A la merci des procédures des autres
Illustration : Susan Fleck / fleckphoto.com

A la merci des procédures des autres

Quand un escroc peut neutraliser à sa guise vos lignes téléphoniques fixes et mobiles en appelant simplement votre opérateur, il est peut-être temps de poser la question des procédures de contrôle interne de vos fournisseurs...

C’est une vieille affaire mais elle mérite que l’on y revienne. En 2013 la chaîne BeIN Sports était victime d’une escroquerie qui lui a coûté 2,4 millions d’euros. Pour y parvenir, l’escroc aura notamment abusé de la faiblesse des procédures de vérification de l’une des banques de la chaîne, de son opérateur de téléphonie fixe et de l’opérateur de téléphonie mobile de son directeur financier. Rien que ça…

L’étude du mode opératoire de l’attaquant est particulièrement intéressante et elle soulève en particulier la question de la robustesse des procédures de contrôle des partenaires de l’entreprise, souvent hélas plus difficiles à évaluer que les procédures internes. Car ici, si la victime est bien la chaîne de télévision, l’essentiel de l’attaque a porté sur ses prestataires.

Pour mémoire, l’escroc de BeIN Sports a tout à d’abord infecté le poste de travail d’un comptable de la chaîne de télévision à l’aide d’un logiciel malveillant introduit par email. Celui-ci contenait un lien piégé censé permettre de visualiser une facture. Bien que celle-ci ait été émise au nom d’une société non-référencée auprès du service achats de la chaîne, un comptable a tout de même suivi le lien piégé. Une fois en place, le logiciel lui a permis de recueillir des informations internes cruciales telles que l’organisation de la direction financière, ses procédures, les noms et coordonnées téléphoniques des principaux cadres, des modèles de signatures scanées et bien sûr une liste de numéros de comptes bancaires à cibler.

Si l’infection par un malware n’a rien d’exceptionnel, l’étape suivante élève toutefois le niveau : à l’aide des informations glanées précédemment le pirate va neutraliser temporairement les lignes téléphoniques fixes de la chaîne en les re-dirigeant vers un numéro pris chez un e-opérateur de téléphonie sur IP, ainsi que la ligne mobile du directeur financier en la faisant désactiver par l’opérateur !

La suite de l’affaire est terriblement banale : l’escroc va alors contacter l’une des banques de la chaîne et mettre la pression sur l’employée au bout du fil afin qu’elle accepte de procéder à une série de virements de fonds par fax, car, prétexte-t-il, l’informatique est en panne. A ce stade l’employée de banque va n’appliquer que partiellement la procédure de contrôle : si elle procède bien à un contre-appel, elle se satisfait toutefois du numéro communiqué par l’escroc ! (probablement sous l’effet de l’urgence et déstabilisée parce qu’à ce moment les lignes des contacts à appeler chez BeIn Sports sont neutralisées).

L’affaire coûtera cher à BeIn Sports, qui perdra au moins 1,5 million d’euros et probablement 2,4 millions d’euros (l’escroc ayant procédé à six virements, chacun d’un montant proche de la limite d’autorisation fixée à 500 000 euros, mais la banque est parvenue à bloquer environ 900 000 euros, qui n’étaient toutefois pas restitués au moment du jugement de l’affaire).

Une affaire riche en enseignement

Les enseignements que l’on peut en tirer sont, eux,  particulièrement riches :

  • Une attaque coordonnées exploitera des faiblesses distribuées. Les attaquants ne sont pas contraints par les silos organisationnels de l’entreprise.
  • Le point d’entrée est étonnamment simple à la vue de la complexité de l’attaque qui a suivi : il s’agit d’un email rédigé dans un français approximatif, supposé présenter une facture soumise sous la forme d’un lien hypertexte (alors qu’elles le sont habituellement en pièce jointe) et provenant d’une société non référencée auprès du service achat. Une indication que les attaquants préfèrent souvent n’utiliser que la complexité nécessaire à l’étape en cours, et pas plus.
  • Les incidents doivent être traités comme n’étant pas isolés : la découverte de l’infection par un malware introduit via un email piégé accompagné d’un appel frauduleux doit déclencher une investigation plus précise concernant d’éventuels autres signaux faibles indicateurs d’une opération de plus grande envergure (appels téléphoniques suspects, notamment).  
  • La solidité des procédures de contrôles doit être testée bien sûr en interne, mais aussi chez les partenaires-clés de l’entreprise (mais ces derniers sont-ils déjà identifiés par l’entreprise ?)
  • Il semble évident que, pour les plus importants d’entre eux, la capacité à appliquer des procédures de contrôle solide doit être un critère de sélection des partenaires clés.
  • Les collaborateurs susceptibles d’être visés par de telles pratiques doivent être non seulement sensibilisés, mais aussi formés à produire des « rapports d’étonnement ». Et l’infrastructure nécessaire à la remontée de ces informations doit exister dans l’entreprise aussi bien que chez ses partenaires critiques.
  • Produire des résultats favorables d’audits d’ingénierie sociale récents pourrait devenir un atout commercial pour les prestataires (ou une exigence de leurs clients…)

De telles attaques, bien que complexes et très efficaces, peuvent toutefois être minimisées par une application rigoureuse de procédures et par une bonne sensibilisation des collaborateurs. Ainsi durant la même affaire, une seconde banque a été contactée par l’escroc. Mais celle-ci a su déceler la fraude, notamment parce que son employé a su s’étonner d’un bruit suspect sur la ligne téléphonique (durant le re-routage) et reconnaître la voix du fraudeur alors qu’il tentait de joindre le directeur financier de BeIN Sport dans le cadre de son contre-appel.

Enfin, du point de vue juridique, il est intéressant de noter que la 13eme chambre du tribunal de commerce de Paris, dans son jugement rendu en mars 2015, a condamné la banque à rembourser les sommes perdues (2,4 millions d’euros plus les frais) du fait de sa négligence dans l’application des procédures de contrôle.