Cybercriminalité : ce que toute entreprise doit savoir

Demander à quiconque impliqué dans la lutte contre la cybercriminalité, et il vous le dira : aucune entreprise n’est à l’abri. Mais ce n'est pas une fatalité.

Demander à quiconque est impliqué dans la lutte contre la cybercriminalité ce que chaque entreprise doit savoir conduit invariablement à cette première réponse : aucune organisation n’est à l’abri.

Le second point évoqué le plus fréquemment est qu’aucune entreprise ne peut se permettre d’ignorer la cybercriminalité, dont le coût est estimé à 445 Md$ par an pour l’économie mondiale.

Nul n'est épargné

Les pertes sont à la fois directes et indirectes : de nombreuses entreprises citent les pertes d’activité ou de productivité comme conséquences d’activités cybercriminelles.

La réalité est que chaque entreprise connectée à Internet peut s’attendre à être un jour victime de la cybercriminalité : les attaquants étendent régulièrement leurs capacités à dérober des fonds ou à valoriser des données subtilisées.

Las, si la majorité des professionnels de la sécurité sont conscients de la menace que représente la cybercriminalité, les dirigeants des entreprises ignorent souvent l’étendu du problème.

Ainsi, malgré une couverture médiatique croissante des incidents les plus marquants, de nombreux dirigeants continuent de croire que leur entreprise ne recèle pas de données de valeur et qu'elle ne sera pas visée.

« Mais le simple fait d’être connecté à Internet rend une entreprise intéressante aux yeux des cybercriminels », souligne Phil Huggins, vice-président de Stroz Friedberg, un cabinet d’enquête et de prévention des risques numériques. Pour lui, « toute entreprise connectée à Internet est une ressource qui peut être exploitée par des criminels en raison des données qu’elle recèle ».

Toutefois, la prise de conscience semble progresser : 61 % des répondants à l’étude 2015 Chief Executive Survey de PwC ont exprimé des inquiétudes quant aux menaces informatiques et au manque de sécurité des données. Ce chiffre était de 13 % dans l’édition 2014.

Les cyber-criminels coopèrent pour élaborer des attaques

Posant un défi supplémentaire, les cybercriminels coopèrent entre groupes afin de combiner des méthodes d’attaque et des renseignements variés.

Le simple fait d’être connecté à Internet rend une entreprise intéressante aux yeux des cybercriminels

Phil Huggins, Stroz Friedberg

« Les activités cybercriminelles s’appuient généralement sur une combinaison de tous les exploits disponibles et construisent leurs campagnes couches par couches », relève ainsi Charlie McMurdie, conseillère Senior en cybersécurité chez PwC, et ancienne dirigeante de la division de lutte contre la cybercriminalité de la police britannique.

« Ils font leurs recherches, étudient les opportunités de renseignement offertes par les sources ouvertes, examinent les vulnérabilités physiques, s’intéressent à ce sur quoi travaillent les entreprises, utilisent des exploits techniques, et envoient des e-mails d'hameçonnage pour se mettre en position de faire plus de dégâts », relève-t-elle.

L’ingénierie sociale, via des techniques telles que l'hameçonnage, est clé et s’avère être un élément commun à toutes les grandes campagnes cybercriminelles. Ce qui souligne l’importance de la formation et de la sensibilisation.

Exploiter les faiblesses pour dérober des données

Selon Charlie McMurdie, les cybercriminels exploitent communément les faiblesses et les failles dans les règles et les procédures, comme le fait de ne pas vérifier quelque chose plus d’une fois : « les entreprises doivent d’assurer d’être capables de détecter et de bloquer les attaques cachées qui sont de plus en plus sophistiquées, tant en matière de logiciels malveillants que d’ingénierie sociale employés ».

La tendance est à la croissance du volume de techniques génériques utilisées par les cybercriminels pour viser les entreprises. Ce qui exige des capacités de défense toujours plus importantes.

Et certaines entreprises – mais pas toutes – réalisent que les campagnes cybercriminelles ne sont pas que techniques, mais exploitent toutes les opportunités. Ainsi, la cybercriminalité consiste dans le vol d’argent ou de données en utilisant des moyens informatiques. Et les criminels utilisent les données acquises pour commettre d’autres vols, ou pour les revendre.

La valeur des données personnelles augmentent

« La principale motivation des cybercriminels est sans aucun doute le gain financier, direct ou indirect », souligne ainsi Andy Archibald, directeur adjoint de la division de lutte contre la cybercriminalité de l’agence de criminologie britannique, la NCCU.

L’utilisation des services par des criminels au profil moins technique est une tendance qui progresse

Andy Archibald, NCCU

Les principales cibles sont notamment la propriété intellectuelle et les bases de données personnelles relatives aux employés, partenaires, fournisseurs, et clients, qui peuvent être utilisées pour l’usurpation d’identité et la fraude.

La quête de données personnelles est ainsi soupçonnée d’avoir motivé la récente attaque ayant visé l’assureur américain Anthem. « Plus une entreprise possède des données complètes et détaillées, plus elle est susceptible d’être visée », explique Charlie McMurdie.

Et pour Troels Oerting, ancien directeur de l’EC3 d’Europol, le domaine informatique transforme et renforce en continu la criminalité conventionnelle.

La disponibilité d’un ensemble complet de services – comme les logiciels malveillants en mode service – accélère cette tendance, mettant des outils sophistiqués à disposition de criminels sans expertise technique.

« L’utilisation des services cybercriminels par un groupe plus vaste de criminels au profil moins technique est une tendance qui progresse », souligne ainsi Andy Archibald. Car, « les techniques, les outils, et les approches utilisés pour accéder aux réseaux des entreprises et réaliser des cybercrimes sont largement plus disponibles, et assortis des conseils pour les utiliser ».

Nouvelle anatomie d’un braquage

Le monde numérique est utilisé pour augmenter des crimes d’un type classique. Par exemple, en 2013, un gang a commandé cinq cartes de paiement prépayées auprès d’une banque au Moyen-Orient et en a modifié les détails en s’attaquant au fournisseur de services Cloud de la banque, en Inde. De quoi obtenir une autorisation de crédit illimitée : le gang a utilisé 60 clones des cartes pour retirer 45 M$ avant que les systèmes de détection de fraude de la banque ne les bloquent.

« Le clonage de cartes a atteint une nouvelle échelle et, en seulement quelques heures, les criminels ont pu retirer plus de liquide que les braquages classiques en ont permis de dérober aux Etats-Unis au cours de l’année 2013 », précise Troels Oerting.

Le plus récent exemple de cyber-braquage est estimé à 1 Md$, obtenu auprès de 100 banques, systèmes de paiement électronique et institutions financières dans 30 pays, par le gang par le gang Carbanak.

Les cybercriminels ont commencé par s’infiltrer dans l’ordinateur d’un employé par hameçonnage ciblé avant de dérober des identifiants et d’accéder aux ordinateurs d’administrateurs des systèmes de vidéo-surveillance. Cela leur a permis de voir et d’enregistrer tout ce qui se passait sur les écrans des personnels de maintenance affectés aux systèmes de transfert de liquide, comme l’a montré l’enquête conduite par Kaspersky, Interpol et Europol.

Ainsi, les fraudeurs ont pu tout savoir du travail des employés de la banque et imiter leur activité pour transférer des fonds sans être détectés. Et ce durant au moins deux ans.

Les cyber-criminels choisissent de nouvelles cibles directement dans les entreprises...

Les chercheurs en sécurité expliquent que cela marque une étape importante dans l’évolution de la cybercriminalité contre les institutions financières. Elles sont visées directement, au lieu de leurs clients.

Jusqu’à récemment, les cybercriminels utilisaient surtout des techniques modérément élaborées pour viser les clients des banques en effectuant des transaction en ligne ou en volant les détails de cartes bancaires. Mais désormais, certains cybercriminels tournent leur attention vers les personnels bancaires clé, dans le but d’usurper leur identité et travailler directement sur les systèmes bancaires pour dérober de l’argent.

Les tentatives d'usurpation d'identité devraient elles-aussi progresser

« Les paiements apparaissent comme ayant été ordonnés ou autorisés par des personnels hauts placés que leurs subordonnés seront peu enclins à questionner », relève Torels Oerting.

Et d’alerter : des techniques comparables pourraient être utilisées contre les entreprises, les criminels usurpant alors l'identité des directeurs financiers pour approuver les paiements vers leurs comptes.

Pour Torels Oerting, en infiltrant les systèmes des entreprises et en usurpant l’identité de dirigeants, les criminels pourraient également modifier les détails de règlements et détourner des fonds vers des comptes qu’ils contrôlent.

Charlie McMurdie souligne sur ce point que certains criminels s'affairent déjà à produire des e-mails à l’apparence plausible, semblant provenir d’un fournisseur, pour les adresser à la comptabilité et tromper la vigilance de ses employés pour réaliser des règlements.

... et compromettent des infrastructures pour dérober de la puissance de calcul

Autre tendance affectant le secteur des services financiers : des cybercriminels s’infiltrent dans le système d’information pour louer les ressources de calcul de l’infrastructure compromise. Des enquêteurs du cabinet Stroz Friedberg ont déjà pu observer de tels effractions. Dans la plupart des cas, il s’agissait d’exploiter la puissance de calcul afin de traiter des transactions virtuelles et, ainsi, obtenir des unités de la monnaie virtuelle Bitcoin.

« Souvent, nous sommes appelés pour enquêter sur quelque chose, et nous trouvons toute une série de compromissions modérément avancées utilisées pour exploiter les ressources de calcul de l’organisation », explique Phil Huggins. Et d’ajouter que « ce type d’accès aux ressources est communément commercialisé par des cybercriminels sur les marchés parallèles ».

Selon Phil Huggins, l’usurpation d’identité telle qu’utilisée par le gang Carbanak commence aussi à apparaître en dehors du secteur bancaire : les criminels s’en prennent alors à des spécialistes du commerce en ligne avec des attaques de type man-in-the-browser. Cette technique tire profit de vulnérabilités présentes dans les navigateurs pour modifier des pages Web, le contenu de transaction, ou ajouter des transactions supplémentaires.

Toute entreprise conduisant des transactions via un navigateur Web doit donc avoir conscience de l’existence de cette technique et mettre en place les contrôles de sécurité permettant de la bloquer.

Cette technique peut être également utilisée pour détourner des sessions de banque en ligne. De quoi motiver des partenariats solides entre commerçants et banques pour aider à contrecarrer ce type d’attaque.

 

La suite de cet article a été publiée le 5 mars 2015 ici.

Adapté de l’anglais par la rédaction.

Pour approfondir sur Menaces, Ransomwares, DDoS