Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

FIC : Cyberextorsion : tous les moyens sont bons pour faire chanter

janvier 2015 par Emmanuelle Lamandé

L’extorsion, le chantage et les demandes de rançon ont toujours fait partie intégrante des activités criminelles, mais Internet a permis de moderniser ces procédés. Quelles sont les typologies de ces escroqueries ? Quel est profil des victimes ? Quels sont les moyens des enquêteurs ? Quelles sont les premières mesures concrètement à prendre ? Comment prévenir ces infractions ? Quelques éléments de réponse à l’occasion du FIC.

Les escroqueries en tout genre, chantages, rançons, fraudes aux présidents, extorsions de fond… se rattachent aujourd’hui au monde cyber, constate Cécile Doutriaux, Avocate au Barreau de paris. Michelin en a d’ailleurs fait les frais fin 2014, puisque l’entreprise se serait fait dérober 1,6 million d’euros via une escroquerie reposant sur de faux ordres de virement. Mais ce cas est loin d’être isolé et les typologies d’escroqueries sont nombreuses.

Anne Souvira, Chef de la BEFTI, distingue plusieurs types de rançongiciels. A l’origine, les particuliers étaient plus visés par ce type d’attaques ciblées. Cependant, en septembre 2013, un éditeur de logiciel a montré qu’il y a eu une rupture dans la façon de faire fonctionner le rançongiciel, avec l’arrivée de CryptoLocker notamment. Ce dernier cible aussi les entreprises et a la particularité de chiffrer les données. Plusieurs importantes campagnes de CrypoLocker ont eu lieues en 2014, comme celle de CryptoWall en juillet dernier par exemple. Dans ce cas, les attaquants réclament un paiement en bitcoin et fournissent directement les liens permettant de procéder au paiement. Toutefois, même après paiement, chose à ne surtout pas faire, les données restent chiffrées… L’objectif de ce type d’attaques n’est généralement pas le vol de données. Les pirates font ça juste pour gagner de l’argent, et c’est un business juteux.

Ces attaques ne doivent pas être prises à la légère, car les conséquences peuvent s’avérer désastreuses. Si l’entreprise victime n’a pas de sauvegarde de ses données sur un système cloisonné, la société peut perdre tout son patrimoine informationnel. Un tel événement peut même entraîner sa perte, surtout s’il s’agit d’une TPE/PME.

Il devient aujourd’hui plus difficile de faire du CryptoLocker sur les grandes entreprises, car elles y sont préparées, ce qui n’est pas le cas des particuliers et des PME, constate Jérôme Robert, Directeur Marketing de LEXSI. Par contre, les grands groupes sont plus sujets aux menaces de fuite et de divulgation informations, comme l’affaire Snowden. En cas de demande de rançon, la première chose à faire pour une entreprise est d’activer son plan de gestion de crise, si elle est suffisamment mature pour ça. C’est alors tout un enchaînement d’actions qui va venir se mettre en place : partage réseau en lecture seule de la partie chiffrée, règles de firewalling… Il ne faut surtout pas supprimer les fichiers. La réaction doit être rapide et radicale, afin d’isoler les données chiffrées au plus vite. Il est essentiel d’avoir testé au préalable ses processus de gestion de crise en situation réelle. Le mieux est toujours de prévenir ces risques. L’immense majorité des attaques sont de faible niveau technique. Donc un minimum de prévention et de formation permet déjà d’éviter la plupart d’entre elles.

Quels sont les moyens des enquêteurs ?

Si une entreprise est victime de ce type d’attaque, quelles sont les mesures à mettre en place pour préserver la preuve ? La BEFTI dispose effectivement de moyens techniques pour aider les entreprises, explique Anne Souvira, « mais nous ne pourrons rien faire s’il n’y a pas de traces. Nous nous appuyons, en effet, sur les traces récoltées par la victime elle-même ou la société tierce à qui elle aura fait appel. Les fichiers contiennent souvent le nom du virus. Puis nous le comparons aux autres cas déjà rencontrés. Nous envoyons également le virus à Europol pour qu’ils le comparent avec les autres virus connus. Nous recherchons également des traces, afin de déterminer qui en est le commanditaire et la manière dont a pu se propager l’infection dans la structure. Beaucoup de sensibilisation reste à faire en la matière. En cas de mise en cause, nous pouvons procéder à des perquisitions et des saisies, nationales ou internationales. Cependant, c’est une course contre la montre qui s’engage. Il faut faire vite pour éviter la disparition de la preuve. En France, c’est l’OCLCTIC qui est le point de contact pour demander le gel de données à l’international.

De plus en plus de particuliers déposent plainte aujourd’hui, constate Myriam Quémener, Magistrat. C’est également le cas au niveau des entreprises, qui ont passé ce cap de l’ « e-réputation ». Parmi les principales typologies de fraude et d’extorsion, elle recense principalement des cas de rançongiciels, tels que Cryptolocker et ses variantes, et des escroqueries aux faux ordres de virement. On observe, de plus, des cas où la violence physique vient s’ajouter au chantage psychologique exercé pour les victimes. Beaucoup d’affaires d’escroquerie sont l’objet de bandes organisées. Les infractions de la Loi Godfrain sont aussi chose fréquente, explique-t-elle. Il peut s’agir de l’entrave au fonctionnement des STAD, de l’accès et du maintien frauduleux dans ces systèmes, de la suppression de données… La Loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme reconnaît désormais le vol de données par extraction.

Dans la lutte contre ces attaques, et pour faciliter le processus judiciaire, il est important de connaître les compétences des différentes entités spécialisées et de savoir à qui s’adresser en cas de problème, comment procéder au dépôt de plainte, mais aussi quoi faire en amont de tout problème et plainte… Il ne faut pas attendre que cela arrive pour se demander quoi faire, ni quels sont les bons contacts à avoir. Parmi les axes de travail à développer, elle souligne notamment un renforcement de la coopération internationale, pour l’obtention plus simple et plus rapide de commissions rogatoires, du gel de données…

On remarque aussi souvent toute une partie d’ingénierie sociale dans ce type d’infractions, permettant à l’attaquant de savoir qui cibler précisément dans l’entreprise ou quel individu va servir à l’usurpation d’identité… Il est donc également nécessaire d’effectuer davantage de formations, de faire de la sensibilisation de façon pluridisciplinaire, de renforcer la collaboration public-privé, entre opérateurs, prestataires techniques… et de s’inscrire dans une stratégie globale de lutte contre ces phénomènes.

Comment prévenir ces infractions ?

Pour Benjamin Maréchal, Manager FIDS - EY, les signaux qui doivent alerter quant aux rançongiciels ne sont pas évidents à détecter, d’autant que la majorité des victimes de ce type d’attaques sont des structures ou des particuliers qui ont des moyens de protection faible. Il reste donc difficile d’anticiper et de prévenir ce type de menaces, car elles s’adressent à des SI qui ont de vrais problèmes de sécurisation. Dès lors que les entreprises n’ont pas mis de bonnes pratiques en place, il est probable qu’elles n’aient aucune sonde de détection au sein de la structure.

Concernant les faux ordres de virement, ou « fraudes aux présidents », les délais d’action sont de plus en plus courts. On recense malheureusement assez peu de choses à faire aujourd’hui pour bloquer les fonds. Il faut porter plainte, sécuriser son SI. Auparavant, ce type de fraude était principalement axé sur l’ingénierie sociale, maintenant on observe de plus en plus de cas d’intrusion dans le SI pour prendre le contrôle sur le système de virement, envoyer un mail interne de l’entreprise… et donc paraître le plus crédible possible. Il est essentiel d’être attentif au processus et à toute la chaîne en entreprise liée au virement (validation…). Quand on y regarde de plus près, on note souvent des dysfonctionnements.

Enfin, pour renforcer la prévention, une entreprise doit, selon lui, s’interroger à plusieurs niveaux : son exposition aux risques de fraudes, ses processus métier et la séparation des tâches, sa capacité à investir, sa politique de traçabilité, ou encore sa capacité à remonter toute la chaîne d’exécution pour comprendre ce qu’il s’est passé…


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants