Au mois de mars, la CNIL a alerté plusieurs entreprises concernant des appels fictifs établis par des cybercriminels. Ces derniers ont usé de l’ingénierie sociale pour récolter le maximum d’informations afin de concevoir une arnaque.
Comment fut-ce si facile ?
La plupart des entreprises considèrent l’appel de la CNIL comme une mauvaise nouvelle. C’est la raison pour laquelle elles sont tombées dans le piège tendu par les pirates qui se sont fait passer pour des agents de cette commission française.
Vers le début du mois de mars, la CNIL a publié un tweet qui faisait part aux concernés de faux appels effectués en son nom. D’après cette autorité publique, plusieurs coups de téléphone lui ont été signalés par des entreprises vers la fin du mois de février. Les interlocuteurs se sont masqués sous de fausses identités, en tant qu’employé au sein de l’organisme, pour pouvoir soutirer des informations sur leurs victimes.
L’avis d’un professionnel sur le sujet
Selon Laurent Marechal, spécialiste solution pour McAfee, cette méthode n’est pas une découverte. En effet, l’ingénierie sociale est le socle de toutes sortes d’arnaques informatiques plus complexes les unes que les autres. Pour les pirates, l’objectif est, à l’évidence, de recueillir le maximum d’informations utiles pour pouvoir orchestrer ensuite une escroquerie camouflée sous une opération normale via les mails, le téléphone ou face à face dans certains cas.
Dans l’ingénierie sociale, cette étape de recueil de données est le premier pas. Elle permet d’établir un scénario appelé dans le jargon un hook en usant des informations collectées. Le hook le plus connu jusqu’à ce jour est celui d’un président d’entreprise en déplacement pour une négociation de contrat. En sachant cette nouvelle, les pirates ont contacté le service comptabilité pour demander le transfert d’une somme au nom du dirigeant en question vers leur compte.
Quelle est l’ampleur de la menace ?
Depuis le mois de mars, il est encore impossible de déterminer exactement la gravité de cet acte cybercriminel. La CNIL ne donne pas de précision sur l’état réel des escroqueries de ce genre opéré dans l’Hexagone. Aux États-Unis, d’après les chiffres recueillis par le site social-engineer.org, près de 3 milliards de dollars ont été soustraits à diverses entreprises américaines en 2016 à travers plusieurs sortes de tromperie, y compris l’ingénierie sociale.
Quelles solutions proposées ?
Face à ce type de menace, les solutions ne manquent pas. Mais, la première barrière à ériger est la sensibilisation des employés qui constituent souvent la première faille. La procédure commence par des séminaires, du partage d’informations, etc. Une autre méthode consiste aussi à établir des politiques visant à favoriser les bonnes actions face aux menaces.
D’après Laurent Marechal, McAfee dispose d’un pôle dédié si une telle arnaque se pose. En cas d’incertitude sur un appel ou un mail, ce dernier est immédiatement contacté afin qu’il puisse procéder à une contre-vérification pour lever le doute sur le contact.
Par ailleurs, la sensibilisation au phishing des collaborateurs doit être constamment au cœur de la protection des données. Cependant, elle ne doit pas négliger les mesures d’ordres technologiques comme le filtrage des mails ou du trafic des employés sur Internet qui peuvent limiter au maximum les attaques. Et bien entendu, cela doit être fait selon le respect des règles en vigueur au risque d’avoir un réel appel de la CNIL cette fois-ci.