Piratage, tromperie, arnaques: les dangers de la cybercriminalité

De nombreuses entreprises en font les frais: un quart des PME suisses ont déjà fait l’objet d’une tentative de piratage, près d’un tiers d’entre elles ont subi un dommage financier, alors qu’une attaque sur dix a entraîné un dommage de réputation et/ou la perte de données de clients. Les responsables d’entreprise continuent néanmoins de sous-estimer les risques. Selon cette même étude gfs, deux tiers des PME ne proposent pas de formations aux collaborateurs et ne disposent pas de cellules de crise. De plus, 39% d’entre elles estime qu’il n’est pas nécessaire de souscrire à une assurance contre ce type d’attaques.

Le télétravail a constitué un terreau d’autant plus fertile aux cyberattaques. Selon une étude de l’entreprise anglaise de cybersécurité Tessian, 47% des individus tombent dans le piège du phishing alors qu’ils travaillent à domicile. La raison: les appareils sont moins protégés, les employés ne maîtrisent pas toujours les règles de sécurité et les arnaqueurs profitent de la pandémie pour élaborer des scénarios sur la peur du virus. Les entreprises doivent aujourd’hui impérativement prendre au sérieux les menaces informatiques et former leurs collaborateurs à s’en protéger.

1. Attaques par logiciel malveillant

«Il n'y a aucune garantie de régler le problème en payant une rançon»

Les rançongiciels, des programmes qui rendent inutilisables des données tant que la société n'a pas payé une forte rançon pour obtenir la clé de déchiffrement, constituent la première menace pour les entreprises.

Les rançongiciels (nommés «ransomwares» en anglais) sont la principale forme de logiciels malveillants affectant les PME. La plupart de ces attaques démarrent par un e-mail envoyé à une personne privée ou à une entreprise, qui invite le destinataire à ouvrir une pièce jointe. «La pièce jointe entraîne l’installation d’un rançongiciel de chiffrement qui crypte les données présentes dans le système, les rendant inaccessibles, détaille Max Klaus du Centre national pour la cybersécurité (NCSC). Le logiciel enclenche ensuite l’ouverture d’un message à l’écran demandant le versement d’une rançon (généralement en cryptomonnaie), contre la clé de déchiffrement des données.»

Depuis peu, les pirates informatiques ont ajouté un niveau de pression supplémentaire, surtout à l’encontre d’entreprises et institutions relativement grandes: ils copient les données avant de les chiffrer. «Si les sociétés indiquent qu’elles ne veulent pas payer de rançon, les cybercriminels les menacent alors de publier sur le dark web les données volées.» La plupart de ces attaques par rançongiciel sont toutefois basiques. Il s’agit rarement de cibles précises, mais de centaines de milliers d’e-mails envoyés en même temps. «Les pirates informatiques peuvent acheter des listes d’adresses pour une somme modique sur le dark web», explique le spécialiste.

Outre ces chevaux de Troie avec chiffrement, il existe d’autres types de logiciels malveillants moins courants. Il peut s’agir par exemple de programmes lisant les saisies d’un clavier (et donc des mots de passe) ou d’«attaques par déni de service» («Denial of Service (DoS) attacks»), qui mettent hors d’usage un serveur.

Si une cyberattaque survient, il ne faut jamais verser de rançon. «Il n’y a aucune garantie de régler le problème ainsi, dit Max Klaus. Si la victime paie, les criminels risquent d’augmenter encore leurs exigences financières ou de disparaître dans la nature sans livrer de solution. En outre, cela finance les réseaux de cybercriminalité.» Pour annoncer un cyberincident, le NCSC dispose d’un formulaire de signalement sur son site. «Enfin, il est toujours indiqué de déposer plainte auprès de l’autorité de police cantonale compétente.»

Pour se prémunir de ces dangers, la sensibilisation des collaborateurs est importante. «Il faut notamment leur rappeler d’être prudents, de ne pas ouvrir tout ce qui leur arrive par e-mail.» Les PME doivent également prendre des mesures techniques, comme la sauvegarde régulière des données, la mise à jour systématique des systèmes informatiques (lire l’interview p. 29) ou l’adoption d’une protection de base: antivirus, pare-feu, etc. «Des logiciels gratuits sont bien souvent suffisants pour une petite entreprise.»

Le conseil:  «La principale mesure de protection consiste à sauvegarder régulièrement ses données, idéalement chaque soir, sur un disque dur externe ou un cloud, qui ne soit pas connecté avec le système informatique de l’entreprise. Il faut aussi vérifier le bon fonctionnement de cette sauvegarde et s’entraîner à y accéder. Cela pourrait faire gagner un temps précieux en cas d’attaque par rançongiciel et ainsi éviter le blocage des activités.»

2. L’arnaque au président

«Des scénarios basés sur la pression hiérarchique, l'urgence et le secret»

Demander par courriel un virement d'argent sur un compte étranger en se faisant passer pour le CEO, une escroquerie qui ne demande que peu d'investissement technique. Et qui fleurit en période de télétravail.

«Je suis en déplacement sans accès à mon e-mail professionnel, mais nous avons conclu le rachat, j’ai besoin d’un virement au plus vite pour conclure l’affaire, faute de quoi l’entreprise subirait une perte conséquente.» Ce type d’e-mail peut être le début d’une cyberattaque. Appelée «fraude au président», cette attaque vise à usurper l’identité d’un dirigeant d’entreprise pour obtenir un virement en urgence de la part d’un employé du service comptable ou financier.

«Cette attaque mobilise aussi l’ingénierie sociale, autrement dit la manipulation de l’employé, explique Sergio Alves Domingues, Chief Technical Officer chez SCRT, entreprise vaudoise spécialisée dans la cybersécurité. Il existe deux grands scénarios. Dans le premier, le plus courant, le hacker utilise une adresse externe à l’entreprise. L’e-mail reprend le nom du directeur, qui prétend être en déplacement et ne pas avoir accès à son adresse professionnelle. Dans l’autre scénario, qui découlerait d’une autre attaque préalable, il s’est immiscé dans la boîte mail du directeur lui-même ou d’un autre employé de l’entreprise et mène alors son attaque directement depuis ce compte.» Après quelques échanges destinés à instaurer la confiance, le fraudeur demande que soit réalisé un virement non planifié, au caractère urgent et confidentiel.

«Cette arnaque ne demande aucun investissement technique ou financier, précise l’expert en cybersécurité. Il suffit de créer une adresse mail et de récolter quelques informations sur l’entreprise par internet ou par les réseaux sociaux pour paraître crédible.» De son expérience, Sergio Alves Domingues constate que des multinationales aux PME, toutes les entreprises peuvent être touchées. «Avec le recul, il paraît surprenant que certaines personnes tombent dans le panneau, mais les scénarios sont basés sur la pression hiérarchique, l’urgence et le secret, des facteurs qui rendent difficile de prendre le temps de réfléchir.»

Le conseil:  «Il faut se méfier de tout ce qui dénote des échanges habituels et des e-mails d’adresses externes à l’entreprise. Il est toujours préférable d’oser appeler sa hiérarchie pour vérifier la véracité de la demande. Les entreprises doivent aussi informer leurs collaborateurs des différents types d’attaques existantes: ils sont les principales cibles de cyberattaques mais aussi le meilleur rempart s’ils sont bien informés.»

3. Du simple phishing à l’ingénierie sociale complexe

«Les mots de passe sont vendus sur le darknet»

Les cybercriminels n'utilisent pas seulement des outils techniques, ils exploitent aussi les vulnérabilités des individus.

La tromperie la plus répandue dans ce domaine est la technique de l’hameçonnage (ou «phishing» en anglais). «Des messages trafiqués sont expédiés automatiquement à des milliers de personnes, en prenant l’apparence d’une entreprise ou d’une institution connue de tous», explique Max Klaus.

Des e-mails peuvent par exemple être générés au nom d’une banque. «Le message fait alors état d’un problème avec le compte ou la carte bancaire et propose de cliquer sur un lien pour régler le problème, poursuit l’expert. Il faut ensuite généralement entrer certaines données (mot de passe, numéro de client, numéro de contrat, etc.) qui seront sauvegardées par le cybercriminel et utilisées pour accéder au compte d’e-banking.»

Certaines sociétés ont créé des postes de spécialistes anti-fraudes, notamment pour lutter contre l’utilisation de leurs plateformes et de leur image par des cybercriminels. C’est le cas du groupe Scout24, propriétaire, entre autres, des sites ImmoScout24 et Anibis, qui surveille de près la création de comptes frauduleux ou l’envoi d’e-mails de phishing arborant le logo de ses plateformes. «En croyant accéder à nos services, les personnes livrent leurs données de connexion, explique Jelena Moncilli, spécialiste anti-fraudes du groupe. Ces adresses et mots de passe sont ensuite vendus sur le dark web. Nous avons mis en place un certain nombre de garde-fous pour empêcher l’usurpation de comptes existants ou la création de comptes frauduleux, avec des procédures de double authentification, l’obligation d’avoir un numéro mobile fourni par un opérateur en Suisse, un chat intégré qui détecte l’utilisation d’un langage suspect par un arnaqueur, etc. Nous appelons également à la vigilance des utilisateurs et faisons de la prévention.» (Lire encadré sur les fausses ventes.)

Le phishing est considéré comme une forme simple d’«ingénierie sociale». Ce concept regroupe toute forme de manipulations psychologiques poussant la victime à prendre de mauvaises décisions, telles que la divulgation d’informations confidentielles, l’achat d’un produit ou le déblocage de fonds.

«Des e-mails proposant des investissements juteux en sont un autre exemple, explique Max Klaus. Ils promettent de gagner beaucoup d’argent, contre un faible investissement au départ. Au début, les gains sont intéressants. La victime dépose par exemple 100 francs et gagne 150 francs très rapidement. Le criminel profite de cette phase d’euphorie pour demander davantage d’argent et, une fois les sommes plus importantes virées, le compte est vidé.»

Le conseil:  «De manière générale, il est utile d’organiser des formations au sujet de la cybercriminalité. Le NCSC met beaucoup de documents de prévention à disposition des PME.
Il faut rappeler régulièrement aux collaborateurs l’importance de la prudence,
notamment à la réception d’un e-mail ou lors du maniement de données confidentielles. Pour que la sensibilisation fonctionne, il vaut mieux en faire pendant trente minutes chaque mois qu’une fois par année pendant toute une journée.»

Comment procédez-vous pour effectuer du hacking éthique, appelé aussi «tests d’intrusion»?

En premier lieu, nous déterminons la surface d’attaque, autrement dit, nous cherchons à identifier tout ce qui est exposé sur internet. Il pourra s’agir par exemple de serveurs mail, d’applications pour la clientèle, d’accès VPN, etc. Nous devons être les plus exhaustifs possibles. Si nous manquons un service, nous manquons une porte d’entrée possible pour une cyberattaque.

Dans un second temps, nous cherchons à trouver toutes les vulnérabilités possibles à l’intérieur de cette surface, soit toutes les failles pouvant porter atteinte au fonctionnement du système ou à l’intégrité des données. Certaines sont déjà connues et listées dans des bases de données publiques, qui indiquent par exemple que les versions X ou Y de tel serveur ont une faiblesse. D’autres vulnérabilités doivent être identifiées par nous-mêmes, par exemple lorsqu’elles concernent des applications web spécialement développées par le client. Enfin, nous rendons au client un rapport résumant tous les tests d’intrusion qui ont été menés, les vulnérabilités trouvées et nos recommandations.

Quelles erreurs commettent le plus souvent les PME que vous auditez?

Les vulnérabilités proviennent souvent de systèmes qui ne sont pas à jour, comme des serveurs ou des logiciels. Les patchs de sécurité pour corriger la faille n’ont pas encore été installés. Elles sont aussi souvent le fait d’une erreur dans le code informatique, lors de développements personnalisés. Par exemple, la segmentation des comptes n’a pas été correctement réalisée sur un portail client et un utilisateur peut potentiellement voir les données d’un autre usager. Les grandes entreprises budgètent et réalisent des audits dès la phase de développement de leurs applications. Mais pour une petite entreprise, qui n’a pas forcément les moyens pour cela, il est souvent plus sûr d’utiliser des produits grand public, qui sont utilisés par des millions de personnes et donc, beaucoup plus contrôlés. Il faut toutefois bien les garder à jour, car ils sont aussi plus souvent attaqués. De manière générale, il faut se demander en tant que PME: quels sont mes risques? Si j’ai un serveur mail et un site interne hébergé dans le cloud, je n’ai pas une grande exposition. Si je manie des données sensibles de clients ou que mon appareil de production dépend de plusieurs logiciels connectés, je pourrais songer à un audit.

Quelles sont les principales différences entre un hacker et vous?

Nos techniques sont identiques, mais nos philosophies diffèrent grandement. Le pirate informatique va rechercher n’importe quelle faille pour l’exploiter et nuire, en demandant une rançon ou en volant des données. Nous recherchons des vulnérabilités, mais dans le but d’aider nos clients, de prévenir des attaques. Nous sommes complétement indolores et exhaustifs dans l’identification des failles.

Les cyberattaques se sont multipliées durant le covid

Les cliniques Pallas, Huber+Suhner, Swatch Group, Griesser, Comparis, Swisswindows ou Matisa et bien d'autres, chaque semaine, des entreprises suisses et internationales révèlent avoir été victimes de hackers. Témoignages.

«Le 18 mai dernier, en arrivant au bureau le matin, tous nos fichiers étaient cryptés. Sur le serveur, un message texte affichait une demande de rançon en bitcoins, sans montant précis, avec seulement des adresses mail de contact. Nous avons eu du mal à y croire, c’était complètement irréel. Nous avons pris la mesure de la situation lorsque des experts en cybersécurité – que nous a envoyés notre compagnie d’assurances – nous ont expliqué de quoi il s’agissait. La production (d’éléments préfabriqués en béton, ndlr) ne s’est pas arrêtée car nous avons toujours quelques semaines d’avance sur les plans. Mais le bureau technique et l’administration ont fermé pendant cinq jours. A leur retour, les techniciens ont eu un énorme travail pour reconfigurer le programme de dessin des plans. Cela a eu un impact sur les chantiers, qui ont pris du retard. Il est encore difficile de chiffrer les conséquences de cette attaque, mais cela avoisinera sans doute le demi-million de francs. Nous avons la chance d’être dans une période solide, avec de bonnes projections de chantiers pour les mois à venir.

Nous n’avons pas payé la rançon. Les experts en cybersécurité pensaient qu’elle venait de la mafia russe. On s’est dit qu’on était plus forts qu’eux et qu’on se relèverait. Depuis, nous avons pris des mesures de sécurité supplémentaires: solutions techniques, audits externes réguliers avec simulations d’attaques et formation des collaborateurs.»

«Des points faibles dont nous n'avions pas conscience auparavant»

«Tout a commencé par des problèmes de connexion à l’interne, un week-end de novembre 2020. Il a fallu quelques heures pour que notre fournisseur d’accès nous informe qu’il s’agissait d’une vaste attaque DDoS («Distributed Denial of Service»). Les hackers ont opéré par vagues, contre plusieurs services de notre groupe et de nos entreprises partenaires. En tout, les attaques ont duré trente-deux jours. Dès le début, nous avons mis en place une cellule de crise composée de cadres supérieurs et d’ingénieurs, ce qui a permis une excellente coordination et communication. Grâce à notre expérience en la matière, nous avons pu contrer efficacement ces attaques. Cela a nécessité beaucoup de ressources en termes de temps et d’efforts, mais l’impact réel sur l’entreprise a été très faible. Les données clients de nos lecteurs, annonceurs et spécialistes du marketing n’ont jamais été menacées. Nous n’avons pas directement perdu d’argent, à l’exception de quelques campagnes de marketing que nous n’avons pas pu mener comme prévu.

Le fait que les attaquants aient visé bon nombre de nos services nous a permis de mettre en évidence des points faibles dont nous n’avions pas conscience. Aujourd’hui, nous essayons de devenir une entreprise «cloud only». Nous investissons pour rendre notre lieu de travail plus sûr et nous nous concentrons sur la création de produits avec une sécurité intégrée.»

«Nous anticipions que la sécurité des supports numériques allait devenir un enjeu majeur pour les entreprises.» Fabien Jacquier, cofondateur de Kyos, avait pressenti l’essor que prendrait la cybersécurité. L’entreprise a été fondée à Genève en 2002 par deux ingénieurs en informatique, à la fois pour répondre aux besoins du marché et par intérêt personnel. «L’informatique génère des problématiques dans tous les domaines, ce qui est passionnant.»

Après presque 20 ans d’existence, Kyos compte aujourd’hui 50 employés, connaît une croissance de 15 à 20% par an et s’est déployée à Bienne ainsi qu’à Saint-Gall, de manière à pouvoir toucher des clients dans la Suisse entière. Elle propose aux entreprises des dispositifs d’hébergement ou de stockage de données, avec un haut niveau de sécurisation. «Le fait d’être experts d’un domaine si pointu nous permet de proposer à des PME des solutions habituellement utilisées dans de grandes entreprises. En les mutualisant, nous parvenons à proposer aux PME des prix compétitifs», explique Fabien Jacquier.

Kyos gère aujourd’hui près de 400 clients, un nombre en croissance constante, au même titre qu’augmentent la complexité des demandes ou le niveau de sécurité recherché. «Avant, pour protéger un système informatique, on créait un château fort autour. Maintenant que les données sont décentralisées, notamment avec l’avènement du télétravail et l’utilisation croissante du cloud, c’est la donnée elle-même qu’il faut protéger, avec des systèmes de chiffrement et d’authentification.» Et la cybercriminalité menace aujourd’hui tous les secteurs économiques. Les entreprises font appel à Kyos pour ses solutions techniques, mais aussi de plus en plus pour des conseils en matière de bonnes pratiques et de sensibilisation des utilisateurs.

Selon le cofondateur de Kyos, les rançons demandées par les hackers lorsqu’ils attaquent une entreprise ont alimenté tout un marché, qui a pu ainsi grandir. «C’était un moindre mal pour sensibiliser les entreprises aux attaques à venir. Mais la plupart d’entre elles sous-estiment encore les enjeux de la cybercriminalité. Il s’agit d’ailleurs d’un véritable enjeu sociétal.»

Arnaques et sextorsions
«Fake sextorsions»

Exploitant la solitude des individus en période d’isolement, les tentatives de sextorsion ont augmenté avec la pandémie, selon Patrick Ghion, chef de la section forensique de la police de Genève. Une première variante concerne la «fake sextorsion». Dans ces e-mails, qui peuvent être envoyés sur des boîtes professionnelles, le criminel exige le versement d’argent en arguant qu’il est en possession de photos ou de vidéos compromettantes. Le malfaiteur espère ainsi que, parmi les destinataires, se trouvent des personnes qui ont récemment regardé de la pornographie.

Via les applications privées

Dans sa variante classique, la sextorsion touche plutôt les individus via leurs applications privées, comme Facebook. Le criminel demande d’être ajouté à une liste d’amis (généralement à l’aide de faux profils de femmes séduisantes) et propose de poursuivre la conversation sur un chat vidéo. La victime se déshabille et le chantage commence alors. «Si l’on est victime de ce type d’arnaque, il faut venir déposer plainte à la police, souligne Patrick Ghion. Mais la meilleure arme reste la prévention. Il convient de toujours se demander: que ferais-je dans la vraie vie? Accepterais-je de me déshabiller devant un inconnu dans la rue? Ces barrières de protection naturelle tombent malheureusement trop souvent dans le monde digital.»

Fausses ventes de seconde main

«Il faut surtout veiller à toute vente ’trop belle pour être vraie’», note la spécialiste anti-fraudes pour le site de petites annonces Anibis, Jelena Moncilli. Les prix défiant toute concurrence peuvent cacher des objets volés, des contrefaçons, des importations illégales ou des objets inexistants. «Il est conseillé de communiquer seulement via le chat de la plateforme, de proposer une rencontre pour voir l’objet ou, si ce n’est vraiment pas possible, de demander des photos avec des preuves (telles qu’un journal suisse du jour placé à côté de l’objet). Mieux vaut payer avec la carte bancaire. En cas de problème, il est ainsi possible de demander à sa banque de faire opposition.»

Pourquoi la Suisse est-elle si bien placée en termes de cybersécurité?

Innovation et main-d’œuvre qualifiée
«La Suisse est bien positionnée dans tout ce qui a trait à l’innovation», rappelle Olivier Crochat, directeur exécutif du Center for Digital Trust, basé à l’EPFL. Le tissu industriel et académique participe également à ce succès. Certaines hautes écoles développent aujourd’hui des cursus ciblés sur les questions de cybersécurité (master conjoint EPFL-EPFZ) et de protection des données (master Unige).

Neutralité, stabilité et démocratie
La Suisse bénéficie d’un écosystème performant, avec de grandes entreprises qui peuvent travailler à l’international du fait de leur indépendance politique. «Le monde actuel est de plus en plus polarisé, avec l’émergence de guerres commerciales ou technologiques. Dans ce contexte, la neutralité constitue un atout», explique Oliver Crochat. La solide démocratie que connaît la Suisse prémunit vraisemblablement les entreprises qui y sont basées contre l’un des aspects problématiques de la numérisation: la coercition d’Etat, un procédé révélé notamment par Edward Snowden.

Légiférer assez tôt
«Sur le plan de la RGPD, la Suisse a pris un peu de retard», estime l’expert, précisant que ce point fait actuellement l’objet d’une réflexion. En revanche, la Suisse a été l’un des premiers pays à légiférer sur les cryptomonnaies et les ICO (levées de fonds en tokens).