Malgré les prédictions annonçant la « mort de l’email » depuis des années, cette méthode de communication vieille de plusieurs décennies continue de prospérer dans le monde professionnel. Notamment dans le domaine du piratage informatique.
Un email contenant un lien d’apparence légitime mais qui est en réalité malveillant reste l’un des stratagèmes les plus dangereux et les plus efficaces dans l’arsenal d’un cybercriminel. Cette technique a conduit à certains des plus grands piratages de ces dernières années, comme ceux du géant des télécoms Twilio en 2022 et de la plateforme de médias sociaux Reddit l’an dernier.
Si ces emails sont parfois faciles à repérer, grâce à des fautes d’orthographe ou une adresse d’expéditeur inhabituelle, il devient de plus en plus difficile de distinguer un email frauduleux d’un message légitime, à mesure que les tactiques des pirates se perfectionnent.
La compromission d’emails professionnels (BEC), une menace majeure
Prenons l’exemple de la compromission d’emails professionnels (ou BEC pour Business Email Compromise). Dans ce type d’attaque par email qui cible les entreprises grandes et petites dans le but de dérober de l’argent, des informations critiques ou les deux, les pirates se font passer pour ou compromettent quelqu’un de familier à la victime, comme un collègue, un patron ou un partenaire commercial. Le but est de manipuler la personne pour qu’elle divulgue à son insu des renseignements sensibles.
Le risque que cela représente pour les entreprises, en particulier les startups, ne peut être sous-estimé. Rien qu’aux États-Unis, l’an dernier, les arnaques BEC ont fait perdre près de 3 milliards de dollars aux individus, selon les dernières données du FBI. Et ces attaques ne montrent aucun signe de ralentissement.
Comment repérer une tentative de compromission d’email professionnel ?
Rechercher les signes d’alerte : bien que les cybercriminels aient perfectionné leurs tactiques d’envoi d’emails, il existe des signaux d’alerte simples que vous pouvez – et devez – surveiller. Par exemple un email envoyé en dehors des heures de bureau habituelles, des noms mal orthographiés, une discordance entre l’adresse de l’expéditeur et l’adresse de réponse, des liens et pièces jointes inhabituels, ou un sentiment d’urgence injustifié.
Contacter directement l’expéditeur : l’utilisation de l’hameçonnage ciblé (spear phishing), où les pirates utilisent des emails d’hameçonnage personnalisés pour se faire passer pour des cadres de haut niveau ou des fournisseurs externes, rend presque impossible de savoir si un message provient d’une source de confiance. Si un email semble inhabituel, contactez directement l’expéditeur pour confirmer la demande, plutôt que de répondre via l’email ou un numéro de téléphone fourni dans le message.
Vérifier auprès du service informatique : les arnaques au support technique sont de plus en plus courantes. En 2022, des clients d’Okta ont été ciblés par une arnaque très sophistiquée où les attaquants envoyaient aux employés des SMS avec des liens vers des sites d’hameçonnage imitant les pages de connexion Okta de leurs employeurs. Ces pages semblaient si authentiques que plus de 10 000 personnes ont soumis leurs identifiants professionnels. Votre service informatique ne vous contactera probablement pas par SMS, donc si vous recevez un message texte inattendu ou une notification pop-up sur votre appareil, vérifiez s’il est légitime.
Se méfier encore plus des appels téléphoniques : les cybercriminels utilisent depuis longtemps l’email comme arme de choix. Plus récemment, ils s’appuient sur des appels téléphoniques frauduleux pour pirater les organisations. Un seul appel aurait conduit au piratage de la chaîne hôtelière MGM Resorts l’an dernier, après que des pirates aient réussi à tromper le service d’assistance de l’entreprise pour qu’il leur accorde l’accès au compte d’un employé. Soyez toujours sceptique face aux appels inattendus, même s’ils proviennent d’un contact d’apparence légitime, et ne partagez jamais d’informations confidentielles par téléphone.
Des mesures de sécurité indispensables pour les startups
Authentification multifacteur partout : l’authentification multifacteur, qui nécessite généralement un code, un PIN ou une empreinte digitale en plus de votre nom d’utilisateur et mot de passe habituels, n’est pas infaillible. Cependant, en ajoutant une couche de sécurité supplémentaire au-delà des mots de passe sujets au piratage, elle rend beaucoup plus difficile l’accès non autorisé à vos comptes email. Allez encore plus loin en déployant des technologies sans mot de passe, comme les clés de sécurité matérielles et les passkeys, qui peuvent empêcher le vol de mots de passe et de jetons de session par des logiciels malveillants voleurs d’informations.
Processus de paiement plus stricts : avec tout type de cyberattaque, l’objectif ultime d’un criminel est de gagner de l’argent. Le succès des arnaques BEC repose souvent sur la manipulation d’un seul employé pour qu’il effectue un virement bancaire. Certains pirates motivés par l’argent se font passer pour un fournisseur demandant le paiement de services rendus à l’entreprise. Pour réduire le risque d’être victime de ce type d’arnaque par email, mettez en place des processus de paiement stricts :
- Développez un protocole pour les approbations de paiement
- Exigez que les employés confirment les virements d’argent via un second moyen de communication
- Demandez à votre équipe financière de vérifier chaque détail de compte bancaire qui change
Ignorer peut être la meilleure solution : au final, vous pouvez minimiser le risque de tomber dans la plupart des arnaques BEC en ignorant simplement la tentative et en passant à autre chose. Vous n’êtes pas sûr à 100% que votre patron veuille vraiment que vous achetiez pour 500 $ de cartes-cadeaux ? Ignorez-le ! Vous recevez un appel auquel vous ne vous attendiez pas ? Raccrochez ! Mais pour le bien de votre équipe de sécurité et pour aider vos collègues, ne restez pas silencieux. Signalez la tentative à votre lieu de travail ou au service informatique pour qu’ils puissent être plus vigilants.
Les emails d’apparence légitime mais malveillants restent le stratagème le plus dangereux des cybercriminels, causant certains des plus grands piratages récents.
En ces temps de menaces croissantes par email, les startups doivent rester vigilantes. Méfiez-vous des signes d’alerte, vérifiez toujours directement auprès de l’expéditeur, appliquez l’authentification multifacteur, renforcez vos processus de paiement. Votre sécurité en ligne et la pérennité de votre entreprise en dépendent.