La pandémie a chamboulé bien des aspects de l’organisation du travail. Ainsi, de nombreuses organisations ont dû modifier radicalement et dans la précipitation leur infrastructure TI pour faire face à une augmentation sans précédent de télétravailleurs. Une occasion en or pour les fraudeurs de se lancer dans la pêche au harpon, une activité dont votre entreprise pourrait faire les frais...

Le business email compromise (BEC) est une fraude externe très répandue visant les entreprises. Elle est essentiellement mise en œuvre par des organisations criminelles en Afrique de l’Ouest qui, dans un premier temps, tentent d’avoir accès au contenu d’une boîte de courriel en envoyant des messages d’hameçonnage.

Un stratagème simple, mais efficace

Le stratagème est relativement simple : un employé clique sur un courriel semblant provenir de votre fournisseur de messagerie. Il entre son nom d’usager et mot de passe dans une page de connexion trompeuse, et le tour est joué. Pour les fraudeurs, l’idéal est que la boîte de courriel compromise appartienne à un employé participant au processus de facturation ou de paiement des fournisseurs.

Tapis dans l’ombre, ils passeront ensuite des semaines et même des mois à espionner le compte de la personne hameçonnée. Ils peuvent même ajouter des règles de renvoi de courriel. Un jour, l’un de vos fournisseurs chinois vous fait parvenir une facture pour une commande effectuée quelques semaines plus tôt. Or, l’employé dont la boîte de courriel a été compromise est en copie conforme du message. Les fraudeurs sont à l’affût et sortent le harpon : quelques minutes plus tard, votre entreprise reçoit une demande de changement de coordonnées bancaires par ce qui semble être le même fournisseur. Parce qu’ils sont maintenant plus suspicieux sur les changements de compte bancaire, vos employés tenteront de vérifier la véracité de cette demande. Bien sûr, ils recevront rapidement par courriel les confirmations nécessaires en provenance de ce qu’ils pensent être des personnes responsables chez le fournisseur. Le paiement de la facture et le changement de coordonnées bancaires sont acceptés et les données mises à jour dans votre système. Le paiement par transfert bancaire est effectué et l’argent aboutit dans le compte d’une mule en Asie. En quelques heures, les fraudeurs ont gagné et empoché le gros lot!

Selon le Centre antifraude du Canada, les fraudes de type BEC (intégrées dans la catégorie spear phishing) représentent la plus grande menace de fraudes externes que doivent affronter les entreprises canadiennes. En 2019 et 2020, elles représentaient 73 % des pertes encourues pour les fraudes externes ayant fait l’objet d’un signalement au Centre. Au pays, les pertes engendrées pour la même période par le spear phishing sont environ 175 fois supérieures à celles résultant des rançongiciels. Elles représentent 45 M$, et s’établissent en moyenne à 95 404 $ par entreprise victime. La réalité pourrait toutefois être bien pire.

En effet, selon Pierre-Luc Pomerleau et David L. Lowery1, seule une fraction des victimes, soit 10 %, déclare les incidents aux autorités. Le Report to the Nations 2021 de l’Association of Certified Fraud Examiner indique que la raison principale invoquée pour ne pas le faire est la peur de la publicité négative et la crainte de nuire à la réputation de l’entreprise.

Série cybersécurité et travail à distance

Accélération avec la pandémie

Au début de la pandémie, en avril 2020, le Internet Crime Complaint Center (IC3) du FBI diffusait une alerte mettant en garde les entreprises utilisant des services de messagerie infonuagique, car des réseaux criminels organisés ciblaient spécifiquement les vulnérabilités de ceux-ci. Selon le IC3, les pertes causées par ces réseaux actifs dans les BEC sont évaluées à 2,1 G$ US de 2014 à 2019. À l’été 2020, dans un billet de blogue, Microsoft sonnait aussi l’alarme et mettait en garde sa clientèle d’affaires utilisant Office 365. La compagnie indiquait que les fraudeurs utilisaient le prétexte de la COVID-19 pour effectuer de l’hameçonnage, préalable essentiel au stratagème relié au BEC.

D’ailleurs, le territoire de pêche des fraudeurs ayant recours au BEC s’est largement étendu pendant la crise sanitaire. En effet, la clientèle d’affaires des services Office 365 de Microsoft a littéralement explosé (une hausse de revenus de 21 % au trimestre se terminant le 30 septembre 2020), plusieurs entreprises ayant réalisé les limites de leurs serveurs et de leur accès en réseau privé virtuel (VPN) dans un contexte pandémique. Résultat : elles se sont largement tournées vers les solutions infonuagiques de Microsoft.

Une armée de nouveaux utilisateurs néophytes et des administrateurs TI ayant dû lancer le service dans la précipitation et ne connaissant pas l’ensemble des vulnérabilités à colmater ont constitué une occasion en or pour les fraudeurs à la recherche de nouvelles victimes.

Car, alors que la plupart des services de messagerie infonuagique comme Microsoft Office 365 ont des fonctionnalités de sécurité aidant à empêcher les BEC, plusieurs d’entre elles doivent être configurées et activées manuellement par les administrateurs TI. Dans l’urgence, les oublis ont été nombreux.

La première chose à faire pour protéger votre organisation? Activer l'authentification multifacteur pour tous les comptes de messagerie. Interdire le transfert automatique des courriels vers des adresses externes, ajouter une bannière pour identifier les courriels provenant de l'extérieur de votre organisation, interdire les protocoles de messagerie hérités (POP, IMAP et SMTP1) qui peuvent être utilisés pour contourner l'authentification multifacteur et former vos employés aux pratiques courantes d’hameçonnage sont d’autres bonnes pratiques à mettre en œuvre.

Ces mesures sont relativement simples, mais elles peuvent éviter que votre organisation devienne la prochaine prise de fraudeurs ingénieux et motivés, et subisse des pertes financières conséquentes.


Note

1 Pomerleau, P. L.et Lowery, D. L., Countering cyber-threats to financial institutions, Londres, Palgrave MacMillan, 2020, 224 pages.