Les chercheurs de l’Unit 42, le groupe d’experts en sécurité, de Palo Alto Networks ont publié les résultats de leur récente enquête sur les attaques par compromission de mails professionnels (ou BEC pour Business Email Compromise), qui met l’accent sur ce déluge de délits informatiques impliquant de l’hameçonnage et de la fraude aux virements.
Le FBI a récemment annoncé que les attaques BEC ont généré 1,87 milliard de dollars de pertes l’an dernier, ce qui en fait l’un des crimes informatiques les plus coûteux.
Les enquêteurs ont parcouru l’ensemble des cas recensés par l’Unit 42. Ils ont ainsi découvert que le montant moyen d’une tentative de fraude au virement était de 567 000 dollars et que la plus chère était de 6 millions de dollars. En général, les victimes n’avouent pas publiquement être touchées pour éviter les atteintes à leur réputation, ce qui signifie que les attaques par compromission de mails n’attirent pas autant l’attention que d’autres menaces informatiques comme les ransomwares ou les attaques visant la chaîne logistique.
Parmi la centaine de cas sur lesquels l’Unit 42 a travaillé depuis le début de l’année dernière, les chercheurs ont découvert que 89 % des victimes n’avaient pas activé l’authentification à facteurs multiples (ou MFA) ou n’avaient pas suivi les bonnes méthodes pour l’installer et l’utiliser.
Le fléau des attaques par compromission d’email et comment les prévenir
C’était un jour comme les autres pour ce client, cadre dans une entreprise américaine du secteur financier qui s’appuie sur une application mobile d’authentification à facteurs multiples (ou MFA) bien connue pour protéger l’accès aux mails, aux fichiers clients et aux autres données sensibles. Son iPhone ne cessait de lui envoyer des demandes d’authentification pour accéder à son courrier électronique, l’interrompant dans une journée remplie de rendez-vous clients. Énervé par cette intrusion et la mettant sur le compte d’une erreur système, il rejeta toutes les demandes pour se consacrer à son travail.
Il pensait que ce serait terminé quand les requêtes cessèrent. Toutefois, des mois plus tard, il apprit qu’il avait par erreur autorisé l’une de ces multiples requêtes, donnant sans le savoir accès à ses mails à un attaquant. Il découvrit la compromission quand sa banque émit des doutes sur des transferts de fonds pour un montant total approchant du million de dollars. Notre enquête montra que des données de sa société, de ses employés et de ses clients avaient été compromises. Heureusement, la société put récupérer les sommes volées, mais des attaques de cette nature sont toujours très couteuses en termes de réputation, mais également de temps et de ressources dépensés pour en réparer les dégâts.
Ce type d’attaque est connu comme étant une attaque par compromission d’email professionnels ou BEC (pour Business Email Compromise). Chaque année, les experts en sécurité de l’Unit 42 passent des milliers d’heures à enquêter sur des BEC, fouillant à travers les logs à la recherche d’activités non autorisées, et déterminant comme ces accès non autorisés ont pu avoir lieu pour trouver les failles de sécurité et les combler.
BEC : « Ça n’arrive qu’aux autres »
De nombreuses entreprises pensent qu’elles ont déjà pris toutes les précautions pour se protéger des attaques par compromission d’email. Néanmoins, ces précautions peuvent ne pas être correctement déployées. Parmi la centaine d’attaques BEC sur lesquelles l’Unit 42 a travaillé depuis le début de l’année dernière, nos consultants ont déterminé que 89 % des victimes n’avaient pas activé la MFA ou ne l’avaient pas installé correctement. Cela peut sembler surprenant, car les principaux prestataires de messagerie — y compris Office 365 et Exchange de Microsoft ou Google Workspace – proposent plusieurs options d’implémentation. Cela montre à quel point il est important pour les entreprises de comprendre et de suivre les méthodes recommandées pour n’importe quel outil de sécurité.
Les conséquences sont coûteuses. Dans les enquêtes menées par l’Unit 42 depuis le 1er janvier 2020, la tentative de détournement de fonds moyenne était de 567 000 dollars et la plus élevée de 6 millions de dollars. Le FBI estime que les BEC ont entraîné 1,87 milliard de dollars de perte l’an dernier, en faisant l’un des crimes informatiques les plus coûteux.
La bonne nouvelle est qu’identifier les défauts dans l’authentification à facteurs multiples est assez simple. Les enquêteurs peuvent remonter aux problèmes dans les systèmes de contrôle mis en place et proposer des recommandations pour les pallier.
