Compromission d'emails professionnels : dans les coulisses d'une menace estimée à plus de 1.6 milliards d'euros par an.

Les cyberattaques ciblant les messageries professionnelles déconcertent même les entreprises les plus aguerries. A ce jour, ces attaques dites BEC (Business Email Compromise) sont considérées comme le problème le plus coûteux de la cybersécurité et font régulièrement les gros titres à travers le monde, avec des signalements recensés dans plus de 150 pays.

Ce qui rend ces attaques si inquiétantes aujourd’hui n'est pas uniquement leur inexorable montée en puissance, mais surtout leur lourd impact financier. Selon le FBI, les attaques BEC auraient coûté environ 1.6 milliards d’euros, représentant plus la moitié des pertes totales en 2019 (3.2 milliards d’euros par an de pertes totales estimée en 2019 d’après le rapport) aux entreprises du monde entier. Pourtant, malgré les mises en garde officielles et la notoriété du phénomène, les entreprises peinent à se protéger efficacement contre cette menace.

Analyse d'une attaque BEC

Pour se protéger contre la menace BEC, il est nécessaire de comprendre la mécanique d'une attaque.

Le principe consiste à se focaliser sur des personnes ciblées - généralement le directeur financier, des employés des ressources humaines ou de la comptabilité. À l'aide d'une technique d’usurpation d’identité (spoofing), les cybercriminels font croire à leur cible qu'elle a reçu un email de leur supérieur, d'un collègue, d'un fournisseur ou d'un partenaire pour leur demander d’effectuer un virement important, ou d’envoyer en urgence des informations financières ou autres données sensibles.

Le succès de ces attaques BEC repose principalement sur la qualité des contenus envoyés. Les cybercriminels réussissent à créer des emails faussement similaires à des messages légitimes et demandent aux victimes d'accomplir des tâches qui relèvent de leurs tâches professionnelles habituelles. Les emails réussissent ainsi à passer entre les mailles de la plupart des solutions de cybersécurité.

Une attaque BEC se déroule généralement en quatre étapes :

·        La recherche préliminaire : contrairement aux attaques massives, les auteurs d'une attaque BEC prennent généralement le temps d'identifier des individus spécifiques au sein de l’entreprise choisie : des personnes avec de hautes responsabilités, décisionnaires ou en position d'autorité ainsi que les personnes plus opérationnelles, en charge des virements financiers par exemple.

·        Le travail préparatoire : les cybercriminels se font ensuite passer pour une personne de confiance pour tromper leur interlocuteur. Cette étape peut se dérouler sur plusieurs jours, voire plusieurs semaines ou mois.

·        Le piège : une fois que le cybercriminel a compromis un ou plusieurs comptes et qu'il est convaincu que la victime les croit authentiques, il passe à l'action. Dans la plupart des cas, il est demandé à la cible d'effectuer un virement bancaire ou de modifier les détails d'un paiement en cours.

·        La fraude : croyant que la demande est authentique, la victime envoie des fonds sur le compte du fraudeur. Ces fonds sont généralement retransférés rapidement, ce qui rend leur récupération plus difficile une fois la fraude découverte.

Une détection peu évidente

Contrairement à d'autres vecteurs de menace régulièrement utilisés, les emails de type BEC ne contiennent aucune charge utile, pas de logiciels frauduleux ou d'URL malveillantes - rien qui puisse déclencher une alerte technique. Ils misent plutôt sur la vulnérabilité des individus en s’appuyant sur des techniques avancées d'ingénierie sociale. Les employés ciblés par des demandes frauduleuses sont moins enclins à remettre en cause l'autorité d’un supérieur hiérarchique ou d’un partenaire traditionnellement de confiance.

Et une fois qu'un compte a été compromis, le cybercriminel se retrouve à l'intérieur même des défenses mises en place par l’entreprise. Sans pièce jointe douteuse ni lien à risque, les demandes frauduleuses peuvent passer sous le radar de la sécurité de messagerie électronique traditionnelle la plus solide et se retrouver dans la boîte de réception d'une victime involontaire.

Une défense centrée sur l’humain

Les attaques BEC ciblant uniquement l’humain, une défense adaptée s’impose. Les entreprises doivent désormais s’assurer que tous leurs employés sont préparés à reconnaître ce type de menace.

La première étape essentielle est la formation, pour entraîner les employés à repérer de potentiels changements de comportement de leurs interlocuteurs. Toute demande sortant de l'ordinaire doit générer vigilance et entraîner des vérifications.

La mise en œuvre de bonnes pratiques est une suite logique, comme l’utilisation de mots de passe forts et uniques pour tous les comptes (conseil valable même en dehors du bureau) ou une double authentification. L’essentiel pour les organisations est de pouvoir identifier les personnes les plus susceptibles d’être visées par une cyberattaque pour pouvoir agir plus efficacement sur la menace.

Pour compléter la ligne de défense, une étape supplémentaire peut être ajoutée, afin qu’une tentative d’attaque ne se transforme pas en une attaque réussie. Cela se joue au niveau de la politique de l’entreprise. L’un des axes est d'introduire des systèmes de vérification pour certaines demandes, telles que les modifications des détails de paiement par exemple. Ou encore que toute action ayant un impact financier ne puisse être validée par messagerie électronique. Cette simple mesure peut annuler des semaines, voire des mois de travail acharné d’un cybercriminel et l’empêcher ainsi de dérober des fonds.

Contre les méthodes invisibles et sournoises des cybercriminels, formation, bonnes pratiques et actions de prévention sont les réponses les plus efficaces.