août 31st, 2015

La technique est tellement simple et les gains si importants que ce genre d’escroquerie se répand comme une traînée de poudre, à tel point que le FBI estime les pertes mondiales occasionnées par ces escroqueries à plus de 1,2 milliard de dollars pour l’année écoulée.

Ces opérations de détournement (les EAC, pour E-mail Account Compromise, et les BEC, pour Business E-mail Compromise) reposent toutes deux sur l’usurpation d’identité d’un dirigeant d’entreprise. Soit l’adresse est compromise au niveau même de l’infrastructure, ce qui demande soit des complicités internes, soit des moyens techniques importants, soit, dans le cas des EAC, une adresse email spoofée est forgée, très proche de celle du patron ou d’un membre du comité de direction.

Pour ce faire, l’attaquant doit récupérer un courriel de la victime, et créer une nouvelle boîte à lettres en ajoutant dans l’alias une lettre, un signe de séparation, un « presque rien » qui donnera l’illusion que l’échange épistolaire se fait avec la bonne personne. Une technique de « typosquatting » déjà très en vogue dans le domaine des pages de phishing.

L’étape suivante, constituée de 10 % d’échanges électroniques et de 90 % d’ingénierie sociale, cible généralement un trésorier, un comptable, un responsable des achats ayant pouvoir et signature sur le compte en banque de l’entreprise. Fausses factures, transferts de fonds destinés à une pseudo-filiale ou entreprise prétendument associée, OPA hostile… tous les prétextes plausibles sont alors utilisés. Dès que le transfert est effectué (généralement au fin-fond d’une province Chinoise ou d’un village d’Ouzbékistan), l’intermédiaire s’évapore. L’éloignement, l’extraterritorialité, la corruption des fonctionnaires, l’inertie de l’administration étrangère fait le reste et dissuade généralement les victimes de toute tentative de poursuite. Parfois, l’argent est récupéré dans le pays même de l’entreprise escroquée par des mules chargées de servir de fusible et de sas d’isolation en cas d’enquête poussée. Et ce genre de piège pourtant grossier, que pourrait dévoiler un simple protocole de sécurité utilisant des mécanismes de confirmation et d’identification/authentification, prend dans sa nasse aussi bien des petites entreprises que des sociétés internationales. Ubiquity, le fabricant de routeurs et points d’accès WiFi, avouait dans son rapport boursier du mois dernier s’être fait dérober près de 46 millions de dollars de cette manière.

Sur le seul territoire US, les statistiques du FBI portant sur ces pratiques situent à près de 750 millions de dollars les pertes cumulées depuis octobre 2013 et le mois d’août de cette année.

De source bien informée et généralement digne de foi, l’ouragan Katrina qui a ravagé le sud-est des USA et tué plus de 1800 personnes en 2005 aurait été amorcé par de dangereux terroristes, semblent indiquer les récentes réactions des « agences à trois lettres ». C’est ce que dénonce Muckrock, une organisation spécialisée dans l’assistance aux procédures de divulgation d’information déclassifiées et soumises au « Freedom of Information Act ».

Si, durant les premiers temps suivant la catastrophe, le FBI se devait d’envoyer d’importants renforts en hommes et en matériel pour suppléer aux infrastructures de polices locales totalement dévastées, on comprend moins les raisons pour lesquelles ce même FBI a maintenu une présence importante des mois (des années) après le passage de l’ouragan. Présence qui s’est traduite par un foisonnement de ces fameuses « fausses cellules GSM » chargées d’intercepter les communications des citoyens. La raison même pour laquelle l’Etat Fédéral a décidé de déployer ces cellules (nom de code StingRay) est difficile à justifier. Au plus fort de leurs déploiements, rares étaient les citoyens capables de posséder encore un abonnement cellulaire, voir même de recharger leurs appareils téléphoniques, puisque la quasi-totalité du réseau électrique était hors service.

En France, de telles cellules fantôme peuvent-elles exister ?

L’affaire des intrications entre les services de renseignement intérieur et extérieur Allemands et la NSA connaît un nouveau rebondissement. Le journal Die Zeit publie le contrat signé entre la NSA et le BfV, service de renseignement intérieur de l’Administration Fédérale Germanique, contrat stipulant les conditions d’usage de XKeyscore, logiciel de filtrage et d’extraction de données utilisant le réseau d’écoute de la NSA, et notamment les activités des réseaux sociaux. Schématiquement, les services d’espionnage US « offrent » leur logiciel sous deux conditions : les agents Etats-Uniens ont un droit de regard sur les activités des citoyens Allemands sans véritable limite, et les barbouzes Allemandes s’engagent à ne pas fliquer les ressortissants du « grand large ». Ce qui n’a pas toujours été le cas d’un côté comme de l’autre. C’est le BND, service de renseignement extérieur, qui sera chargé d’apprendre au BfV comment se servir de cette usine à cyber-flicage. Et c’est précisément ce qui pose problème aux défenseurs de la démocratie d’Outre Rhin. Car XKeyscore, c’est de la pêche au chalut en matière de collecte d’informations à caractère personnel. Une chose qui, constitutionnellement, est strictement interdite au BfV. Un BfV qui passe outre régulièrement, ainsi le prouvait très récemment le journal NetzPolitik. Ce manquement grave au droit Fédéral avait eu pour conséquence la mise en examen des journalistes ayant révélé l’affaire, suivie de l’abandon des charges en raison de la tournure politique que prenait l’affaire : il y allait du siège de la Chancelière Merkel.

Au rythme où vont les choses, la compromission occulte des services de renseignement des principaux pays de la Communauté Européenne (Grande Bretagne, Allemagne, France …) s’imprègne d’un parfum de scandale, prouvant qu’il semble exister une forme d’autorité supranationale US, coercitive et qui défie en permanence les principes démocratiques du vieux continent.