Cyberarnaques: le piège de l’urgence
Chaque semaine en Suisse, entre 600 et 1200 cyberarnaques ciblent entreprises et administrations publiques. Dans l’arsenal des hackers, les types de fraudes varient, mais l’arme reste toujours la même : la manipulation de la confiance dans l’urgence. Explications et parades.
La fraude au président, au CEO, au paiement anticipé, à l’IBAN, etc. Quels que soient le nom et le contenu de ce type de cyberarnaques, elles atterriront dans votre boîte mail professionnelle et privée à un moment ou un autre.
Ces attaques représentent plus de la moitié des signalements envoyés chaque semaine à l’Office fédéral de la cybersécurité , et peuvent occasionner des millions de francs de pertes pour les entreprises et les administrations publiques. Connaître les méthodes des fraudeurs aidera à mieux débusquer l’arnaque. Voici ce qu’il faut savoir pour être en mesure de déjouer la plupart des tentatives.
Comment ça se passe ?
Un escroc se fait passer pour une personnalité dirigeante de l’organisation –directeur, chef de service ou supérieur hiérarchique. Il contacte un collaborateur généralement par courriel, parfois même par téléphone ou via la visioconférence :
«J’ai besoin que tu procèdes à un paiement confidentiel tout de suite. C’est très important et ça ne doit pas passer par les circuits habituels.»
Le message est convaincant, l’adresse de l’expéditeur semble crédible, et le ton ne laisse pas de place au doute. Le tout survient dans un contexte d’urgence : le message arrive par exemple un vendredi après-midi, le versement doit être fait avant le week-end. Il est mentionné par exemple que la supérieure hiérarchique est en réunion importante et restera injoignable. C’est précisément là que réside le piège : jouer sur la loyauté et la rapidité pour faire sauter les réflexes de vérification.
Autres exemples réels de tentatives de cyberarnaques :
- Le «fournisseur» ou «l’employé» demande qu’on le paie sur son nouveau compte IBAN.
- La «cheffe» pousse un faux rappel de paiement en demandant à son subalterne de procéder au versement très rapidement.
- Une «assurance» annonce un prétendu remboursement et demande, pour ce faire, de mettre à jour les données bancaires, le numéro de contrat et la signature numérique.
Quels sont les risques?
Les risques de telles pratiques sont évidents : pertes financières importantes, fuite d’informations sensibles (coordonnées bancaires, contrats, identifiants, etc.), forte pression psychologique pour la personne trompée. Et atteinte à la réputation de l’administration publique.
L’urgence est un leurre. Il faut garder son sang froid lorsqu'un qui demande une action rapide et se poser les bonnes questions. | Illustration: MrSutin Comment repérer une tentative?
Ces quelques signaux doivent alerter la personne qui reçoit ce genre de mail : un ton autoritaire, inhabituel ou très pressant ; une consigne de discrétion absolue («cette transaction est encore confidentielle, n’en parlez à personne »). Bien contrôler l’adresse email : elle sera peut-être identique ou ressemblera à celle d’une personne de la hiérarchie (par exemple @vd-gov.ch au lieu de @vd.ch). Enfin, une demande inhabituelle ou urgente de virement ou de changement de coordonnées bancaires, des fautes ou tournures étranges liées à une traduction automatique doivent éveiller les soupçons.
Les bons réflexes
Garder son sang-froid. L’urgence est un leurre. Se poser la question : est-ce que la requête qui m’est adressée sort de l’ordinaire? Ne pas cliquer sur des liens suspects et ne pas répondre sans vérifier l’expéditeur. En parler à ses collègues. Vérifier auprès de l’expéditeur légitime en prenant contact par un des moyens à disposition. Ne pas se fier aux liens et numéros de téléphone indiqués dans le message suspect, mais chercher le contact dans l’annuaire officiel de son organisation ou sur des plateformes connues. Si l’expéditeur légitime reste injoignable, contacter une autre personne de la hiérarchie.
Il faut aussi alerter immédiatement le helpdesk, la sécurité ou un responsable en cas de suspicion de tentative d’arnaque. Bien sûr, il faut aussi respecter les procédures de contrôle internes avant tout paiement ou transfert d’information. Seuls des processus établis en amont et robustes permettent de se protéger.
En résumé, si une demande urgente, confidentielle ou inhabituelle nous parvient directement d’un ou d’une «supérieure», nous devons prendre le temps de vérifier avant d’agir. Le bon réflexe, c’est de douter, vérifier et signaler.
L’IA dope les fraudes
Notre vigilance doit même commencer avant d’être pris pour cible. Notamment en évitant de faciliter la tâche des fraudeurs en laissant trop d’informations en ligne. Les données personnelles publiées en ligne constituent la matière première des cybercriminels, qui utilisent des techniques toujours plus sophistiquées pour les obtenir. Ils agissent comme des analystes : ils collectent des données apparemment sans rapport entre elles provenant de sources diverses (réseaux sociaux, sites des entreprises, etc.) et les assemblent pour créer des profils détaillés. Aidés de l’intelligence artificielle, les criminels sont alors capables de rédiger des mails très réalistes et convaincants, et de mener des attaques difficiles à détecter. Autant d’évolutions criminelles qui doivent nous inciter à rester très mesurés dans ce que nous mettons en ligne, tant sur le plan professionnel que privé. (CJ)
Pour toute question ou signalement : securite.ssi@vd.ch