J’ai une histoire effrayante à vous raconter.
Imaginez que vous êtes comptable dans votre entreprise. Vous recevez un e-mail de votre PDG qui vous demande de transférer de l’argent pour une acquisition urgente. Il vous indique qu’un avocat va vous contacter pour vous donner plus de détails. Vous recevez l’e-mail de l’avocat, dûment accompagné d’une lettre d’autorisation portant la signature de votre PDG et le tampon de la société. Vous transférez comme demandé plus de 700 000 $. Le lendemain, vous parlez du transfert à votre PDG, et lui confirmez l’avoir effectué au plus vite, comme souhaité, mais vous ne rencontrez qu’un regard vide. Il ne vous a jamais envoyé de message et il ne vous jamais demandé de transférer de l’argent.
Cela commence à faire froid dans le dos ? Aussi effrayant que cela puisse paraître, les faits — qui remontent à l’an dernier, se sont vraiment passés et ne sont qu’un exemple de ce que le FBI surnomme la « compromission par e-mail d’entreprise (Business Email Compromise, BEC) ». Entre octobre 2013 et mai 2016, 22 143 cas de compromissions par e-mail d’entreprise ont été signalés au FBI, soit plus de 3 milliards de dollars de transferts d’argent frauduleux demandés par des cybercriminels. Au dernier décompte de février du FBI, le montant total demandé dépassait les 2 milliards de dollars, soit un milliard de dollars de plus que les malfaiteurs avaient tenté d’extorquer en à peine 4 mois.
(source)
On n’est plus dans l’e-mail d’arnaque d’autrefois qui était si facile à repérer. Non, ces escroqueries organisées sont extrêmement perfectionnées et nécessitent une connaissance intime de la société visée et de ses activités habituelles pour ne pas éveiller de soupçons. Dans certains cas, les malfaiteurs utilisent des logiciels malveillants pour accéder aux systèmes de messagerie des entreprises dans le but d’exploiter des demandes de facturation existantes.
“Ils maîtrisent leur art et préparent soigneusement leur coup. Ils reprennent le langage spécifique à l’entreprise qu’ils ciblent, et les montants en jeu pour conférer à leur fraude une apparente légitimité. L’époque des e-mails truffés de fautes de grammaire, les rendant facilement repérables, est révolue.” (source)
La solution passe-t-elle par la signature numérique de tous les e-mails envoyés en interne ?
Nous avons déjà démontré à quel point il est facile de créer de fausses adresses e-mail. Les cybercriminels perfectionnent en permanence leurs techniques d’ingénierie sociale et leurs malwares pour commettre leurs attaques. Que peuvent faire les entreprises pour se protéger des compromissions par e-mail d’entreprise ? L’une des possibilités est de normaliser la signature numérique pour l’appliquer à l’ensemble des e-mails internes.
Pour signer numériquement un e-mail, on utilise un certificat numérique* – ce qui est le cas de toutes les signatures numériques. Ces certificats sont émis à des personnes (mais aussi à des machines, des périphériques ou des serveurs, comme pour le SSL sur les sites Web) une fois l’identité de la personne dûment vérifiée par une entité tierce appelée Autorité de Certification (AC) comme GlobalSign.
Lorsque le destinataire ouvre un message signé numériquement, le petit ruban rouge qui s’affiche lui indique que le message a été signé, et précise le nom du signataire. Dans la mesure où la signature a été appliquée via le certificat de l’expéditeur – certificat qui n’a pu être émis qu’au terme d’une procédure de vérification stricte de son identité — le destinataire a l’assurance que l’e-mail provient bien de l’expéditeur et n’est pas une arnaque.
Exemple d’e-mail signé numériquement dans Outlook.
Inspection du certificat utilisé pour signer numériquement un e-mail.
*Remarque : Cette explication est très simplifiée. Pour plus de détails,
consultez notre article sur la cryptographie à clé publique.
L’application de signatures est facile et automatisable
Les signatures numériques sont compatibles avec la plupart des clients de messagerie d’entreprise et leur application s’effectue en un clic. La plupart des clients de messagerie peuvent aussi être configurés pour automatiser la signature de tous les messages sortants ; la standardisation des signatures numériques est somme toute assez simple à mettre en place dans l’entreprise.
Pour ajouter une signature numérique à tous les messages sortants, il suffit de cocher une case dans Outlook.
La signature numérique des e-mails pourra-t-elle mettre un terme définitif à la menace de compromission par e-mail d’entreprise ? Très honnêtement, je ne pense pas, d’autant que les cybercriminels recherchent en permanence de nouveaux moyens de piéger leurs victimes. Je crois néanmoins que c’est un bon moyen pour inciter les employés à réfléchir quelques secondes à l’origine de leurs e-mails. L’éducation et la formation des employés restent en définitive la meilleure protection contre ces types d’attaques, en les sensibilisant à l’existence de ces types d’attaques et aux points de vigilance. Le FBI propose également quelques recommandations utiles :
- Méfiez-vous des demandes de transfert d’argent qui vous parviennent uniquement par e-mail et des demandes urgentes
- Appelez vos partenaires commerciaux pour vérifier par téléphone la légitimité des demandes
- Soyez prudent et méfiez-vous des imitations d’adresses e-mail
- Appliquez une authentification multiniveaux
Découvrez toutes les possibilités de la signature numérique et du chiffrement d’e-mails pour vous protéger contre le hameçonnage et la perte de données. Téléchargez gratuitement notre livre blanc : « Avantages et bonnes pratiques de la signature et du chiffrement par e-mail »
