L’analyse de SlashNext a également porté sur la compromission des courriels d’entreprise, mieux connue sous le nom d’attaques BEC (Business Email Compromise). Ce type d’incursion s’est multiplié et de nombreux autres fournisseurs de services de cybersécurité en ont fait état l’année dernière, y compris Arctic Wolf. Leur étude publiée en mai 2024 indique que les attaques BEC sont désormais la principale méthode utilisée par les cybercriminels pour cibler les entreprises. L’étude 2024 Trends d’Arctic Wolf, menée auprès de plus de 1 000 décideurs en matière de technologies de l’information et de cybersécurité, a révélé que non seulement 70 % des organisations ont signalé une tentative d’attaque BEC, mais que 29 % d’entre elles ont déclaré en avoir été victimes.

Une industrie de 55 milliards de dollars
Le Federal Bureau of Information (FBI) des États-Unis a annoncé en septembre 2024 que les attaques BEC représentaient une « escroquerie de 55 milliards de dollars ». L’agence a basé ses calculs sur l’application de la loi et les déclarations des institutions financières entre octobre 2013 et décembre 2023. Le chiffre total couvre plus de 305 000 incidents BEC nationaux et internationaux.

Exemples de compromissions de courriels d’entreprises
Une attaque BEC vise les entreprises, grandes et petites, ainsi que les particuliers par le biais de courriels frauduleux qui semblent provenir de sources fiables, telles que des collègues comme un assistant de direction, mais aussi des avocats et d’autres personnes impliquées dans des transactions financières. Les auteurs de BEC utilisent des tactiques telles que des factures frauduleuses pour inciter les destinataires à effectuer des paiements sur de faux comptes, mais ils sont également connus pour se faire passer pour des cadres de haut niveau ou un tiers de confiance tel qu’un fournisseur.
L’un des cas les plus remarquables de BEC que le FBI a poursuivi en 2024 est celui d’un Nigérian vivant au Royaume-Uni. Selon le FBI, Babatunde Francis Ayeni, 33 ans, a joué un rôle de premier plan « dans une cyberconspiration frauduleuse massive qui a fait plus de 400 victimes à travers les États-Unis, entraînant une perte collective de près de 20 millions de dollars ». Plus de 200 victimes ont perdu l’intégralité de leur transaction. Ayeni a plaidé coupable de conspiration en vue de commettre une fraude électronique en avril 2024.
Une autre affaire récente concerne le blanchiment d’argent à l’échelle internationale. Un homme de Pennsylvanie purge actuellement une peine de neuf ans de prison pour avoir aidé à blanchir des centaines de milliers de dollars obtenus frauduleusement par l’intermédiaire de deux sociétés écrans. Michael Okorie et ses complices ont mené des attaques BEC (ainsi que des fraudes à la romance et d’autres types de fraudes). Les fonds collectés par les fraudeurs étaient transférés d’une banque à l’autre et virés au Nigeria ou utilisés pour acheter des voitures destinées à être expédiées à l’étranger.
Par ailleurs, début 2024, Europol a démantelé un cyber-gang impliqué dans une attaque BEC de 40 millions de dollars visant un promoteur immobilier à Paris. Se faisant passer pour des avocats, les fraudeurs ont convaincu la société de transférer une somme d’argent importante, ce qui a permis d’envoyer près de 38 millions d’euros (plus de 40 millions de dollars) à l’étranger en l’espace de quelques jours.

Comment ne pas être victime des fraudeurs BEC
Il existe de nombreuses mesures à prendre pour ne pas être victime d’une escroquerie BEC. Voici ce que nous recommande à nos clients.
– La formation régulière du personnel à la cybersécurité et la vigilance à l’égard des comportements inattendus ou suspects peuvent contribuer à prévenir ce problème de plus en plus répandu. Si votre organisation n’utilise pas encore l’authentification multifactorielle (MFA), vous devriez la mettre en œuvre dès que possible. Si Change Healthcare et Snowflake l’avaient fait, elles auraient peut-être évité les attaques brutales qu’elles ont subies l’année dernière. Ces attaques sont en partie à l’origine de la récente décision de Google Cloud de rendre le MFA obligatoire d’ici la fin de l’année.
– Pour mieux contrôler les attaques par courrier électronique, il faut mettre en œuvre les bons outils de sécurité du courrier électronique. Les protocoles d’authentification des courriels tels que Domain-based Message Authentication, Reporting & Conformance (DMARC) constituent l’une de ces méthodes, car ils permettent aux utilisateurs de vérifier l’identité de votre domaine/organisation pour tout type d’attaque par usurpation.
– Outre la mise en œuvre de DMARC, allez plus loin en mettant en place des certificats de marque vérifiée (VMC). Cela améliorera la visibilité de votre marque et de votre logo, et inspirera beaucoup plus de confiance aux destinataires de vos courriels. Cela prouve en effet que les courriels que vous envoyez à vos clients sont authentiques et qu’ils sont dignes de confiance,
– Pour le cryptage des courriels, recherchez un fournisseur qui peut vous offrir Secure/Multipurpose Internet Mail Extensions (S/MIME). Ce protocole vous permet non seulement de signer les courriers électroniques pour en garantir l’authenticité, mais aussi de crypter le message pour en limiter l’accès aux personnes autorisées. Cette technologie basée sur l’infrastructure à clé publique (PKI) utilise la cryptographie asymétrique. Lorsque les courriels sont cryptés avec la clé publique du destinataire, ils ne peuvent être décryptés que par ce dernier.
– Parmi les autres options, citons Pretty Good Privacy (PGP), qui est efficace pour le texte brut, les courriels, les fichiers et le cryptage des répertoires, bien qu’il ne soit pas idéal pour les grandes organisations, et GNU Privacy Guard (GPG), une solution libre qui crypte les messages entre deux parties sans qu’il soit nécessaire de se mettre d’accord sur des données externes telles qu’un mot de passe.

Bien entendu, une gestion rigoureuse des mots de passe est indispensable, de même que l’application d’un protocole standard pour confirmer les transactions financières ou les demandes de données sensibles, comme une méthode en face à face ou des appels téléphoniques à des numéros connus. Rien n’est sûr à 100 %, surtout avec les attaques sophistiquées des pirates informatiques d’aujourd’hui. Toutefois, en prenant autant de précautions que possible et en utilisant la bonne technologie, vous contribuerez grandement à minimiser la compromission potentielle des données précieuses de votre organisation.