Vieille comme le monde, mais toujours efficace, l’arnaque au président a de beaux jours devant elle. Ces arnaques restent aujourd’hui un fleau pour les entreprises françaises : le ministère de l’Intérieur indique ainsi avoir répertorié un peu plus de 2300 plaintes entre 2010 et 2016. Et le ministère l’avoue lui-même : ce chiffre n’est pas représentatif, car de nombreuses entreprises ne portent pas plainte.
La fraude au président regroupe toute une gamme d’arnaques au cours desquelles les attaquants tentent par un moyen ou par un autre de se faire passer pour un dirigeant de l’entreprise, auprès d’un collaborateur ou d’un prestataire, afin d’obtenir un virement bancaire. Celles-ci sont désignées sous le nom de FOVI (Faux Ordres de Virement International) ou BEC (Business Email Compromise) selon la méthode employée.
« Les attaquants peuvent avoir recours à divers moyens pour parvenir à obtenir le virement. Le coup de téléphone, c’est sûrement la technique la plus connue et la plus ancienne. Mais les attaquants améliorent la technique en ajoutant un mail contrefait en plus du coup de fil » explique Pascal le Digol, Country Manager chez WatchGuard.
« Le but, c’est toujours de mettre la pression ou d’obtenir la confiance de l’interlocuteur ». L’attaque passe généralement par une longue phase de reconnaissance de la part des attaquants, qui étudient l’organisation de l’entreprise afin d’identifier les cibles les plus appropriées.
publicité
Les petites entreprises ne sont pas épargnées
En 2014, la startup Legalstart a été victime d’une attaque de ce type. Comme l’explique Pierre Aidan, directeur et fondateur de Legalstart, tout a commencé avec une boîte mail piratée : « L’un de nos associés a été piraté et les pirates ont utilisé cela pour contacter notre banque de l’époque, la BRED.
L’attaquant a envoyé plusieurs mails et a obtenu un virement de 40 000 euros vers un compte basé au Royaume-Uni » L’attaquant a installé un filtre qui ne permet pas à la victime de se rendre compte que sa boîte mail est utilisée par les attaquants. Ce n’est que le lendemain, lorsque les attaquants tentent d’obtenir un second virement, que la banque procède à une vérification téléphonique.
Les fondateurs de Legalstart se rendent alors compte de l’arnaque et prennent immédiatement les mesures qui s’imposent : bloquer la boîte mail, déposer plainte et contacter les établissements bancaires pour signaler la situation.
« À l’époque du piratage, on est encore une société toute jeune qui vient de se lancer. Alors un virement de 40 000 euros qui part dans la nature, ça n’est pas rien » explique Pierre Aidan. Une fois la crise passée néanmoins, un problème bien plus épineux les attend : la banque refuse de rembourser le virement, estimant que la faute est du côté de la société.
Legalstart n’est pas vraiment d’accord : « On parle d’un virement de 40 000 euros, demandé par mail dans un français approximatif, sans la moindre vérification téléphonique vers un compte à l’étranger complètement inconnu. Tous les voyants devaient être au rouge ! »
Impossible de trouver un constat à l’amiable, l’affaire se tourne vers les tribunaux et prendra cinq années pour être finalement réglée. « On a fini par gagner en appel, après un échec en première instance. Ils sont allés jusqu’à la Cour de cassation, mais celle-ci nous a finalement donné raison et ils ont été contraints de nous rembourser le virement. »
Pas de solution miracle
Si Legalstart est parvenue à se faire rembourser la somme, la société n’est jamais parvenue à savoir où était parti l’argent ; « Nous avons déposé plainte et nous avons demandé à notre banque de nous donner l’identité du détenteur du compte ayant reçu l’argent. Mais au final, personne n’a jamais été interpellé et l’auteur du vol reste inconnu. »
Pour les entreprises victimes de ce type d’arnaques, l’addition peut donc se révéler salée. Et ces attaques ne sont pas réservées aux multinationales à organigramme labyrinthique : « Cela touche tous les types d’entreprises, dès lors qu’il y a un potentiel de virement » explique Pascal le Digol.
Ainsi, LegalStart ne comptait que 5 collaborateurs lorsque l’attaque a eu lieu. « Au contraire : autant les grosses entreprises ont parfois des processus de paiement sécurisés qui peuvent venir poser problème aux attaquants, mais les petites entreprises sont des proies faciles » poursuit le responsable de WatchGuard.
Pour répondre à ces menaces, il ne suffira pas d’installer un firewall : il s’agit ici essentiellement de social engineering, parfois agrementé de vol d’identifiants basiques comme ce fut le cas pour LegalStart. « Il n’y a pas vraiment une solution miracle. Il faut bien sûr sensibiliser les collaborateurs à ce type d’attaques, mais aussi mettre en place des procédures de paiement securisées à plusieurs facteurs.
C’est une piste de réponse, mais il faut bien comprendre qu’il n’y a pas de risque zéro avec ce type d’attaques » explique Pascal Le Digol.
Chez LegalStart, Pierre Aidan confie que la société a pris des mesures pour se protéger : la mise en place de solutions multifacteurs sur les boîtes mail, ainsi qu’une réorganisation financière, afin de limiter les possibilités de virement sur le compte courant de la société. « Et puis on a changé de banque » précise le dirigeant, mais après cinq années de contentieux judiciaire, on les comprend.
Comentários