comment les entreprises se font voler (Le Parisien Magazine)

grand angle I internet
Au fort de Rosny-sous-Bois
(Seine-Saint-Denis),
des gendarmes
de la division de lutte
contre la cybercriminalité.
sur la piste
des cyber
braqueurs
Grâce à des arnaques élaborées visant les entreprises
et les particuliers, des délinquants extorquent depuis leur
ordinateur des sommes colossales. La traque s’organise.
Par Matthieu Delacharlery et Stéphane Loignon
A
quelques heures du début de la Coupe
du monde de football, Domino’s Pizza
salivait d’impatience. Pour la marque
américaine, la compétition a pourtant
commencé par une défaite. Le 12 juin,
à deux heures du coup d’envoi de BrésilCroatie, sa filiale française a avoué à ses clients, sur
Twitter, s’être fait pirater. Au même moment, un
groupe de cybercriminels, Rex Mundi, revendiquait
l’attaque et menaçait de publier les données volées
– 592 000 coordonnées, mots de passe et pizzas préférées d’habitués – si une rançon de 30 000 euros n’était
pas payée sous soixante-douze heures. « Aucune
coordonnée bancaire n’a été dérobée, car notre site
n’accepte pas les paiements en ligne, insiste Nicolas
Dégeraud, directeur marketing de la marque en
France. Nous n’avons pas cédé au chantage, nous
avons informé nos franchisés et nos clients, porté
plainte auprès du procureur de la République de Paris
et sécurisé notre site. A notre connaissance, aucune
donnée n’a été publiée. »
Les pirates de Rex Mundi comptent déjà à leur tableau
de chasse le fournisseur d’accès Numéricable, l’agence
d’intérim Ago ou encore la société de crédit Elantis,
filiale de Dexia. Leur technique, la « cyberextorsion »,
est une des variantes des escroqueries qui visent,
sur Internet, les entreprises et les banques.
36
PHOTO © Khanh Renaud
Les victimes : PME ou grands groupes
le vrai prix des attaques virtuelles
736
millions
d’euros
Le coût de la cybercriminalité
en France, en 2013, selon l’éditeur
d’antivirus Symantec.
95 %
d’entreprises du CAC 40 déclaraient, en
2013, avoir instauré une politique de
sécurité informatique, selon le Club de la
sécurité de l’information français.
2,86
millions
d’euros
C’est le préjudice financier moyen subi par
une entreprise française victime d’un
piratage, selon Symantec : données volées
ou abîmées, frais informatiques, réputation...
grand angle I internet
« Les victimes sont aussi bien des sociétés du
CAC 40 que des PME », confie le chef d’escadron Pascal
Thys, de la division de lutte contre la cybercriminalité
de la gendarmerie. En 2013, les cybercrimes auraient
coûté 736 millions d’euros en France et 83 milliards
d’euros dans le monde, selon l’éditeur d’antivirus
Symantec. Malgré des montants colossaux, ces délits
restent méconnus, les victimes craignant pour leur
réputation. « Les pertes financières se comptent en
dizaines de millions d’euros », confirme Irène Plichon,
ingénieur en risques informatiques chez Axa. Les
grandes entreprises prennent désormais la menace au
sérieux et s’assurent en conséquence : « Des contrats
garantissent les pertes et les frais engagés en cas d’attaque », précise Jérôme Gossé, expert chez l’assureur
suisse Zurich. Les PME, moins protégées, sont des
proies idéales pour les nouveaux as du crime.
Pour améliorer leur protection, certaines sociétés
demandent à de « gentils hackers » de les mettre
à l’épreuve. Les failles découvertes sont parfois
béantes. En 2010, mandaté par une banque canadienne, Nish Bhalla, patron de la société informatique Security Compass, avait ainsi pénétré le
poste d’un guichetier et accédé à la base de données
centrale de l’établissement. Il y a créé un nouveau
compte et lui a affecté la modique somme de 14 millions de dollars (10,3 millions d’euros). « De l’argent
créé de toutes pièces. J’aurais pu le transférer sur un
compte à l’étranger », sourit Nish Bhalla. Le client a
fait réparer les failles. Si des procédures empêchent a
priori qu’un tel « exploit » ait lieu, les cybercriminels
ne manquent pas d’imagination pour mettre au point
de nouvelles techniques.
1 I La cyberextorsion
LA MÉTHODE. S’infiltrer dans le réseau informatique
d’une société, récupérer des données confidentielles,
pour faire chanter ses dirigeants en les menaçant de
les divulguer, de les effacer ou d’en bloquer l’accès.
2 I Le vol et le recel de coordonnées
personnelles et bancaires
de Nice. « Les données infor­matiques peuvent se
revendre jusqu’à 1 euro par client », insiste-t-il. Selon
lui, la majorité des victimes payent pour empêcher
l’affaire de s’ébruiter. « On compte une dizaine
d’attaques de ce genre chaque mois. Les sommes
réclamées vont de 5 000 à 25 000 euros. Bien
souvent, les clients ne sont même pas alertés du
piratage », regrette-t-il. « Nous conseillons pourtant
aux victimes de le faire, pour couper l’herbe sous le
pied aux assaillants », nuance Laurent Combalbert,
un ancien du Raid devenu cybernégociateur.
LA MÉTHODE. Les pirates s’introduisent dans les ser-
veurs de l’entreprise pour voler des coordonnées personnelles ou bancaires et les revendre sur Internet.
Le gros coup. Les fichiers clients des grandes entreprises sont aujourd’hui une cible de choix pour les
pirates. Orange a reconnu en mai le vol de données
de 1,3 million de clients, trois mois après une intrusion qui en avait touché 800 000. « Les pirates se
servent de ces informations personnelles pour pra-
Si l’attaque avait
duré plusieurs jours,
nous aurions perdu
des millions d’euros Un mail de chantage, en anglais, reçu par un dirigeant
de société français. Le message du pirate est clair :
« Nous faisons cela pour l’argent. »
Daniel Marhely, fondateur de Deezer
le gros coup. « Cher monsieur, une faille sur votre
site Internet nous a permis de copier entièrement le
contenu de votre base de données clients (…) Si un
paiement en bitcoins (une monnaie électronique,
NDLR) de 25 000 euros n’est pas reçu d’ici une
semaine, le tarif sera de 30 000 euros. » Dans ce mail
d’août 2012, rédigé dans un anglais soigné, les
cybercriminels de Rex Mundi (auteurs de l’attaque
contre Domino’s Pizza) ont voulu faire chanter un
établissement de crédit niçois. « On a pris le mail
pour un spam, se rappelle le patron. La police nous a
alertés quand les hackers ont revendiqué l’attaque
sur Twitter. » Objet de la rançon : un fichier d’une
centaine de clients, mentionnant adresses,
téléphones et salaires. « Nous n’avons pas payé et
avons déposé plainte », précise-t-il. Une réaction
plutôt rare, à en croire le capitaine Pierre Penalba, à
la tête du groupe de lutte contre la cybercriminalité
Daniel Marhely,
le fondateur
de la plate-forme
musicale de Deezer.
Sur omerta.cc,
les pirates
revendent des
numéros de
cartes bancaires,
fichiers de
données, etc.
38
magazine du VENDREDI 18 juillet 2014
PHOTOs © Romuald Maigneux, dr
PHOTOs © xxxxxxxxxxxxxxxxxxx
Pour opérer en toute liberté, les cybercriminels
utilisent des sites hébergés dans des paradis
numériques, à la législation lâche. « Par exemple,
les îles Tuvalu (dont les adresses Web finissent
en .tv) ou les îles Coco (en .cc), ce qui complique
grandement les investigations à l’échelle
internationale », relève Laurent Frappart,
chef du groupe cybercriminalité de la gendarmerie
du Pas-de-Calais. Dans ces conditions, difficile
de trouver le pays d’origine des assaillants.
Toutefois, selon une étude réalisée par la société
américaine Akamai au deuxième trimestre 2013,
l’Indonésie a détrôné la Chine dans le palmarès
des pays d’où sont lancées le plus grand nombre
de cyberattaques dans le monde.
PHOTOs © xxxxxxxxxxxxxxxxxxx
Des planques paradisiaques pour cybercriminels
magazine du VENDREDI 18 juillet 2014
tiquer du phishing », assure l’expert informatique
Eric Filiol. Cette technique de piratage consiste à
faire croire aux internautes qu’une institution (EDF,
Trésor public…) leur adresse un e-mail personnalisé, afin de récupérer leurs coordonnées bancaires.
« Souvent, les entreprises ne se rendent même pas
compte du vol », s’alarme Matthieu Grall, de la Cnil
(Commission nationale de l’informatique et des
libertés). En 2012, près de 700 000 débits frauduleux
ont ainsi été enregistrés en France, selon l’Observatoire national de la délinquance et des réponses
pénales (ONDRP). En mai dernier, l’Association française des usagers des banques (Afub) a été alertée par
plus de 600 clients de La Banque postale et du Crédit
mutuel Nord Europe (CMNE), qui auraient vu leurs
comptes débités de 1 500 à 10 000 euros. « Les données bancaires volées s’échangent sur un marché
clandestin sur le Net, facilement accessible », poursuit Laurent Frappart, chef du groupe de lutte contre
la cybercriminalité du Pas-de-Calais. Les tarifs vont
de 2 à 7 euros pour une carte bancaire, selon les sites,
dont le plus connu est www.omerta.cc.
3 I L’attaque par déni de service
(DOS – denial of service attack)
LA MÉTHODE. Bloquer un site en utilisant un réseau
de milliers d’ordinateurs infectés, appelés « botnets »,
qui se connectent simultanément sur le site visé.
Le gros coup. Le 6 juin dernier au soir, des serveurs de la plate-forme musicale Deezer, débordés
de requêtes, deviennent inaccessibles pendant une
demi-heure. « C’était un test. J’ai ensuite reçu un
mail, réclamant 2 000 dollars pour éviter une
39
grand angle I internet
En France, 18 millions de cartes
bancaires sont piratables à
une distance de quelques mètres
Les Canadiens Caleb Turon
et Matthew Hewlett, 14 et
15 ans, ont piraté un distributeur
automatique, avec un simple
mode d’emploi. Un jeu d’enfant !
consulter l’ensemble des opérations effectuées et
savoir combien de liquide restait dans le distributeur. Reconnaissant, le directeur de l’agence leur a
rédigé un mot d’excuse pour justifier leur retard au
lycée. Les cybercriminels utilisent, quant à eux, des
clés USB pour insérer un virus dans les machines,
qui fonctionnent souvent sous Windows. D’autres
ont recours à la technique, plus artisanale, du faux
clavier et du faux lecteur de carte.
nouvelle attaque. Je n’ai pas répondu », raconte
le fondateur, Daniel Marhely. Le lendemain, les
cyberdélinquants mettent leur menace à exécution
et rendent le site indisponible jusqu’à 1 heure du
matin, quand la dizaine de techniciens mobilisés par
Deezer pare enfin l’offensive.
Finalement, aucune information personnelle n’a
été dérobée, et le site est resté bloqué pendant six
heures. « Si cela avait duré plusieurs jours, j’aurais
dû offrir une compensation. Une semaine gratuite
offerte à nos abonnés se chiffre en millions d’euros »,
soupire Daniel Marhely, qui a joué la transparence
et averti ses usagers sur le site. Quelques clics suffisent pour louer un réseau d’ordinateurs zombies et
mener une telle offensive, sans connaissance technique. « Cela coûte de 37 à 147 euros pour quelques
heures », précise Jérôme Granger, porte-parole de
l’éditeur d’antivirus G Data.
4 I Le piratage de distributeur
LA MÉTHODE. Suivre le mode d’emploi sur Internet !
Le gros coup. Début juin, deux hackers au visage
poupin se sont présentés au guichet de la Bank of
Montreal, à Winnipeg (Canada). Ces ados de 14 et
40
15 ans ont expliqué au chef de l’agence comment ils
avaient réussi, à l’heure de la cantine, à s’introduire
dans un distributeur automatique de billets : ils ont
trouvé le mode d’emploi sur le Web, l’ont suivi et
ont tapé au hasard un mot de passe très commun,
tombé juste. Ils n’ont pas tiré d’argent, mais ont pu
L’« arnaque au
président » incite
un employé
à effectuer un
virement en lui
faisant croire
que cette
demande émane
du dirigeant.
magazine du VENDREDI 18 juillet 2014
PHOTOs © Chris Procaylo/Winnipeg Sun/QMI Agency, CBS Studio inc.
5 I L’arnaque au président
LA MÉTHODE. Se faire passer pour un dirigeant auprès
d’un employé et lui faire effectuer un virement ou le
faire cliquer sur un lien malveillant.
le gros coup. L’opération « Francophoned », dont
ont été victimes quatorze PME françaises entre
février 2012 et avril 2013, relève de l’orfèvrerie.
Tout débute par un e-mail envoyé à l’assistante
d’un vice-président, qui fait référence à une facture
et indique un lien. « Dans la foulée, elle reçoit un
coup de téléphone d’une personne qui se fait passer pour un autre vice-président et lui ordonne de
cliquer sur le document. Dès lors, la machine passe
sous le contrôle du cybercriminel », détaille Laurent
Heslault, expert chez Symantec. L’assaillant s’informe sur les procédures de l’entre­prise en cas de
défaillance informatique afin de les déjouer ensuite.
Le jour J, il appelle l’opérateur téléphonique de la
société, évoque un problème et demande que tous
les appels entrants soient redirigés vers un numéro
qu’il contrôle. Quelques instants plus tard, il envoie
un fax au banquier de l’entreprise, préalablement
repéré, et lui demande de faire des virements vers
des comptes à l’étranger. Ce dernier s’étonne, appelle
son client pour vérifier mais tombe sur l’escroc,
qui rassure le banquier. « L’argent était transféré
en Israël. Les serveurs des criminels étaient, eux,
basés en Ukraine », se souvient Laurent Heslault.
Ce genre d’arnaque, souvent moins élaborées, est
devenu banal, surtout en août, quand les patrons ne
sont pas là. Falsifier une adresse e-mail est un jeu
d’enfant et « il suffit d’aller sur le site Infogreffe pour
trouver les informations financières nécessaires à
l’offensive », déplore David Hornus, de la société de
sécurité Corpguard. Personne n’est à l’abri : selon
le quotidien en ligne La Tribune, le cabinet d’audit
KPMG s’était ainsi fait dérober plus de 7,6 millions
d’euros en 2012.
magazine du VENDREDI 18 juillet 2014
6 I L’interception
d’un paiement
sans contact
LA MÉTHODE. Placer un récepteur à proximité de la
caisse d’un commerçant équipé d’un terminal de
paiement sans contact, et récolter les coordonnées
bancaires des clients qui utilisent une carte.
Le gros coup. En France, 18 millions de cartes bancaires sont équipées de la technologie NFC (Near
Field Communication), qui permet de régler sans
taper de code, en posant sa carte sur un terminal de
paiement. En avril 2012, l’ingénieur français Renaud
Lifchitz, lors du congrès de hackers Hackito Ergo
Sum, a montré comment intercepter, à quelques
mètres de distance, un paiement sans contact et
récupérer le nom, le prénom, le numéro de carte bancaire, la date d’expiration, le cryptogramme à trois
chiffres et l’historique des transactions du client. A la
demande de la Cnil, seuls apparaissent aujourd’hui
dans les transactions sans contact le numéro de
carte bancaire et la date d’expiration… qui suffisent
aux transactions sur des sites étrangers. « Les cyberdélinquants vont s’engouffrer dans cette faille »,
prédit Michel Van Den Berghe, directeur d’Orange
Cyberdéfense.
Patricia Arquette, la cyberflic
des « Experts »
Preuve que les cybercriminels n’ont plus rien à envier aux malfrats
à l’ancienne, la série Les Experts (CSI, en anglais) aura désormais
sa déclinaison consacrée aux délinquants du Net. Dans CSI : Cyber,
l’actrice américaine Patricia Arquette (au centre) jouera Avery Ryan,
chef du service de lutte contre la cybercriminalité du FBI, implantée
à Quantico, près de Washington. La série sera d’abord diffusée
sur la chaîne CBS aux Etats-Unis en 2015, puis sur TF1.
41