L’arnaque au président : comment prévenir ce type d’attaque ?
Dans la grande famille des attaques à base d’ingénierie sociale, celles qu’on désigne par les termes “Arnaque au Président” et plus largement “Business Email Compromise” (BEC) ont clairement le vent en poupe. Ce “secteur d’activité”, qui consiste à user d’une imposture par e-mail pour détourner des fonds ou obtenir des données, a coûté aux entreprises 2,7 milliards de dollars en 2022 et pourrait bien leur soutirer 3,3 milliards de dollars d’ici 2028. Avec un tel poids économique, il est difficile d’affirmer que votre entreprise ne sera jamais concernée par ce genre de malversations. Il est donc bon de savoir en quoi consiste ces attaques, souvent sophistiquées, pour pouvoir les prévenir et protéger son entreprise et ses employés.
Comprendre ce qu’est l’Arnaque au Président
Le principe de ces attaques par e-mail repose sur une usurpation d’identité qui permet de tisser un lien de confiance et conduire un employé à faire une opération (au hasard : un virement) hors du cadre habituel. Sur cette base, les variations n’ont pas d’autres limites que l’imagination des escrocs en ligne.
1. Différentes formes d’attaques
Le terme “attaque au président” est en effet un peu réducteur et ne doit pas faire oublier que toutes les strates d’une entreprise sont concernées. Voici les principaux cas de figure qu’on peut rencontrer.
L’Arnaque au Président classique
Une imposture par mail permet d’envoyer un message à un employé pour demander un virement de fond en lui laissant entendre que la requête est urgente et émane d’un cadre dirigeant de l’entreprise (voire du CEO lui-même). C’est justement parce que cette requête est urgente qu’elle outrepasse la procédure habituelle, cette méthode d’ingénierie sociale met la pression sur l’employé pour le contraindre à obtempérer.
La fausse facture de fournisseur
Ici, un tiers parvient à identifier une relation entre deux personnes : un fournisseur et son interlocuteur au sein de l’entreprise. Il peut ainsi adresser une facture à l’entreprise en se faisant passer pour ce fournisseur, mais en orientant le paiement vers son propre compte.
L’imposture de l’avocat
Là encore, la pression est mise sur l’employé en insistant sur l’urgence d’un virement mais aussi sur son caractère confidentiel. L’employé ciblé est donc incité à s’exécuter sans prendre les avis de ses collègues ou supérieurs directs et menacé de mettre en grande difficulté son entreprise s’il ne s’exécute pas.
Le vol de données
Jusqu’ici, nous avons évoqué des méthodes permettant à des tiers malveillants de réceptionner des transferts de fonds, mais l’objet de ces attaques peut être d’une autre nature. Une telle usurpation d’identité peut servir à récupérer des informations sensibles ou plus simplement des noms et des e-mails qui pourront servir une arnaque au président encore plus élaborées.
2. Des attaques sophistiquées
L’arnaque au président (ou tout autre forme d’attaque BEC) repose donc sur un fondement essentiel : un lien de confiance établi avec le ou les employés ciblés par l’attaque. Il y a donc un travail préliminaire effectué pour éliminer toute suspicion.
- Choisir une cible adaptée : idéalement une grande entreprise avec une importante division des tâches. Il serait bien plus compliqué de monter une arnaque au président dans une PME dans laquelle le “président” travaille au quotidien avec ses employés et effectue lui-même la plupart des paiements. Le nombre d’attaques s’accroît donc avec la taille de la structure, mais ce sont surtout les employés des entreprises ayant entre 500 et 1500 employés qui sont les plus fréquemment confrontées à ce type d’e-mail frauduleux. Les plus grandes entreprises sont davantage attaquées mais de manière moins intensive quand on rapporte ce nombre au volume des boites mails.
- Collecter des informations : les noms, les adresses e-mail, le rôle des personnes influentes de la société mais également la teneur de leurs échanges. Beaucoup de ces informations sont disponibles publiquement, notamment sur les réseaux sociaux.
- Mettre en oeuvre l’usurpation d’identité : le mail doit sembler émaner d’un dirigeant ou d’un interlocuteur identifié, il faut donc pour l’attaquant parvenir à pirater un compte mail (grâce à du phishing par exemple) ou utiliser une adresse crédible (grâce à du typosquatting notamment)
- Une fois le lien de confiance établi, l’employé est mis sous pression par le caractère urgent et/ou confidentiel de l’opération et est invité à exécuter la consigne donnée.
- Faire transiter les fonds (si c’est de cela qu’il s’agit) à l’étranger pour en réduire la traçabilité.
On le voit : la dimension technique de ce type d’attaque est assez modeste et le principal levier qui permet à l’arnaque au président de fonctionner est la psychologie complexe d’employés tiraillés entre les impératifs de sécurité et la demande frauduleuse de pragmatisme qui leur est faite : faut-il obéir à des procédures strictes où à son supérieur ? L’employé se sent-il légitime pour rappeler ces règles à celui qu’il croit être une autorité ? On comprend aisément que la prévention est nécessaire pour se prémunir contre ce genre d’attaque mais qu’elle ne suffit pas. C’est justement le caractère “humain” des agents ciblés qui autorise quoi qu’il arrive des exceptions à toutes les règles, cette qualité qu’est le “bon sens “ est transformée en vulnérabilité. Il faut donc aussi des dispositifs techniques, intraitables, pour se prémunir contre ces formes d’ingénierie sociale.
Stratégies préventives
1. Identifier une arnaque au président ou une attaque BEC
La confiance sur laquelle repose l’attaque est souvent liée au fait que peu de gens soupçonnent l’existence même de ces malversations. La première étape de la prévention est donc de communiquer en interne sur l’existence de ces menaces et encourager chacun des employés à se montrer extrêmement suspicieux à chaque demande sortant de l’ordinaire. Quelques éléments peuvent éveiller les soupçons :
- Un caractère urgent qui ne va pas de soi
- Des destinations de paiements changés à la dernière minute
- Des communications par e-mails uniquement et jamais par téléphone ou en visio
- Des paiements exigés en avances quand ça n’était pas le cas jusqu’ici
D’une manière générale, une situation exceptionnelle exigeant des mesures inhabituelles doivent encourager le destinataires à vérifier l’adresse de l’expéditeur, la comparer avec l’adresse de réponse, les destinations des éventuels liens présents dans le mail…
Si la vigilance est de mise à la réception d’un e-mail sortant de l’ordinaire, il est surtout impératif de mettre en place des mesures techniques pour faire barrage à ces tentatives.
2. Prévenir l’usurpation d’identité
Le dénominateur commun à toutes les attaques BEC est l’imposture de l’expéditeur d’un e-mail (spoofing). Cette usurpation d’identité peut se faire par différents moyens : en dérobant les identifiants de la personne, en masquant l’origine réelle d’un e-mail ou en jouant sur l’inattention du destinataire. Pour réduire drastiquement ces attaques, il faut déployer des dispositifs capables de bloquer ce genre de pratiques.
Multiples facteurs d’authentification
Des identifiants dérobés (via du phishing par exemple) sont un sésame qui permet de causer d’importants préjudices à une entreprise. Encouragez donc les utilisateurs de votre système à opter pour des mots de passe suffisamment forts. Mais l’identification à plusieurs facteurs reste le moyen le plus sûr de prévenir le piratage. Si l’adresse e-mail de l’expéditeur est authentique et que l’on sait que cet expéditeur a dû indiquer des facteurs d’authentification de différentes natures (un mot de passe + une clé de sécurité par exemple), la probabilité qu’il soit authentique est bien plus élevée.
Un anti-spam pour les boites e-mail
L’outil est utile au-delà des cas d’arnaque au président, mais il est toujours bon de signaler qu’un anti-spam peut neutraliser une grande partie des tentatives de phishing qu’une boite mail pro peut recevoir. Les e-mails hébergés chez Gandi disposent par exemple de ce service facultatif.
Une configuration efficace des boîtes mail
Vous pouvez par exemple créer une règle permettant de réserver un traitement particulier à des messages entrants que vous jugerez suspects. Une manière de gérer ces cas est de configurer un filtrage en langage SIEVE. Vous pouvez ainsi exécuter à chaque réception d’e-mail un script qui conditionne sa réception à des critères que vous définirez : si l’expéditeur ne figure pas dans une liste, si les adresses d’envoi et de réponse ne correspondent pas où, nous le verrons, si vous supectez un nom de domaine d’être du typosquatting.
Vous pouvez également vous appuyer sur les enregistrements DNS du nom de domaine :
- Le protocole DKIM (DomainKeys Identified Mail) utilise une clé cryptographique privée générée par votre serveur de messagerie pour signer chaque message sortant. Le destinataire peut alors automatiquement vérifier cette signature à l’aide d’une clé publique partagée dans les enregistrements DNS du nom de domaine utilisé par l’adresse e-mail. Cette signature permet par ailleurs de certifier que le contenu du mail (corps et pièces jointes) n’ont pas été modifiés entre l’envoi et la réception.
- Autre protocole utilisant les enregistrements DNS : Sender Policy Framework (SPF), un fichier TXT contenant les adresses IP autorisées à envoyer des messages à partir de votre nom de domaine.
- Enfin, le protocole DMARC (Domain-based Message Authentication, Reporting, and Conformance) permet d’indiquer dans les enregistrements DNS le traitement réservé aux messages échouant aux contrôles précédent, à savoir un rejet, une quarantaine ou rien du tout.
Il est par ailleurs vicement conseillé de désactiver les anciens protocoles de messagerie (POP, IMAP et SMTP) qui peuvent permettre de contourner les exigences de l’authentification à facteurs multiples.
La surveillance de typosquatting
L’autre moyen utilisé pour ces tentatives d’impostures par mail est celle du typosquatting. L’adresse de l’expéditeur est très proche d’une adresse existante dans l’organigramme de la société. Ce n’est pas exactement le CEO prenom.nom@example.com qui vous a adressé cette requête mais prenom.nom@direction-example.com. Avec un dispositif de surveillance comme le propose par exemple Gandi, votre entreprise a pu être informée de l’enregistrement de direction-example.com et elle a pu prendre les mesures pour interdire aux e-mails rattachés à ce nom de domaine de solliciter les employés de la société.
Conclusion : tous concernés par l’Arnaque au Président
Votre entreprise est donc susceptible, à partir d’une certaine taille, d’être ciblée par ce genre d’attaque. Vous avez donc tout intérêt à prendre des dispositions préventives, en faisant de la pédagogie auprès des employés de la sociétés et en prenant connaissance des outils existant pour lutter contre le phishing, le spoofing, le typosquatting…Si l’Arnaque au Président doit coûter 3,3 milliards de dollars aux entreprises en 2028, vous n’êtes pas obligé d’y participer, vous trouverez bien quoi faire avec les économies réalisées.
Tagged in phishingSécurité