Markus Meyer, les PME sont-elles trop naïves en matière de trafic des paiements électronique?
On a tendance à croire que les attaques informatiques ne ciblent que les systèmes comptables des banques. Mais en réalité, le processus de paiement débute avec la création et le contrôle des factures. Si de fausses données s’insinuent à une étape aussi précoce que celle de la facturation, la banque, qui est en bout de chaîne, n’a presque aucun moyen de se rendre compte que le paiement est frauduleux. Beaucoup d’entreprises ignorent d’ailleurs comment se protéger tout au long de ce processus. Et il existe toujours des entreprises dont le système d’exploitation et le logiciel antivirus sont obsolètes depuis plusieurs années.
Ces arnaques sont-elles fréquentes?
Nous ne donnons pas de chiffres précis. Mais je peux vous dire que le système suisse de paiements interbancaire traite 40 millions de paiements par mois. Et il le fait de manière très fiable. Les manipulations n’ont pas lieu lors des transactions en tant que telles, mais bien avant. Les pirates ciblent le maillon le plus faible de la chaîne. Dans les schémas d’attaque que nous observons, nous constatons que ces maillons faibles sont souvent les processus, systèmes et collaborateurs de l’entreprise elle-même. Par exemple, il peut s’agir d’employés qui révèlent leurs mots de passe et leurs identifiants au téléphone.
Concrètement, comment agissent les hackers?
En général, ils introduisent un cheval de Troie, en pièce-jointe d’un e-mail par exemple. Ce logiciel leur permet d’espionner le fil des conversations électroniques d’une entreprise jusqu’à ce qu’ils découvrent que les factures des fournisseurs arrivent sous forme de pièces-jointes au format PDF. Or, les PDF sont très faciles à modifier. Le cheval de Troie ouvre ces documents et modifie les instructions de paiement qu’il contient. C’est ainsi que l’on se retrouve avec le mauvais IBAN dans une facture originale. À ce moment-là, la banque n’est plus en mesure d’identifier la fraude car le paiement a été effectué en bonne et due forme.
Les PME suisses sont donc elles aussi victimes de cyberattaques?
Bien sûr. Par exemple, une entreprise de taille moyenne a ainsi reçu d’un client étranger de longue date une facture PDF par e-mail sur laquelle figurait un nouveau numéro de compte. Malheureusement, il s’agissait d’une fraude. La collaboratrice en charge du traitement de la facture a trouvé ce nouveau compte bénéficiaire étrange. Elle a donc appelé le fournisseur au numéro figurant sur la facture reçue par e-mail pour s’assurer que tout était en ordre. Mais ce numéro aussi était un faux. Le hacker a décroché et lui a expliqué que tout était correct. Il est même allé jusqu’à la féliciter pour sa méfiance et son effort de vérification. C’est pourquoi il est très important de contrôler les données des bénéficiaires, en particulier lors d’un changement de compte.
Y a-t-il d’autres schémas d’attaque connus?
Une autre méthode répandue est connue sous le nom de «fraude au président». Un cheval de Troie espionne les conversations électroniques d’un dirigeant sur une période donnée et les cybercriminels envoient ensuite un e-mail hautement confidentiel en imitant son style à un collaborateur de la comptabilité en lui parlant d’un rachat d’entreprise top secret. Bien que cette instruction de paiement soit frauduleuse, l’argent est perdu à jamais car la transaction a été effectuée par une personne habilitée à exécuter seule des paiements. La presse a également révélé un cas similaire en Autriche. Mais la Suisse n’est pas épargnée. Pour éviter ce genre de chose, il est important de mettre en place des processus clairs pour l’autorisation de paiements ordonnés en interne ou une signature collective obligatoire, en particulier pour les montants élevés.
Les fraudeurs s’attaquent-ils à leurs victimes uniquement par e-mail?
Non, les appels téléphoniques font aussi partie de leurs méthodes de prédilection. D’abord, un cheval de Troie infecte les entreprises. Ensuite, elles reçoivent une lettre dans laquelle on leur annonce qu’un collaborateur de leur banque va les appeler, par exemple pour contrôler les paramètres de l’e-banking. Les hackers ont fait des recherches minutieuses en amont: ils ont parfaitement identifié les interlocuteurs sur les réseaux sociaux et savent que quelqu’un vient juste de rentrer de vacances, par exemple. Au téléphone, les hackers se font passer pour des employés de banque et sont tellement convaincants qu’ils établissent un lien de confiance avec leur victime. Celle-ci finit par leur donner ses identifiants de connexion, mots de passe et les numéros d’autorisation des bénéficiaires – tout ça au téléphone!
Un chèque en blanc pour les arnaqueurs...
...oui, car bien qu’il s’agisse d’une fraude, toutes les données sont correctes. La banque n’a presque aucun moyen d’identifier et de stopper ce genre de transaction abusive. C’est ainsi que les gens se font berner. D’où cette règle: ne jamais, au grand jamais, transmettre de codes d’accès à des tiers. Avec les nouveaux paramètres de sécurité supplémentaires d’UBS e-banking, comme les restrictions de pays, nous essayons de mettre en place un filet de sécurité supplémentaire. Mais quoi qu’il en soit, il est toujours plus sûr de sensibiliser ses propres collaborateurs à ce genre d’abus.
Quelles entreprises sont particulièrement exposées aux menaces de la cybercriminalité?
En général, les entreprises qui ont du succès et beaucoup d’argent. Il s’agit souvent aussi d’entreprises actives à l’international ayant grandi rapidement et qui se sont retrouvées à commercer avec de nombreux pays du jour au lendemain. Elles doivent créer des dizaines de relations bancaires en très peu de temps et les paiements vers l’étranger n’ont rien d’exceptionnel. Dans ce contexte, on perd facilement la vue d’ensemble. Les chevaux de Troie permettent aux organisations de hackers d’évaluer la qualité de la sécurité du réseau et du système d’exploitation de leur victime potentielle. S’ils trouvent des brèches, les hackers s’y engouffrent et épient ces entreprises de manière ciblée avant de lancer des attaques téléphoniques sur des collaborateurs, par exemple.
Quelles mesures de sécurité recommandez-vous aux PME?
Tout d’abord, rendez-vous aussi inintéressant que possible aux yeux des réseaux de hackers. Car même les hackers ont intérêt à ce que leurs efforts soient proportionnels à leurs revenus sinon, ils abandonnent leur cible. Pour cela, il vous faut des processus internes clairs en plus de mises à jour régulières de votre système d’exploitation et de l’utilisation d’antivirus récents. Il faut mettre en place des procédures pour déterminer qui peut ouvrir un compte bénéficiaire selon quels critères et qui peut le modifier. Ou alors, des procédures selon lesquelles les paiements ne sont autorisés qu’à condition d’avoir la signature collective de deux personnes. Si un responsable financier peut transférer des dizaines de millions à lui seul, cela créé une aubaine pour les hackers. Et n’oubliez pas: ne donnez jamais vos codes d’accès à des tiers, que ce soit par e-mail, par internet ou au téléphone.
Markus Meyer
Markus Meyer est Responsable Cash Management Services pour UBS en Suisse. Il a étudié l’économie à l’Université de St. Gall et travaille pour UBS depuis 1996.