Loïc Guézo, Directeur de la stratégie Cybersécurité SEMEA chez Proofpoint revient sur les principales tendances observées en termes de volume et de nature des attaques cyber qui ont touché les entreprises françaises en 2022 (chiffres à l’appui). Alors que le ransomware est en déclin, et que les entreprises françaises se montrent de plus en plus résilientes face à la menace, les cybercriminels se concentrent maintenant sur d’autres techniques pour escroquer leurs victimes, adoptant une approche bien plus ciblée et sophistiquée, basée sur l’usurpation d’identité et la compromission de courriel professionnel (BEC), techniques qui en France, ont augmenté de 5 points par rapport à l’année dernière.
Le Panorama de la menace 2022 publié en début d’année par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) note pour la première fois que le nombre d’attaques par rançongiciel portées à sa connaissance a diminué (209 en 2021 contre 103 en 2022).
Dans son rapport annuel sur l’état du phishing dans le monde, Proofpoint révèle qu’en France, si 65 % des entreprises interrogées déclarent avoir été confrontées à une tentative d’attaque par rançongiciel au cours de l’année passée, avec infection réussie dans 66 % des cas, seuls 53 % d’entre elles disent s’être acquittées de la rançon pour récupérer leurs données, une tendance à contre-courant du reste du monde où la propension à payer aurait augmenté de 6 points depuis 2021.
A lire aussi : Cybersécurité : face aux nouveaux ransomwares, les entreprises peuvent s’inspirer des « histoires vraies »
Le rançongiciel serait donc de moins en moins lucratif, d’autant que les entreprises françaises se montrent de plus en plus résilientes face à la menace.
En réaction peut-être, les criminels se concentrent maintenant sur d’autres techniques pour escroquer leurs victimes, adoptant une approche bien plus ciblée et sophistiquée, basée sur l’usurpation d’identité et la compromission de courriel professionnel (BEC), techniques qui en France, ont augmenté de 5 points par rapport à l’année dernière. D’après le sondage Proofpoint, 80 % des organisations interrogées ont signalé une tentative d’attaque BEC l’année dernière, un chiffre supérieur à la moyenne mondiale.
Autopsie d’une attaque BEC
Le terme BEC (pour Business Email Compromise) est peu connu, comparé à des termes comme Phishing ou Ransomware. Pourtant, il est responsable de presque la moitié de toutes les pertes liées à la cybercriminalité. D’après le bureau fédéral américain (FBI), les attaques par BEC auraient coûté plus de 1,8 milliard de dollars aux victimes en 2020.
Les attaques BEC sont incroyablement difficiles à détecter et à éviter, de par leur nature. Elles sont conçues pour se fondre dans la masse et ne comportent souvent pas les caractéristiques traditionnelles que sont les URL et les charges utiles malveillantes. Au lieu de cela, les BEC s’appuient sur un réseau complexe de techniques d’usurpation d’identité et d’ingénierie sociale pour tromper les utilisateurs.
Dans la plupart des cas, un cybercriminel se fait passer pour une personne ou une entité de confiance, qu’il s’agisse d’un collègue, d’un fournisseur ou même d’un directeur. Après s’être fait reconnaître en tant que cette personne de confiance, l’attaquant envoie ensuite un courriel demandant à la victime d’effectuer une action spécifique, par exemple modifier les coordonnées bancaires d’une facture ou effectuer un virement.
Si la plupart des attaques suivent ce schéma, chacune a sa propre identité. Avec des gains potentiellement énormes, les cybercriminels redoublent de sophistication et de ténacité dans leurs tentatives d’arracher aux entreprises leur argent. Pour illustrer l’ampleur de la menace BEC, voici un récapitulatif de quelques-unes des attaques récentes les plus audacieuses, ainsi que des conseils pour éviter de subir le même sort.
L’Autorité Sanitaire Allemande
Comme nous avons pu le voir en France l’année dernière avec le nombre important de cyberattaques contre les hôpitaux, le secteur de la santé est dans la ligne de mire des cybercriminels. Pourquoi la santé ? De par les masses de données de santé confidentielles sauvegardées, la nécessité d’un service sans coupure et un vaste réseau de fichiers et de systèmes qui font de ce secteur une cible de premier ordre.
Au plus fort de la pandémie en Europe, quatre cybercriminels ont presque convaincu l’Autorité Sanitaire Allemande de transférer dans leurs griffes un paiement de 14,7 millions d’euros pour des masques de protection. Les fraudeurs ont créé un clone du site internet d’un fournisseur légitime, ont compromis des adresses électroniques et ont réussi à passer commande de 10 millions de masques de protection. Ils n’ont toutefois réussi à voler que 2,4 millions d’euros avant qu’Interpol et la police allemande ne mettent fin à l’escroquerie. Si l’organisation victime a pu récupérer ces fonds, cette finalité est loin d’être la norme.
Le musée Rijksmuseum Twenthe aux Pays-Bas
Les cybercriminels s’en prennent à des cibles très diverses. Dans ce cas-ci, aux marchands d’art et aux musées qui vendent des chefs-d’œuvre valant plusieurs millions de dollars. En janvier 2020, le Rijksmuseum Twenthe, un musée national des Pays-Bas, a perdu 3,1 millions de dollars au profit d’un cybercriminel se faisant passer pour un célèbre marchand d’art londonien. L’escroc s’est immiscé dans une communication légitime entre le musée et le marchand au sujet de la vente d’un tableau de 1824 de John Constable, intitulé View of Hampstead Heath. Child’s Hill, Harrow in the distance. En compromettant ou en usurpant le compte email du marchand, l’escroc a « mis à jour » les informations de paiement avant la clôture de la vente. Le tableau a été expédié et le paiement a été effectué sur le compte bancaire du cybercriminel à Hong Kong.
Le groupe criminel Cosmic Lynx
Il n’a pas fallu longtemps pour que les bandes organisées criminelles apparaissent sur la scène BEC. L’une d’entre elles, Cosmic Lynx, a été officiellement découverte à l’été 2020. Sa tactique complexe d’usurpation d’identité lui a permis de cibler au moins 200 organisations multinationales dans plus de 46 pays du monde. Le collectif criminel recherche des organisations sans protocole d’authentification DMARC (conçu pour empêcher les pirates informatiques d’usurper l’identité d’une organisation et son domaine, en rejetant tous les messages non authentifiés) et qui sont sur le point de racheter ou de fusionner avec une autre entreprise. L’absence de DMARC leur permet de se faire passer pour d’autres dirigeants d’entreprise (concurrente ou partenaire) avec une relative facilité. Mais l’escroquerie va plus loin. Les membres de Cosmic Lynx se font aussi passer pour un avocat légitime. Un courriel est envoyé depuis le compte du cadre compromis, demandant à un employé ayant l’autorité nécessaire d’assurer la liaison avec l’avocat imposteur et de procéder au paiement de l’opération. Le paiement moyen demandé par le groupe était de 1,27 million de dollars, un montant qui est bien plus élevé que les montants demandés par la plupart des bandes criminelles BEC.
Comment se protéger contre les attaques BEC ?
Comme le montrent les exemples ci-dessus, les attaques BEC sont présentent sous de nombreuses formes, utilisent l’ingénierie sociale et présentent une personnalisation extrêmement poussée. Il existe plusieurs solutions efficaces qui peuvent contribuer à protéger les organisations. La première chose à faire est de mettre en place une protection des systèmes de messagerie, capable d’analyser et de filtrer le contenu des messages malveillants avant qu’ils n’arrivent dans la boîte de réception. La norme DMARC est ici indispensable pour éviter la compromission d’adresses mail. En authentifiant les domaines légitimes, DMARC contribue à empêcher les courriels usurpés d’atteindre leur cible. Plus important encore, DMARC a un effet dissuasif, car de nombreux cybercriminels s’en prennent aux organisations qui ne disposent pas de cette couche de protection.
Ces défenses peuvent être renforcées par une connaissance approfondie des VAP (Very Attacked People), le type et la fréquence des attaques auxquels chaque utilisateur est confronté. Adapter en conséquence les formations à la cybersécurité en interne permet d’améliorer la sensibilisation à tous les échelons de l’entreprise. La fraude par BEC est une attaque contre un individu. C’est bien une action humaine qui répond à ces demandes positionnées comme « urgentes » ou « tout à fait exceptionnelles », qui modifie les informations de paiement et autorise les virements électroniques. Les collaborateurs doivent donc être sensibilisés et formés à repérer les signes de comptes de messagerie compromis et autres activités suspectes.
Grâce à une formation continue et adaptée, l’objectif est de créer une culture dans laquelle la cybersécurité est bien la responsabilité de chacun. Lorsqu’un seul clic peut ouvrir la porte à un désastre financier et réputationnel, les utilisateurs doivent être conscients des risques qu’implique une mauvaise hygiène de sécurité. Bien qu’aucune de ces stratégies ne puisse à elle seule faire face à l’ensemble de la menace BEC, elles offrent ensemble les meilleures chances de ne pas figurer sur cette triste liste d’organisations ayant fait les frais de la cybercriminalité.