GlobalSign Blog

Série « Autopsie d'un cybercrime » : Facebook et Google cibles d’une arnaque de type BEC

Série « Autopsie d'un cybercrime » : Facebook et Google cibles d’une arnaque de type BEC

Note de la rédaction : octobre marque le mois européen de la sensibilisation à la cybersécurité, un mois entier dédié à la création d’un monde cyber plus sécurisé pour tous. Nous vous avions déjà livré 31 conseils pour être mieux informés. Cette année, pour mettre en lumière ce sujet crucial, nous avons décidé de présenter quatre incidents de cybersécurité de grande ampleur qui auraient pu être évités avec plus de vigilance et une meilleure stratégie de défense. Rejoignez-nous chaque semaine d’octobre pour découvrir l’une de ces cyberattaques qui ont défrayé la chronique, et continuez à nous suivre pour rester informés et éviter d’ajouter votre nom à la liste des victimes. 

La cybervictime 

Facebook et Google — ça vous dit quelque chose ?

Le fond de l'affaire 

Deux des plus grandes entreprises technologiques au monde ont été victimes pendant deux ans d’une compromission de leur messagerie professionnelle (BEC, Business Email Compromission), également connue sous le nom de fraude à la facture ou arnaque à la facturation. L’auteur de l’attaque a ainsi pu empocher plusieurs millions de dollars jusqu’à ce qu'il soit identifié et inculpé par le ministère américain de la Justice. 

Selon le centre des plaintes du FBI pour les crimes sur Internet (IC3), le montant total des pertes dues aux compromissions d’e-mails d’entreprise (BEC) et aux compromissions de comptes de messagerie (EAC, Email Account Compromise) s’élevait à 1,7 million de dollars US rien que pour l’année 2019. 

L'historique des cyberattaques

On ne le répétera jamais assez : aucune entreprise n'est trop grande pour être la cible d’une cyberattaque. Malgré les informations de pointe dont ils disposent sur les menaces et la sécurité, Facebook et Google ont un lourd passif en matière de cybersécurité, ce qui n’est pas surprenant. Les géants de la tech attisent en effet le goût du défi de nombreux hackers. Si l’on ne peut imputer chaque interruption de service à une attaque, ces entreprises ont été contraintes, dans certains cas, de communiquer les détails de l'événement. 

En 2018, par exemple, Facebook a avoué l’existence d’une faille de sécurité majeure lorsque, profitant d’un bogue, des pirates informatiques ont pu accéder aux données de 50 millions d'utilisateurs (voire plus). 

Google a également reçu sa dose d'attaques notoires, sans parler du nombre de tentatives déjouées ces deux dernières décennies. En 2009, Google Chine a été infiltré par des pirates informatiques qui « ont accédé à plusieurs serveurs de l’entreprise et ont dérobé des éléments de propriété intellectuelle ». Dans un article de blog, Google a déclaré disposer « de preuves portant à croire que les agresseurs avaient pour principal objectif d'accéder aux comptes Gmail de militants des droits de l'homme en Chine ». En investiguant plus loin, la société a découvert des accès non autorisés aux comptes de nombreux utilisateurs de Gmail aux États-Unis, en Chine et en Europe ». 

Dans le cadre de sa mission visant à « contrer les attaques liées à des gouvernements », le groupe d'analyse des menaces de Google – le TAG (Threat Analysis Group) – communique régulièrement les résultats de ses recherches sur son blog.

Le récit des événements

Selon le magazine CPO, « [Evaldas] Rimasauskas, un citoyen lituanien… s'est fait passer pour Quanta Computer, un fabricant de matériel informatique basé à Taiwan qui travaille avec la plupart des leaders de la tech mondiale. À l’aide d’adresses e-mail usurpées et de faux papiers, Rimasauskas a convaincu chaque entreprise de régler de fausses factures, le montant de l’opération se chiffrant en dizaines de millions de dollars ». Malgré la probable implication de complices, l'acte d'accusation du ministère de la Justice américaine n’a retenu que Rimasauskas, bien que son avocat ait déclaré qu'il était « loin d'être l’instigateur principal dans cette affaire ». 

L'escroquerie a duré deux ans, de 2013 à 2015, permettant à Rimasauskas d’amasser des millions. 

Les structures touchées

Malheureusement, ce type d’arnaque à la fausse facture se répercute directement sur les finances des entreprises victimes. Aussi surprenant qu’il y paraisse, Google a versé 23 millions de dollars au hacker, tandis que Facebook lui a payé 100 millions de dollars — une somme absolument stupéfiante ! Les entreprises ont pu récupérer les sommes volées, ce qui n'est pas toujours le cas dans ce type d’attaque. Les témoignages d’entreprises ayant fait faillite ou perdu des millions, en grande partie à cause de fraudes aux fausses factures, sont légion. 

Le mode d'entrée probable

Dans l’affaire qui nous intéresse, on sait exactement comment Rimasauskas a réussi à s’emparer de telles sommes. Outre l’envoi de factures frauduleuses à Facebook et Google, il aurait également « falsifié des documents pour justifier d’importants transferts d'argent » vers des comptes bancaires établis en « divers endroits du monde, y compris en Lettonie, à Chypre, en Slovaquie, en Lituanie, en Hongrie et à Hong Kong », selon le site Independent

Le diagnostic

Rimasauskas ne s’en est toutefois pas tiré comme ça. En plus d'une peine de 5 ans d’emprisonnement, il a été condamné « à deux ans de liberté surveillée, à renoncer à 49 738 559,41 USD, et à restituer la somme de 26 479 079,24 USD ».  

Le seul point positif d'une attaque aussi médiatisée est de sensibiliser à la menace bien réelle – et toujours présente – des arnaques aux fausses factures. Dans le monde numérique d’aujourd’hui, l’e-mail est devenu incontournable pour les entreprises qui veulent rester dans la course. Mais que faire pour éviter à votre entreprise de prendre des risques et protéger le fruit de son travail contre d’avides cybercriminels ?

Dans cet article de CNBC, le FBI et le ministère de la Sécurité intérieure américain livrent leurs conseils pour éviter un scénario à la Google et Facebook. Comme pour tout type de cyberattaque, l'éducation et la sensibilisation sont essentielles. Il faudrait tout d’abord que tous les membres de votre organisation suivent une formation à la cybersécurité. Autre point : les employés qui manipulent des documents particulièrement sensibles – c’est-à-dire les équipes financières, RH, et juridiques – doivent être informés sur la façon dont s’articule une fraude à la facturation et les indices auxquels prêter attention. La méfiance sera donc de mise « en cas de changement soudain des conditions de paiement ou lorsqu’un vendeur demande que l’argent soit envoyé sur un compte bancaire différent du compte habituel ».

Il est facile de protéger ses documents – surtout lorsque l’on dématérialise complètement ses opérations – à l’aide de signatures numériques fiables apposées sur tous les documents importants, comme les contrats et les factures. Une signature numérique est plus sûre qu'une signature électronique standard qui ne prouve pas l'identité du signataire et ne protège pas l'intégrité du contenu d'un document. Heureusement, les signatures numériques sont aujourd’hui beaucoup plus faciles à mettre en œuvre et à appliquer grâce à des solutions basées sur le cloud. Ces solutions ne nécessitent pas de matériel spécifique ni d'expertise en matière d'infrastructure à clés publiques (PKI). Découvrez par exemple comment la société IRIS Software Group, basée au Royaume-Uni, permet à ses clients de signer en toute sécurité leurs déclarations fiscales et d’autres documents financiers sensibles sans sacrifier l'expérience de l'utilisateur final. 

Pensez également à protéger vos e-mails avec le protocole S/MIME, ou Secure/Multipurpose Internet Mail Extensions, qui vous permet de signer et de chiffrer numériquement vos communications e-mail. 

Pour plus de renseignements spécifiques à la sécurité des factures, téléchargez notre eBook gratuit Comment aborder la directive européenne sur la facturation électronique.

iStock-466365997.jpg

Share this Post