plan d’urgence et de gestion de crise, sont absolument indispensables. Tout autant que :

• Procéder à des audits réguliers de ses systèmes d’information,
• Communiquer sur la menace à tous les niveaux de l’entreprise, de l’accueil aux stocks, du marketing à l’atelier,
• Faire appel à des sociétés extérieures pour tester votre entreprise au moyen de fausses cyberattaques, dont les résultats seront partagés et les ressorts décryptés, pour que chaque collaborateur intègre mieux les différentes possibilités.

Les entreprises cybercriminelles cherchent à tirer la meilleure rentabilité de leurs investissements. Elles utilisent des schémas bien connus en marketing, cherchant à la fois à attirer de nouvelles victimes et à développer leurs profits auprès de celles qui l’ont déjà été. Les fraudeurs disposent de troupes qualifiées, nombreuses et professionnelles. Ils mènent une véritable politique de R&D. On est bien en présence d’une économie souterraine – qui dispose de capitaux importants, et génère des profits… nets d’impôts.