comment les entreprises se font voler (Le Parisien Magazine)
Transcription
comment les entreprises se font voler (Le Parisien Magazine)
grand angle I internet Au fort de Rosny-sous-Bois (Seine-Saint-Denis), des gendarmes de la division de lutte contre la cybercriminalité. sur la piste des cyber braqueurs Grâce à des arnaques élaborées visant les entreprises et les particuliers, des délinquants extorquent depuis leur ordinateur des sommes colossales. La traque s’organise. Par Matthieu Delacharlery et Stéphane Loignon A quelques heures du début de la Coupe du monde de football, Domino’s Pizza salivait d’impatience. Pour la marque américaine, la compétition a pourtant commencé par une défaite. Le 12 juin, à deux heures du coup d’envoi de BrésilCroatie, sa filiale française a avoué à ses clients, sur Twitter, s’être fait pirater. Au même moment, un groupe de cybercriminels, Rex Mundi, revendiquait l’attaque et menaçait de publier les données volées – 592 000 coordonnées, mots de passe et pizzas préférées d’habitués – si une rançon de 30 000 euros n’était pas payée sous soixante-douze heures. « Aucune coordonnée bancaire n’a été dérobée, car notre site n’accepte pas les paiements en ligne, insiste Nicolas Dégeraud, directeur marketing de la marque en France. Nous n’avons pas cédé au chantage, nous avons informé nos franchisés et nos clients, porté plainte auprès du procureur de la République de Paris et sécurisé notre site. A notre connaissance, aucune donnée n’a été publiée. » Les pirates de Rex Mundi comptent déjà à leur tableau de chasse le fournisseur d’accès Numéricable, l’agence d’intérim Ago ou encore la société de crédit Elantis, filiale de Dexia. Leur technique, la « cyberextorsion », est une des variantes des escroqueries qui visent, sur Internet, les entreprises et les banques. 36 PHOTO © Khanh Renaud Les victimes : PME ou grands groupes le vrai prix des attaques virtuelles 736 millions d’euros Le coût de la cybercriminalité en France, en 2013, selon l’éditeur d’antivirus Symantec. 95 % d’entreprises du CAC 40 déclaraient, en 2013, avoir instauré une politique de sécurité informatique, selon le Club de la sécurité de l’information français. 2,86 millions d’euros C’est le préjudice financier moyen subi par une entreprise française victime d’un piratage, selon Symantec : données volées ou abîmées, frais informatiques, réputation... grand angle I internet « Les victimes sont aussi bien des sociétés du CAC 40 que des PME », confie le chef d’escadron Pascal Thys, de la division de lutte contre la cybercriminalité de la gendarmerie. En 2013, les cybercrimes auraient coûté 736 millions d’euros en France et 83 milliards d’euros dans le monde, selon l’éditeur d’antivirus Symantec. Malgré des montants colossaux, ces délits restent méconnus, les victimes craignant pour leur réputation. « Les pertes financières se comptent en dizaines de millions d’euros », confirme Irène Plichon, ingénieur en risques informatiques chez Axa. Les grandes entreprises prennent désormais la menace au sérieux et s’assurent en conséquence : « Des contrats garantissent les pertes et les frais engagés en cas d’attaque », précise Jérôme Gossé, expert chez l’assureur suisse Zurich. Les PME, moins protégées, sont des proies idéales pour les nouveaux as du crime. Pour améliorer leur protection, certaines sociétés demandent à de « gentils hackers » de les mettre à l’épreuve. Les failles découvertes sont parfois béantes. En 2010, mandaté par une banque canadienne, Nish Bhalla, patron de la société informatique Security Compass, avait ainsi pénétré le poste d’un guichetier et accédé à la base de données centrale de l’établissement. Il y a créé un nouveau compte et lui a affecté la modique somme de 14 millions de dollars (10,3 millions d’euros). « De l’argent créé de toutes pièces. J’aurais pu le transférer sur un compte à l’étranger », sourit Nish Bhalla. Le client a fait réparer les failles. Si des procédures empêchent a priori qu’un tel « exploit » ait lieu, les cybercriminels ne manquent pas d’imagination pour mettre au point de nouvelles techniques. 1 I La cyberextorsion LA MÉTHODE. S’infiltrer dans le réseau informatique d’une société, récupérer des données confidentielles, pour faire chanter ses dirigeants en les menaçant de les divulguer, de les effacer ou d’en bloquer l’accès. 2 I Le vol et le recel de coordonnées personnelles et bancaires de Nice. « Les données informatiques peuvent se revendre jusqu’à 1 euro par client », insiste-t-il. Selon lui, la majorité des victimes payent pour empêcher l’affaire de s’ébruiter. « On compte une dizaine d’attaques de ce genre chaque mois. Les sommes réclamées vont de 5 000 à 25 000 euros. Bien souvent, les clients ne sont même pas alertés du piratage », regrette-t-il. « Nous conseillons pourtant aux victimes de le faire, pour couper l’herbe sous le pied aux assaillants », nuance Laurent Combalbert, un ancien du Raid devenu cybernégociateur. LA MÉTHODE. Les pirates s’introduisent dans les ser- veurs de l’entreprise pour voler des coordonnées personnelles ou bancaires et les revendre sur Internet. Le gros coup. Les fichiers clients des grandes entreprises sont aujourd’hui une cible de choix pour les pirates. Orange a reconnu en mai le vol de données de 1,3 million de clients, trois mois après une intrusion qui en avait touché 800 000. « Les pirates se servent de ces informations personnelles pour pra- Si l’attaque avait duré plusieurs jours, nous aurions perdu des millions d’euros Un mail de chantage, en anglais, reçu par un dirigeant de société français. Le message du pirate est clair : « Nous faisons cela pour l’argent. » Daniel Marhely, fondateur de Deezer le gros coup. « Cher monsieur, une faille sur votre site Internet nous a permis de copier entièrement le contenu de votre base de données clients (…) Si un paiement en bitcoins (une monnaie électronique, NDLR) de 25 000 euros n’est pas reçu d’ici une semaine, le tarif sera de 30 000 euros. » Dans ce mail d’août 2012, rédigé dans un anglais soigné, les cybercriminels de Rex Mundi (auteurs de l’attaque contre Domino’s Pizza) ont voulu faire chanter un établissement de crédit niçois. « On a pris le mail pour un spam, se rappelle le patron. La police nous a alertés quand les hackers ont revendiqué l’attaque sur Twitter. » Objet de la rançon : un fichier d’une centaine de clients, mentionnant adresses, téléphones et salaires. « Nous n’avons pas payé et avons déposé plainte », précise-t-il. Une réaction plutôt rare, à en croire le capitaine Pierre Penalba, à la tête du groupe de lutte contre la cybercriminalité Daniel Marhely, le fondateur de la plate-forme musicale de Deezer. Sur omerta.cc, les pirates revendent des numéros de cartes bancaires, fichiers de données, etc. 38 magazine du VENDREDI 18 juillet 2014 PHOTOs © Romuald Maigneux, dr PHOTOs © xxxxxxxxxxxxxxxxxxx Pour opérer en toute liberté, les cybercriminels utilisent des sites hébergés dans des paradis numériques, à la législation lâche. « Par exemple, les îles Tuvalu (dont les adresses Web finissent en .tv) ou les îles Coco (en .cc), ce qui complique grandement les investigations à l’échelle internationale », relève Laurent Frappart, chef du groupe cybercriminalité de la gendarmerie du Pas-de-Calais. Dans ces conditions, difficile de trouver le pays d’origine des assaillants. Toutefois, selon une étude réalisée par la société américaine Akamai au deuxième trimestre 2013, l’Indonésie a détrôné la Chine dans le palmarès des pays d’où sont lancées le plus grand nombre de cyberattaques dans le monde. PHOTOs © xxxxxxxxxxxxxxxxxxx Des planques paradisiaques pour cybercriminels magazine du VENDREDI 18 juillet 2014 tiquer du phishing », assure l’expert informatique Eric Filiol. Cette technique de piratage consiste à faire croire aux internautes qu’une institution (EDF, Trésor public…) leur adresse un e-mail personnalisé, afin de récupérer leurs coordonnées bancaires. « Souvent, les entreprises ne se rendent même pas compte du vol », s’alarme Matthieu Grall, de la Cnil (Commission nationale de l’informatique et des libertés). En 2012, près de 700 000 débits frauduleux ont ainsi été enregistrés en France, selon l’Observatoire national de la délinquance et des réponses pénales (ONDRP). En mai dernier, l’Association française des usagers des banques (Afub) a été alertée par plus de 600 clients de La Banque postale et du Crédit mutuel Nord Europe (CMNE), qui auraient vu leurs comptes débités de 1 500 à 10 000 euros. « Les données bancaires volées s’échangent sur un marché clandestin sur le Net, facilement accessible », poursuit Laurent Frappart, chef du groupe de lutte contre la cybercriminalité du Pas-de-Calais. Les tarifs vont de 2 à 7 euros pour une carte bancaire, selon les sites, dont le plus connu est www.omerta.cc. 3 I L’attaque par déni de service (DOS – denial of service attack) LA MÉTHODE. Bloquer un site en utilisant un réseau de milliers d’ordinateurs infectés, appelés « botnets », qui se connectent simultanément sur le site visé. Le gros coup. Le 6 juin dernier au soir, des serveurs de la plate-forme musicale Deezer, débordés de requêtes, deviennent inaccessibles pendant une demi-heure. « C’était un test. J’ai ensuite reçu un mail, réclamant 2 000 dollars pour éviter une 39 grand angle I internet En France, 18 millions de cartes bancaires sont piratables à une distance de quelques mètres Les Canadiens Caleb Turon et Matthew Hewlett, 14 et 15 ans, ont piraté un distributeur automatique, avec un simple mode d’emploi. Un jeu d’enfant ! consulter l’ensemble des opérations effectuées et savoir combien de liquide restait dans le distributeur. Reconnaissant, le directeur de l’agence leur a rédigé un mot d’excuse pour justifier leur retard au lycée. Les cybercriminels utilisent, quant à eux, des clés USB pour insérer un virus dans les machines, qui fonctionnent souvent sous Windows. D’autres ont recours à la technique, plus artisanale, du faux clavier et du faux lecteur de carte. nouvelle attaque. Je n’ai pas répondu », raconte le fondateur, Daniel Marhely. Le lendemain, les cyberdélinquants mettent leur menace à exécution et rendent le site indisponible jusqu’à 1 heure du matin, quand la dizaine de techniciens mobilisés par Deezer pare enfin l’offensive. Finalement, aucune information personnelle n’a été dérobée, et le site est resté bloqué pendant six heures. « Si cela avait duré plusieurs jours, j’aurais dû offrir une compensation. Une semaine gratuite offerte à nos abonnés se chiffre en millions d’euros », soupire Daniel Marhely, qui a joué la transparence et averti ses usagers sur le site. Quelques clics suffisent pour louer un réseau d’ordinateurs zombies et mener une telle offensive, sans connaissance technique. « Cela coûte de 37 à 147 euros pour quelques heures », précise Jérôme Granger, porte-parole de l’éditeur d’antivirus G Data. 4 I Le piratage de distributeur LA MÉTHODE. Suivre le mode d’emploi sur Internet ! Le gros coup. Début juin, deux hackers au visage poupin se sont présentés au guichet de la Bank of Montreal, à Winnipeg (Canada). Ces ados de 14 et 40 15 ans ont expliqué au chef de l’agence comment ils avaient réussi, à l’heure de la cantine, à s’introduire dans un distributeur automatique de billets : ils ont trouvé le mode d’emploi sur le Web, l’ont suivi et ont tapé au hasard un mot de passe très commun, tombé juste. Ils n’ont pas tiré d’argent, mais ont pu L’« arnaque au président » incite un employé à effectuer un virement en lui faisant croire que cette demande émane du dirigeant. magazine du VENDREDI 18 juillet 2014 PHOTOs © Chris Procaylo/Winnipeg Sun/QMI Agency, CBS Studio inc. 5 I L’arnaque au président LA MÉTHODE. Se faire passer pour un dirigeant auprès d’un employé et lui faire effectuer un virement ou le faire cliquer sur un lien malveillant. le gros coup. L’opération « Francophoned », dont ont été victimes quatorze PME françaises entre février 2012 et avril 2013, relève de l’orfèvrerie. Tout débute par un e-mail envoyé à l’assistante d’un vice-président, qui fait référence à une facture et indique un lien. « Dans la foulée, elle reçoit un coup de téléphone d’une personne qui se fait passer pour un autre vice-président et lui ordonne de cliquer sur le document. Dès lors, la machine passe sous le contrôle du cybercriminel », détaille Laurent Heslault, expert chez Symantec. L’assaillant s’informe sur les procédures de l’entreprise en cas de défaillance informatique afin de les déjouer ensuite. Le jour J, il appelle l’opérateur téléphonique de la société, évoque un problème et demande que tous les appels entrants soient redirigés vers un numéro qu’il contrôle. Quelques instants plus tard, il envoie un fax au banquier de l’entreprise, préalablement repéré, et lui demande de faire des virements vers des comptes à l’étranger. Ce dernier s’étonne, appelle son client pour vérifier mais tombe sur l’escroc, qui rassure le banquier. « L’argent était transféré en Israël. Les serveurs des criminels étaient, eux, basés en Ukraine », se souvient Laurent Heslault. Ce genre d’arnaque, souvent moins élaborées, est devenu banal, surtout en août, quand les patrons ne sont pas là. Falsifier une adresse e-mail est un jeu d’enfant et « il suffit d’aller sur le site Infogreffe pour trouver les informations financières nécessaires à l’offensive », déplore David Hornus, de la société de sécurité Corpguard. Personne n’est à l’abri : selon le quotidien en ligne La Tribune, le cabinet d’audit KPMG s’était ainsi fait dérober plus de 7,6 millions d’euros en 2012. magazine du VENDREDI 18 juillet 2014 6 I L’interception d’un paiement sans contact LA MÉTHODE. Placer un récepteur à proximité de la caisse d’un commerçant équipé d’un terminal de paiement sans contact, et récolter les coordonnées bancaires des clients qui utilisent une carte. Le gros coup. En France, 18 millions de cartes bancaires sont équipées de la technologie NFC (Near Field Communication), qui permet de régler sans taper de code, en posant sa carte sur un terminal de paiement. En avril 2012, l’ingénieur français Renaud Lifchitz, lors du congrès de hackers Hackito Ergo Sum, a montré comment intercepter, à quelques mètres de distance, un paiement sans contact et récupérer le nom, le prénom, le numéro de carte bancaire, la date d’expiration, le cryptogramme à trois chiffres et l’historique des transactions du client. A la demande de la Cnil, seuls apparaissent aujourd’hui dans les transactions sans contact le numéro de carte bancaire et la date d’expiration… qui suffisent aux transactions sur des sites étrangers. « Les cyberdélinquants vont s’engouffrer dans cette faille », prédit Michel Van Den Berghe, directeur d’Orange Cyberdéfense. Patricia Arquette, la cyberflic des « Experts » Preuve que les cybercriminels n’ont plus rien à envier aux malfrats à l’ancienne, la série Les Experts (CSI, en anglais) aura désormais sa déclinaison consacrée aux délinquants du Net. Dans CSI : Cyber, l’actrice américaine Patricia Arquette (au centre) jouera Avery Ryan, chef du service de lutte contre la cybercriminalité du FBI, implantée à Quantico, près de Washington. La série sera d’abord diffusée sur la chaîne CBS aux Etats-Unis en 2015, puis sur TF1. 41