Business Email Compromise : comment appréhender cette menace ?

Canal de communication incontournable pour les professionnels comme pour les particuliers, la messagerie d’entreprise demeure un vecteur d’attaque plébiscité par les cybercriminels. Selon un rapport de la société PhishMe, 91 % des cyberattaques utiliseraient l’e-mail comme premier vecteur d’attaque. Alors que les campagnes de spam (envoi d’e-mails indésirables) et de phishing s’appuient sur des envois en masse, d’autres techniques comme le Business Email Compromise (BEC) mettent en œuvre des attaques ciblées. Quelles peuvent être les conséquences de ces attaques ? Comment reconnaître cette menace et s’en protéger ? Tour d’horizon et analyse de ce phénomène.

Le Business Email Compromise ou « compromission de messagerie d’entreprise » est un mode opératoire qui consiste à utiliser la messagerie d’une entreprise pour inciter les employés à réaliser des opérations malveillantes (transactions bancaires, diffusion d’informations sensibles). Le mode opératoire consiste soit à compromettre le compte de messagerie d’un employé de l’entreprise dans le but de contourner les solutions de protection de la messagerie, soit d’usurper son identité au travers d’un nom domaine voisin à celui de l’entreprise victime.

Dans de nombreux cas, le Business Email Compromise est utilisé avec pour but d’obtenir des virements financiers en usurpant l’identité du PDG de l’entreprise victime ou celle d’un membre de l’exécutif.

Le mode opératoire de ces attaques ciblées s’organise généralement en 4 phases.

1. Identification des victimes : à partir d’informations accessibles en ligne (on parle ici d’ingénierie sociale), les cybercriminels identifient les personnes clés au sein de l’entreprise. Ils reconstruisent l’organigramme de l’entreprise et identifient l’employé sur lequel ils vont s’appuyer pour demander la réalisation de transactions financières.

2. Lancement de l’attaque : les cybercriminels se font passer pour l’un des dirigeants de l’entreprise ou un autre cadre exécutif (parfois en ayant eu accès à sa messagerie) et font une demande de transfert de fonds en jouant sur le caractère urgent de la demande. Le présumé caractère hiérarchique joue ici tout son rôle dans la manipulation.

3. Exploitation : le salarié ciblé reçoit la demande, qu’il considère comme légitime, et sous la pression effectue la transaction financière.

4. Gain financier : les cybercriminels obtiennent la somme d’argent et disparaissent. Les entreprises n’ont parfois pas le temps de détecter ce type d’opérations.

Les attaques de type Business Email Compromise peuvent prendre différentes formes. En voici quelques-unes parmi les plus courantes.

• Arnaque au président : les cybercriminels se font passer pour le PDG ou un cadre supérieur de l’entreprise afin d’obtenir la confiance des salariés. Ils leur demandent par e-mail de réaliser des transferts de fonds vers des comptes frauduleux ou de partager des informations sensibles.
• Compromission de la comptabilité, envoi de fausses factures, arnaque au fournisseur : les cybercriminels obtiennent l’accès à la boîte mail d’un des salariés, ce qui renforce leur crédibilité lorsqu’ils s’adressent aux autres membres de l’entreprise. Ils peuvent par exemple transmettre plus facilement de fausses factures à leur service comptabilité. Durant la période de pénurie de masques FFP2 au début de la pandémie de la Covid-19, plusieurs arnaques au fournisseur utilisant ce mode opératoire ont été révélées.

Le Business Email Compromise frappe les entreprises Européennes. En 2018, l’équipe dirigeante de Pathé Pays-Bas a été la victime d’un email de type BEC. Semblant provenir du PDG de Pathé France, l’e-mail faisait référence à une soi-disant opération d’acquisition d’une entité à Dubaï. Les cybercriminels ont réussi à convaincre l’équipe de réaliser plusieurs paiements, pour une perte totale de près de 21 millions de dollars.

Dans son rapport 2022 traitant de la criminalité sur Internet, le FBI souligne que les pertes engendrées par les attaques de type Business Email Compromise ont coûté 2,4 milliards de dollars aux entreprises américaines en 2021 (une augmentation de 28 % par rapport à l’année 2020). Le FBI considère même qu’il s’agit du type d’attaque la plus lucrative, loin devant les très médiatiques ransomwares. Et la tendance est clairement à la hausse. L’industrie mondiale du Business Email Compromise pourrait atteindre les 3,3 milliards de dollars de revenue d'ici 2028.

Si l’impact financier est le plus évident, les entreprises victimes de ce mode opératoire peuvent également dégrader leur réputation ou s’exposer à des cyberattaques plus poussées comme par exemple le déploiement de malwares dans l’entreprise après avoir obtenu des accès initiaux.

Pour faire face au BEC, les politiques de sécurité recommandées intègrent une gestion stricte des mots de passe (utilisation obligatoire de mots de passe complexes, renouvelés régulièrement), l’authentification multifacteur et la vérification systématique de la pertinence d’une demande et de son expéditeur dès lors que l’e-mail semble suspect.

Du côté des outils de cybersécurité, les mécanismes de détection d’e-mails frauduleux doivent être utilisés pour bloquer les e-mails provenant de domaines suspects ou de destinataires inconnus. Les protocoles d’authentification des e-mails DKIM et SPF permettent de vérifier si l’e-mail reçu a bien été envoyé depuis un serveur légitime.  Enfin, les programmes de sensibilisation à la cybersécurité ont tout intérêt à intégrer des exemples de Business Email Compromise et à décortiquer leurs modes opératoires afin d’élever le niveau de connaissance et de vigilance des salariés sur le sujet.

S’ils constituent une première ligne de défense, les outils de détection traditionnels ne sont aujourd’hui plus suffisants pour lutter contre des attaques de plus en plus sophistiquées. L’utilisation de l’intelligence artificielle et de l’analyse heuristique peut améliorer l’inspection du contenu : analyse des modèles d’activités suspects, détection du phishing en temps réel, détection de faux e-mails, usurpation d’un logo de marque, analyse des liens etc. Intégrés aux environnements Microsoft 365 et Google Workspace, ces solutions techniques permettent d’améliorer la capacité de détection du Business Email Compromise tout en alertant l’utilisateur en affichant le plus souvent une bannière dans l’e-mail en cas de doute sur l’identité de l’expéditeur.