AVIS D’EXPERT – L’atteinte à la réputation est un risque qui doit être pris très au sérieux par les entreprises, leur image de marque étant l’un de leur actif les plus précieux. Les cybercriminels peuvent aisément se faire passer pour n’importe quelle entreprise, accédant ainsi à des informations sensibles qui pourraient ternir leur réputation et causer des dysfonctionnements systémiques.
Dans cette tribune, Bertrand Trastour, directeur général de Kaspersky en France, revient pour les lecteurs de Solutions Numériques sur ce sujet des attaques par usurpation d’identité, comment elles peuvent nuire aux entreprises, à l’aune de cas pratiques, et explique comment se prémunir de tels risques.
Cela fait maintenant près de 30 ans que les e-mails de phishing existent. Ce qui n’était au départ que le fait d’un petit groupe de pirates œuvrant sur les terres vierges du web émergeant en quête d’un accès gratuit à internet, utilisant les services de messagerie instantanée pour voler des mots de passe utilisateurs en se faisant passer pour des employés d’AOL, est aujourd’hui devenu une arme massive du monde de la cybercriminalité. En 2022, plus de 500 millions de tentatives de phishing visant à tromper leurs destinataires ont été bloquées, rien que par Kaspersky, à travers le monde.
En un an, le nombre de ces incidents a doublé. En plus de la multiplication des pages de phishing, les entreprises doivent faire face aux tentatives d’usurpation de leur identité aussi bien sur les réseaux sociaux que sur les plateformes de ventes en ligne, où les agents mal intentionnés créent de faux comptes et de fausses applications pour imiter leurs images de marques.
Mais en quoi cela peut-il nuire aux entreprises ?
Avec l’essor des réseaux sociaux, le risque d’atteinte à la réputation est devenu une préoccupation majeure pour les entreprises, car la marque est l’actif le plus important et le plus précieux qu’elles puissent posséder. Qu’il s’agisse d’une petite entreprise familiale ou d’une multinationale, se constituer une clientèle fidèle est un travail de longue haleine. En concevant des contrefaçons de pages sur les réseaux sociaux, ou en détournant des profils existants, les cybercriminels peuvent écrire des mails en se faisant passer pour une entreprise et distribuer des contenus piratés et perpétrer des attaques d’ingénierie sociale pour escroquer les usagers.
Par exemple, les fraudeurs peuvent vendre des produits contrefaits ou se faire passer pour des représentants du service client pour inciter les utilisateurs à divulguer des données sensibles les concernant, ou les pousser à se rendre sur des sites web malveillants. Les cadres dirigeants et les célébrités constituent des cibles de choix, car l’usurpation de leur identité favorise la diffusion de campagnes de phishing avancées et de la désinformation à grande échelle.
Les acteurs de la menace perçoivent les marques ayant une bonne réputation et de bonnes relations avec leur client comme autant d’opportunités de mener à bien leurs activités criminelles. En concevant des copies conformes de pages web appartenant au départ à une marque ou un service en ligne, ils utilisent du contenu précis et détaillé pour hameçonner leurs victimes et leur soutirer toute sorte d’informations, des identifiants de connexion aux données d’identité personnelles et professionnelles, en passant par des renseignements sensibles sur l’entreprise ou encore des coordonnées bancaires.
Mastodontes comme PME, toutes les entreprises sont concernées
Rien que l’année dernière, Amazon, DHL, HSBC, Microsoft, Netflix et Yahoo ont fait partie de la cohorte des sociétés d’envergure internationale ayant été prises pour cible de ces usurpations d’identité, alimentant les schémas de phishing et autres tactiques malveillantes mises en œuvre par les cybercriminels.
Selon la Federal Trade Commission, les signalements d’escroqueries sur Amazon ont augmenté de 500 % entre juin 2020 et 2021. Selon l’entreprise, en 2022, les mails signalant de fausses confirmations de commande ont représenté plus de la moitié de ces tentatives de phishing exploitant l’identité du géant de la vente en ligne. Généralement, ces messages font référence à un achat que les destinataires n’ont jamais effectué. En cliquant sur un lien ou en appelant le prétendu numéro du « service client », les victimes sont ensuite incitées à divulguer des informations personnelles ou financières à leur sujet. En collaborant avec des équipes chargées du pouvoir exécutif dans chacun des pays touchés, Amazon a réussi à démanteler plus de 20 000 sites de phishing et 10 000 numéros de téléphone utilisés dans le cadre de tentatives d’usurpation de l’identité de la société.
L’année dernière également, DHL, le premier fournisseur européen de services postaux et de colis, a fait savoir qu’il était au cœur d’une vague d’escroqueries impliquant multiples sites web et mails frauduleux. Avec près de 3 millions de clients et 2 milliards de colis en transit par an dans 220 pays à travers le monde, cette campagne compte comme l’une des plus grandes opérations de phishing en 2022.
En mettant à profit les tendances et les marques populaires, les cyberpirates procèdent aussi en créant de faux comptes sur les réseaux sociaux pour s’y présenter abusivement comme le profil d’une marque ou d’une entreprise. En novembre 2022, X (à l’époque, Twitter) a permis à tous les utilisateurs ayant acheté son abonnement payant Twitter Blue de recevoir une coche de vérification bleue. Comme prévu, ce changement a déclenché une explosion de profils détournés affichés comme étant des comptes « vérifiés », se faisant passer pour des marques bien connues. Par exemple, un profil se faisant passer pour Coca Cola a posté un Tweet proposant de « remettre de la cocaïne » dans la boisson. La coche bleue ayant rapidement été instrumentalisée par les arnaqueurs, Twitter Blue a été mis en pause dès décembre 2022.
Autre procédé courant, les cybercriminels peuvent usurper des noms de marque sur les marketplaces numériques, en contournant les mesures de sécurité implémentées par Google et Apple. Android permet par exemple aux utilisateurs de charger et d’installer des applications téléchargées à partir de sources ne figurant pas directement dans la boutique d’applications, et les cyberattaquants peuvent tirer parti de cette faiblesse en créant des clones d’applications qui imitent les applications légitimes. Par exemple, en 2020, l’Inde a interdit un clone de TikTok appelé TikTok Pro conçue pour voler des données sur les appareils des utilisateurs.
Ces attaques causent une perte de confiance à long terme vis-à-vis de la clientèle dont le coût est incommensurable. Une entreprise n’a pas besoin d’être une multinationale cotée en bourse pour être confrontée à l’usurpation de son identité. Les cybercriminels peuvent prendre pour cible n’importe quelle entreprise et s’emparer d’informations sensibles, entraînant dans leur sillage des pertes financières, des atteintes à la réputation et des pannes de système à long terme.
Comment protéger une entreprise contre l’usurpation d’identité ?
Pour les particuliers, il suffit de quelques clics pour supprimer les mails aux objets douteux. Mais que peuvent faire les détenteurs de marques pour atténuer ou prévenir les dommages causés par l’usurpation de leur nom à des fins de phishing, entre autres activités malveillantes mises en œuvre par des cybercriminels ?
Tout d’abord, pour se donner les capacités de faire face à ces cybermenaces, les entreprises peuvent utiliser des outils de renseignement sur les menaces qui permettent de détecter les tentatives d’usurpation d’identité à temps. Ces solutions permettent d’obtenir des notifications en temps réel sur le phishing et les faux comptes créés sur les réseaux sociaux au nom d’une marque ou d’une entreprise, et de supprimer, le cas échéant, les faux comptes et les fausses applications mises à disposition sur les boutiques en ligne.
Ensuite, il est nécessaire de mener une veille occasionnelle sur internet et les réseaux sociaux pour surveiller les sites et les comptes de réseaux sociaux pouvant potentiellement utiliser le nom de marque de l’entreprise.
Enfin, l’entreprise se doit d’éduquer son public au mieux et de l’informer des fraudes par usurpation d’identité dont elle est la cible, en mettant à disposition de ses clients des supports pour se sensibiliser à la cybersécurité. Le but, c’est que ces derniers puissent reconnaître ces attaques, comprennent leur nature frauduleuse et sachent comment les signaler.
Bertrand Trastour