Le vol de données personnelles d'employés est la première étape de plusieurs attaques et fraudes informatiques. Pour arriver à leurs fins, les cybercriminels diversifient leurs stratégies. La popularité des médias sociaux ne ferait que faciliter leur collecte de données.

Questionné sur la principale menace informatique qui pèse sur une organisation, Bob Seney répond sans l'ombre d'une hésitation: «Il s'agit encore et toujours de l'erreur humaine.»

Bob Seney est vice-président, intégration d'entreprise chez Logimethods, entreprise spécialisée dans le B2B et l'intégration de systèmes informatiques. «Quand les mesures de sécurité sont bien faites et bien gouvernées, poursuit-il, les failles viennent très souvent d'oublis ou de divulgation d'information d'employés qui le font sans trop s'en rendre compte.»

Et les cyberfraudeurs l'ont compris. Ils sont de plus en plus nombreux à exploiter cette faiblesse, préférant les «failles humaines» à celles qui relèvent de l'informatique. Leurs techniques relèvent de ce qu'on appelle l'«ingénierie sociale»: «rançonnage», hameçonnage, harponnage, whaling, «SMiShing»... Autant de stratégies qui exploitent la confiance des employés et leur méconnaissance informatique. L'objectif reste le même: subtiliser de l'information.

«On communique avec vous - par courriel ou par les médias sociaux - en se faisant passer pour un tiers. On vous redirige vers un site qui ressemble à celui d'une organisation officielle en laquelle vous avez confiance ou on vous invite à cliquer sur un lien qui déclenchera un logiciel malveillant qui peut recueillir les données de votre ordinateur à votre insu», résume Jean-Philippe Nantel, agent de recherche senior au Centre de recherche informatique de Montréal (CRIM).

Selon une étude du développeur japonais Trend Micro, 91% des cyberattaques sont effectuées grâce à des données obtenues par le harponnage, une technique d'ingénierie sociale qui gagne en popularité. Ce type de fraude engendrerait jusqu'à 5 milliards de dollars de pertes par an, selon le Global Microsoft Computing Safety Index (MCSI).

s Quiz: Saurez-vous reconnaître les tentatives d'hameçonnage: https://phishingquiz.mcafee.com

Les principales menaces

«Rançonnage»

Utilisation par des cybercriminels de logiciels malveillants qui infectent les dossiers personnels. Ceux-ci sont «désamorcés» à la suite du paiement d'une rançon ou de la divulgation de données.

Hameçonnage

Technique d'ingénierie sociale qui consiste à envoyer un message frauduleux à un grand nombre de personnes dans l'espoir d'obtenir des renseignements personnels ou stratégiques. La victime peut livrer elle-même ses renseignements, ou un logiciel malveillant, déclenché à son insu, peut récolter des données de son ordinateur. Traduction: phishing.

Harponnage

Technique d'ingénierie sociale qui consiste à envoyer un message personnalisé frauduleux spécifiquement à une personne. Celle-ci peut livrer elle-même des renseignements ou déclencher à son insu un logiciel malveillant qui récolte des données de son ordinateur. Traduction: spear fishing.

Chasse à la baleine

Technique d'ingénierie sociale similaire au harponnage qui cible spécifiquement les membres de la haute direction d'une organisation. Employant généralement le courriel, les fraudeurs contactent les dirigeants d'entreprise en se faisant passer pour des partenaires ou des clients potentiels. Les messages sont sophistiqués et très personnalisés. Traduction: Whaling.

«SMiShing»

Stratégie d'ingénierie sociale qui consiste à envoyer des messages SMS à des détenteurs de téléphones intelligents. Quand on clique sur un lien proposé, un logiciel permet de dérober les données contenues dans le téléphone.

Le grand buffet d'informations

Dans l'univers de l'ingénierie sociale, les médias sociaux sont de réels buffets pour les fraudeurs. En quelques clics, ils accèdent à une multitude de renseignements professionnels et personnels qui leur permettent de personnaliser leurs attaques. «Par LinkedIn, quelqu'un qui prétend être un client ou employeur potentiel peut facilement vous contacter et vous faire parvenir des documents malveillants. Il peut facilement personnaliser son approche», indique Jean-Philippe Nantel, du CRIM.

Un chercheur de l'Université de Buffalo, Arun Vishwanath, a récemment simulé des attaques de type hameçonnage sur les médias sociaux. Résultat: le taux de réussite a été d'environ 40%, alors que par courriel, il n'est que de 1%. Le chercheur explique ces résultats par la nature même des médias sociaux: interface en constante évolution, changements fréquents des mesures de sécurité. Le résultat ne surprend pas Jean-Philippe Nantel: «Sur les médias sociaux, non seulement le contenu est plus attrayant, mais aussi les gens sont davantage portés à cliquer sur ce qui leur est proposé. C'est dans la nature même du média social.»

Le harponnage en quelques chiffres

Pourcentage des attaques en fonction de la taille des entreprises en 2013

> 39% contre de grandes entreprises (plus de 2500 employés)

> 31% contre des entreprises de taille moyenne (de 250 à 2500 employés)

> 30% contre des petites entreprises (moins de 250 employés)

Source: Symantec