Vous avez tous entendu parler de cette arnaque : la fraude au président, ou l’escroquerie par usurpation d’identité. La presse et Internet regorgent d’histoires de ce type. Ces arnaques ont eu au moins un mérite : celui de remettre en lumière la dimension sociale de la sécurité, ou social engineering. Ce sujet ancien avait eu tendance à disparaitre des radars au profit d’une analyse purement technologique de la sécurité et pourtant… Peut-être que dans ce cas la technologie est moins importante que les process. Je vais tenter de vous en convaincre.
Le mécanisme de la fraude
Un escroc se fait passer pour le dirigeant ou un très haut cadre de la société et demande aux personnes chargées de la comptabilité de virer une somme importante sur un compte inconnu, prétextant l’urgence et le secret absolu pour contourner le processus habituel.
Dans ce cas, l’escroc sait à qui il s’adresse, il connait les process standards et apporte des réponses aux objections classiques. Le fait que le responsable hiérarchique ne soit pas au courant ou que le process habituel ne soit pas suivi entraine des justifications bien rodées :
- La confiance que le « PDG » dit accorder à sa victime (j’ai une grande confiance en vous)
- La nécessité du secret : une OPA est en cours et il ne faut pas que les concurrents, actionnaires ou autres autorités l’apprennent (plus c’est gros mieux ça passe).
L’escroc n’hésite pas à flatter ou menacer, voire joue l’indifférence pour emporter la décision : « si vous ne voulez pas le faire je le comprends mais je demanderai à quelqu’un d’autre ». Et argument suprême : je vous envoie un mail de confirmation avec ma signature…
Dans son livre de 2002, malheureusement épuisé, « L’art de la supercherie », Kevin Mitnick donne de nombreuses techniques pour obtenir des renseignements sur ces employés détenant des informations sensibles, et comment les amener à effectuer des actions illégitimes.
D’abord l’ingénierie sociale va servir à collecter les noms des personnes et les process utilisés. L’utilisation des réseaux sociaux va permettre ensuite d’affiner la recherche. Enfin, c’est la manipulation de la victime qui va déclencher le virement et causer les dégâts financiers.
Je ne résiste pas au plaisir de citer quelques chapitres du livre de Mitnick qui donnent en résumé les principales techniques utilisées en social engineering :
Ch. 3 : Instaurer la confiance
Ch. 4 : Laissez-moi vous aider
Ch. 5 : Pouvez-vous m’aider ?
Ch. 8 : Exploiter la compassion, la culpabilité et l’intimidation
Ch. 12 : Les attaques visant le salarié de base
A la lecture du livre ces techniques semblent incroyablement simples avec le recul mais qui, dans le contexte du travail quotidien, peut affirmer qu’il ne se ferait pas piéger ?
Ecoutez donc cette émission de France Inter (entre 2:41 et 3:25). Vous y entendrez un escroc usurpant l’identité d’un PDG faire pression sur une comptable pour effectuer un virement à l’étranger concernant une OPA fictive. Auriez-vous résisté à la place de la comptable ? Pas sûr.
Se prémunir contre la fraude au président c’est possible
Ce type de fraude au président aurait couté 400 millions d’euros aux sociétés selon la Fédération Bancaire Française (FBF). Les banques se mobilisent et insistent sur deux aspects de la protection auprès de leurs clients :
- La formation des salariés qui ne doivent pas communiquer d’informations par téléphone à des personnes extérieures de façon à rendre la phase de renseignement plus complexe
- Utiliser au moins deux validations pour tout virement ou changement de coordonnées bancaires d’un client ou fournisseur.
Rien de très technique dans tout cela, du bon sens et du process avant tout !
On peut quand même ajouter un petit élément technique. Vous vous souvenez qu’à la fin de l’échange l’escroc propose systématiquement d’envoyer un mail avec sa signature pour prouver la véracité et la légitimité de sa demande. Outre le fait que le mail devrait être un mail INTERNE et non externe, tout mail demandant ou validant un virement devrait en effet être signé par son expéditeur. Signé oui mais CRYPTOGRAPHIQUEMENT !
C’est-à-dire que le message devrait contenir un élément de signature électronique basé sur la clef privée de l’utilisateur. Cet élément est vérifié à l’aide de la clef publique disponible dans l’annuaire lors de la lecture du message et prouve qu’il a été expédié par le signataire et que le contenu n’a pas été modifié ni intercepté. Voici un exemple de mail authentique car signé par un expéditeur que vous connaissez tous !
Ce mécanisme de signature des messages existe depuis l’aube des années 2000. S’il est natif sur certains systèmes de messagerie il nécessite plus d’investissements (mise en place d’une PKI) sur d’autres.
J’ai débuté dans l’informatique en formant des utilisateurs sur des messageries. L’exemple que je prenais pour souligner l’utilité de la signature électronique était celui du mail demandant un virement bancaire ! C’était à peu près au moment où K. Mitnick publiait son livre. Les escrocs sévissaient déjà et certaines techniques pour les combattre existaient aussi !
Philippe
crédit photo : Fotolia @ Imillian 92100615
Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.