Lorsqu’on évoque les attaques cyber, on pense généralement, en premier lieu, aux entreprises victimes de ransomware, très médiatisées. Il s’agit du cas où des entreprises subissent un chantage financier à la suite du blocage de leur système informatique, infecté par un malware.  Afin d’obtenir une clé de déchiffrement ou d’échapper à la divulgation de données, la victime se trouve contrainte de payer une rançon.

Les entreprises prenant conscience que le paiement de la rançon ne garantit jamais un retour à une situation sereine, honorent de moins en moins les paiements. En conséquence, les cyberscriminels élargissent leurs pratiques pour détourner des fonds. La recrudescence des techniques dites d’hameçonnage (phishing), de compromission de courriel professionnel, en sont l’illustration.

La réussite de ces manœuvres repose sur leur crédibilité (noms d’utilisateurs réels lors d’envoi de courriels), attestant que les fraudeurs ont réussi à obtenir des informations précises sur leur cible.

Leurs méthodes : tromper la vigilance des utilisateurs par l’envoi de courriel d’apparence légitime pour voler des identifiants d’accès aux réseaux informatiques, des coordonnées bancaires ou des identifiants de connexion à des services financiers. La victime induite en erreur délivre les informations confidentielles.

Les courriels, SMS et appels téléphoniques sont les moyens utilisés couramment. Une fois les codes de boîte mail obtenus, l’accès aux plateformes auxquelles le compte est connecté devient possible, mais également l’usurpation d’identité pour se faire passer pour la victime auprès de tiers.

Le recours à des techniques provoquant de la peur ou de la détresse émotionnelle n’est malheureusement pas en reste non plus pour extorquer des informations (harcèlement, fausses déclarations d’infractions, chantage à la pédopornographie…), la désinformation, le mensonge ou la calomnie étant facilitées par l’anonymat des écrans.

La sécurité du système informatique mise en place doit être suffisante pour limiter les intrusions ; elle doit être renforcée par la sensibilisation des utilisateurs à ces pratiques. La définition des pouvoirs et des responsabilités dans les tâches est essentielle comme la mise en place de circuit de validation des paiements (double signature, contrôle interne, circuit de validation des achats, suivi des effectifs et des droits d’accès informatiques…). 

En conclusion, ne pas perdre de vue que :

•  les cyberattaques sont souvent exécutées à des fins financières ;
• les outils informatiques pour lutter contre les intrusions malveillantes sont nécessaires et doivent être mis à jour pour endiguer les risques de fraude ;
• face au recours massif au phishing, la connaissance des utilisateurs de ces pratiques est essentielle pour maintenir le bon niveau d’attention.  

Le rempart contre la cyberfraude dépend de la responsabilité de tous. Des moyens simples existent :  

•  l’authentification à deux facteurs ;
• garder ses mots de passe secrets ;
• utiliser des mots de passe solides, composés de caractères spéciaux.

> En cas d’incident, il est essentiel de porter plainte

Quelques exemples de techniques :

Le FOVI : fraude au faux ordres de virement

Cette technique consiste en un piratage préalable de la messagerie de la victime ou du créancier, afin d’obtenir des informations sur des instances de règlement et détenir un niveau d’information incontestable. Puis, suit l’envoi à la victime d’une facture en attente de paiement, en usurpant l’identité d’un créancier (artisan, fournisseur...).

L’utilisation de faux sites web ou de faux portails de services légitimes

Ce moyen permet de transmettre et de dissimuler des attaques de phishing. Les victimes suivent les processus usuels les invitant à communiquer des informations administratives et financières, voire des codes d’accès informatiques directement en ligne.

Ou alors, un site officiel devient le véhicule d’intrusion, par exemple des entreprises en quête de candidats, les pirates postulent à des offres d'emploi et téléchargent un CV au format PDF contenant des liens malveillants qui pourra se déployer à la lecture.

En savoir plus sur la cybercriminalité

• Centre pour la Cybersécurité Belgique
• Pour les entreprises