L’art et la science de l’anti-fraude en ligne

Bienvenue sur le net

Les fraudeurs dans Internet tablent à la fois sur l’innocence des nouveaux venus et aussi sur la confiance que les gens construisent graduellement entre eux.

L’innocence peut être aussi bien réduite par l’éducation que par l’expérience malheureuse. On préfère évidemment la première option, mais les fraudeurs n’attendront pas que vous finissiez votre apprentissage.

Par exemple, les grandes entreprises testent leurs employés en leur envoyant des appâts typiques utilisés par les fraudeurs. Si les riches légataires qui vous ont choisi comme héritiers courent toujours, ils ne sont pas les plus menaçants. On préfère les appâts plus sophistiqués, comme ceux qui demandent simplement de vous identifier ou d’ouvrir un important document attaché.  Sans surprise, même si les employés sont informés, un pourcentage appréciable, de l’ordre de 4 à 10%, sera attrapé. L’innocence ou la négligence des gens peut être mesurée.

Quand à la confiance, elle aussi peut-être abusée. Par divers stratagèmes «d’ingéniérie sociale», le fraudeur réussira à paraître légitime aux yeux de sa cible et pourra l’abuser d’autant plus facilement qu’il a obtenu un maximum d’informations.  Le cas le plus patent est celui du parti démocrate américain ou les attaquants ont pris près d'un mois à accumuler des données à partir de faux courriels personnalisés. Certains fraudeurs vont jusqu’à se faire passer pour le responsable informatique et de là accéder à toutes les possibilités imaginables de chevaux de Troie, d’hameçonnage ( phishing ), de fraude directe, de rançonnage, etc.  Parfois les fraudes ne passent pas par le réseau, comme les fraudes du président, mais s'appuient sur les données acquises par le réseau.

Ne vous soumettez pas à la tentation

Surtout si les employés se comptent par milliers, on comprend qu’il faille réduire l’exposition au risque, en plus des actions d’éducation et de la mise en place de procédures strictes de sécurité. Malgré tout, il restera toujours une proportion de gens qui ne comprennent pas, sont négligents ou distraits; aussi de simplement réduire le nombre d’occasions de faillir constitue un gain de sécurité net.

À partir du moment où un service de courriel privé est utilisé, la proportion de spams reçus dépasse souvent les 50 %, pour peu que des adresses soient utilisées dans la promotion; un filtre anti spam devient dès lors essentiel.  De nombreux services et logiciels de sécurité sont proposés avec divers niveaux de rendement et d’efficacité.  

Comme les fraudeurs renouvellent constamment leurs tactiques et que la vitesse de réaction est un facteur critique (comme le délai d’intervention des pompiers lors d’un incendie), un système anti spam efficace doit être mis à jour quasi en temps réel ou être tout simplement imparti, c’est à dire que tout le courriel passe par un filtre géré par une entité responsable et spécialisée, du genre sécurité antispam Altospam.

La seule suppression des spams et autres nuisances virales représente des économies de temps et d’attention qui rentabilisent l’investissement en quelques heures. Une attaque virale peut coûter des fortunes et mettre à mal les opérations, mais si elle est évitée elle n’apparaîtra pas au bilan, ce qui ne veut pas dire que l’investissement en sécurité est une dépense inutile. Une fraude sur la clientèle provoque habituellement une perte de réputation radicale, mais la simple mention des efforts de sécurité peut au contraire démontrer le sérieux et rassurer les partenaires; l’investissement peut alors très bien se justifier au bilan.

Des principes de base et quelques données

Les mots de passe sont encore utilisés dans la plupart des organisations et constituent une cible de base pour les fraudeurs.  Entre les 100 000 mots du dictionnaire et les 20 trillions de possibilités offerts par les 46 caractères du clavier dans un mot de 8 lettres, on comprend que choisir un mot de passe qui ne soit pas dans le dictionnaire soit une consigne fondamentale. Une phrase est encore mieux.

La protection des fichiers des noms du personnel est aussi une façon élémentaire de compliquer la vie des fraudeurs.  Mais les fraudeurs professionnels ont dépassé ce stade depuis longtemps. Pour peu que leur cible soit économiquement intéressante, ils mettront le temps et les efforts pour bien la connaître avant de lancer leur attaque. La cible la plus stratégique est évidemment l’accès au contrôle du réseau lui-même, soit par une machine infectée ou colonisée, soit directement par des accès autorisés. Aussi, la sécurité autour du département des T.I. est-elle normalement beaucoup plus stricte. Le contrôle ultime étant accordé à une seule personne et une procédure de recouvrement à une autre.

Le décès du propriétaire d’une monnaie virtuelle, qui était le seul à connaître les codes clés, a démontré à quel point une procédure de recouvrement peut être importante : 190 millions de dollars sont demeurés irrécouvrables ! ( 1 ) (  2 ).

En somme, la sécurité informatique de base tient à des actions simples, mais essentielles.

Références

Ingénierie sociale - Wikipédia - https://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale_(s%C3%A9curit%C3%A9_de_l%27information)

Le boom inquiétant de la « fraude au président » - Les Échos
https://www.lesechos.fr/08/04/2016/lesechos.fr/021827593152_le-boom-inquietant-de-la---fraude-au-president---.htm

How Russian hackers stole information from Democrats, in 3 simple diagrams
https://www.vox.com/policy-and-politics/2018/7/16/17575940/russian-election-hack-democrats-trump-putin-diagram

Altospam - https://www.altospam.com/

La MRC de Mékinac a payé une rançon de 30 000 $ à des pirates informatiques
https://ici.radio-canada.ca/nouvelle/1131502/la-mrc-de-mekinac-a-paye-une-rancon-de-30-000-a-des-pirates-informatiques

Cryptocurrency Owners Can't Access Funds After Exchange CEO Dies—Because No One Knows the Password - Fortune
http://fortune.com/2019/02/04/cryptocurrency-quadrigacx-gerald-cotten-frozen-funds/

AC

Ajouter à mes listes de lecture