«En Suisse, aujourd’hui, on a beaucoup trop tendance à donner notre confiance sur carte de visite.» Stéphane Koch
Le 28 janvier dernier, la police vaudoise mettait en garde contre une reprise des attaques dites d’ «ingénierie sociale» visant des entreprises basées sur sol cantonal. Ces arnaques ont pour particularité d’exploiter les «failles humaines» des sociétés auxquelles elles s’attaquent pour obtenir des données ou des sommes d’argent considérables, comme l’explique Kevin Mitnick, hacker reconverti dans la sécurité informatique dans l’art de la supercherie.
Si seules deux des dix tentatives rapportées à la police vaudoise ont abouti, les escrocs ont tout de même réussi à se faire remettre environ 3,6 millions de francs. Difficile, une fois la transaction effectuée, de retracer le parcours du virement bancaire. En effet, comme l’indique la police, l’argent est ensuite rapidement transféré de banque en banque pour, finalement, arriver en Chine.
De la finance aux PME
Plus inquiétant! Philippe Jaton, porte parole de la police cantonale, note que ces extorqueurs d’un nouveau genre sont «descendus dans la hiérarchie». Alors que des attaques de ce type ont déjà été recensées en mars 2013, l’officier de presse souligne qu’avant «ces escroqueries touchaient des entreprises internationales dont les maisons mères étaient essentiellement basées en France ou en Belgique. Aujourd’hui, cela va jusqu’à toucher des PME vaudoises qui ne travaillent pas forcément dans la finance.» Toute société de taille moyenne travaillant avec l’étranger, comme celles spécialisées dans l’import-export, pourrait être victime d’une attaque de ce genre.
Bien communiquer
Dans les cas rapportés à la police, la technique de social engineering employée par les escrocs est celle que le spécialiste du net Stéphane Koch qualifie d’«arnaque à l’astuce» (lire encadré) et qui consiste souvent en l’usurpation d’identité d’un haut dirigeant de l’entreprise.
Dans le cas des arnaques sur lesquelles enquête la Brigade financière de la police de sûreté, les escrocs se font passer pour de faux avocats soulignant le caractère «imminent et urgent» d’une transaction financière. Sous ce faux profil, ils prennent contact avec un employé de l’entreprise et font croire qu’ils sont en relation directe avec le directeur. Ils harcèlent souvent psychologiquement ces employés par mail ou par téléphone pour les rendre vulnérables.
Pour Stéphane Koch, l’aboutissement de ce genre d’escroqueries tient avant tout d’une sensibilisation insuffisante auprès des sociétés et des employés: «En Suisse, aujourd’hui, on a beaucoup trop tendance à donner notre confiance sur carte de visite», souligne-t-il. Et de préciser: «Les entreprises doivent faire l’effort de se googliser pour observer les informations qui sont disponibles sur elles en ligne et veiller à ce qu’elles communiquent au monde extérieur. Ce n’est pas parce que les réseaux sociaux sont là qu’il faut ouvrir les vannes de l’information, bien au contraire».
Ce conseil est d’autant plus d’actualité que les entreprises publient ces jours leurs documents bilans sur le net, des pages qui sont une vraie manne d’informations pour les adeptes du social engineering…