Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Du rôle des processes dans la sécurité : le cas de la fraude au président

Du rôle des processes dans la sécurité : le cas de la fraude au président
2015-11-092015-11-09sécurité organisationnelle et humainefr
Vous avez tous entendu parler de cette arnaque : la fraude au président, ou l’escroquerie par usurpation d’identité. Cette arnaque a eu au moins le mérite de remettre en lumière la dimension sociale de la sécurité, ou social engineering.
Publié le 9 Novembre 2015 par Philippe Macia dans sécurité organisationnelle et humaine
Du rôle des processes dans la sécurité : le cas de la fraude au président

Vous avez tous entendu parler de cette arnaque : la fraude au président, ou l’escroquerie par usurpation d’identité. La presse et Internet regorgent d’histoires de ce type. Ces arnaques ont eu au moins un mérite : celui de remettre en lumière la dimension sociale de la sécurité, ou social engineering. Ce sujet ancien avait eu tendance à disparaitre des radars au profit d’une analyse purement technologique de la sécurité et pourtant… Peut-être que dans ce cas la technologie est moins importante que les process. Je vais tenter de vous en convaincre.

Le mécanisme de la fraude

Un escroc se fait passer pour le dirigeant ou un très haut cadre de la société et demande aux personnes chargées de la comptabilité de virer une somme importante sur un compte inconnu, prétextant l’urgence et le secret absolu pour contourner le processus habituel.
Dans ce cas, l’escroc sait à qui il s’adresse, il connait les process standards et apporte des réponses aux objections classiques. Le fait que le responsable hiérarchique ne soit pas au courant ou que le process habituel ne soit pas suivi entraine des justifications bien rodées :

  • La confiance que le « PDG » dit accorder à sa victime (j’ai une grande confiance en vous)
  • La nécessité du secret : une OPA est en cours et il ne faut pas que les concurrents, actionnaires ou autres autorités l’apprennent (plus c’est gros mieux ça passe).

L’escroc n’hésite pas à flatter ou menacer, voire joue l’indifférence pour emporter la décision : « si vous ne voulez pas le faire je le comprends mais je demanderai à quelqu’un d’autre ». Et argument suprême : je vous envoie un mail de confirmation avec ma signature

Dans son livre de 2002, malheureusement épuisé, « L’art de la supercherie », Kevin Mitnick donne de nombreuses techniques pour obtenir des renseignements sur ces employés détenant des informations sensibles, et comment les amener à effectuer des actions illégitimes.

D’abord l’ingénierie sociale va servir à collecter les noms des personnes et les process utilisés. L’utilisation des réseaux sociaux va permettre ensuite d’affiner la recherche. Enfin, c’est la manipulation de la victime qui va déclencher le virement et causer les dégâts financiers.

Je ne résiste pas au plaisir de citer quelques chapitres du livre de Mitnick qui donnent en résumé les principales techniques utilisées en social engineering :

Ch. 3 : Instaurer la confiance
Ch. 4 : Laissez-moi vous aider                                              
Ch. 5 : Pouvez-vous m’aider ?
Ch. 8 : Exploiter la compassion, la culpabilité et l’intimidation
Ch. 12 : Les attaques visant le salarié de base

A la lecture du livre ces techniques semblent incroyablement simples avec le recul mais qui, dans le contexte du travail quotidien, peut affirmer qu’il ne se ferait pas piéger ?

Ecoutez donc cette émission de France Inter (entre 2:41 et 3:25). Vous y entendrez un escroc usurpant l’identité d’un PDG faire pression sur une comptable pour effectuer un virement à l’étranger concernant une OPA fictive. Auriez-vous résisté à la place de la comptable ? Pas sûr.

Se prémunir contre la fraude au président c’est possible

Ce type de fraude au président aurait couté 400 millions d’euros aux sociétés selon la Fédération Bancaire Française (FBF). Les banques se mobilisent et insistent sur deux aspects de la protection auprès de leurs clients :

  • La formation des salariés qui ne doivent pas communiquer d’informations par téléphone à des personnes extérieures de façon à rendre la phase de renseignement plus complexe
  • Utiliser au moins deux validations pour tout virement ou changement de coordonnées bancaires d’un client ou fournisseur.

Rien de très technique dans tout cela, du bon sens et du process avant tout !

On peut quand même ajouter un petit élément technique. Vous vous souvenez qu’à la fin de l’échange l’escroc propose systématiquement d’envoyer un mail avec sa signature pour prouver la véracité et la légitimité de sa demande. Outre le fait que le mail devrait être un mail INTERNE et non externe, tout mail demandant ou validant un virement devrait en effet être signé par son expéditeur. Signé oui mais CRYPTOGRAPHIQUEMENT !

C’est-à-dire que le message devrait contenir un élément de signature électronique basé sur la clef privée de l’utilisateur. Cet élément est vérifié à l’aide de la clef publique disponible dans l’annuaire lors de la lecture du message et prouve qu’il a été expédié par le signataire  et que le contenu n’a pas été modifié ni intercepté. Voici un exemple de mail authentique car signé par un expéditeur que vous connaissez tous !

Ce mécanisme de signature des messages existe depuis l’aube des années 2000. S’il est natif sur certains systèmes de messagerie il nécessite plus d’investissements (mise en place d’une PKI) sur d’autres.

J’ai débuté dans l’informatique en formant des utilisateurs sur des messageries. L’exemple que je prenais pour souligner l’utilité de la signature électronique était celui du mail demandant un virement bancaire ! C’était à peu près au moment où K. Mitnick publiait son livre. Les escrocs sévissaient déjà et certaines techniques pour les combattre existaient aussi !
 

Philippe

crédit photo : Fotolia @ Imillian 92100615

2 Commentaires

  • 18 Novembre 2015
    2015-11-18
    par
    Nicolas Chevallier
    Bonjour, je pense que l'email est une faille de sécurité majeure depuis sa création : au départ les protocoles d'échange se voulaient très simples et basés sur la confiance, on voit aujourd'hui que même à l'aide de rustines régulières pour combler ses failles, la seule façon serait de s'en débarrasser et de partir d'une feuille blanche pour recréer des protocoles où la sécurité est le but premier.
  • 11 Novembre 2015
    2015-11-18
    par
    Pseudonyme
    Bonjour, Merci pour cet article qui démontre bien que la sécurité n'est pas uniquement technique. D'ailleurs, on le voit de plus en plus avec le retour des mails piégés contenant des soit-disant factures (Dridex). Avec des utilisateurs sensibilisés et un peu de technique, on devrait pouvoir réduire drastiquement le taux de clics sur ce type de mails. Mais sans cela, comme la technique aura toujours un cran de retard, on n'y arrivera pas. Pour ceux qui sont ennuyés de la non disponibilité du livre de Kevin Mitnick, je vous proposerai une alternative plus aisée qui devrait en plus séduire les litteraires : "L'Art d'avoir toujours raison de Schopenhauer" (en version traduite tout de même). On y trouve toutes les techniques utilisées dans différents domaines, dont l'ingénierie sociale, pour convaincre un auditoire. Si on remonte un peu dans le temps, la fable de La Fontaine du corbeau et du renard est aussi un bon exemple. La flatterie, ça marche aussi....... Bonne lecture
    Tristan

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage