Les 10 commandements de l’usurpation d’identité

Parmi les techniques de fraude les plus courantes en entreprise : la fraude au faux fournisseur et la fraude au président. Ces deux types de fraudes se basent sur l’usurpation d’identité d’un dirigeant, d’un collaborateur ou encore d’un fournisseur d’une entreprise. Si l’usurpation d’identité est massivement utilisée par des cybercriminels chevronnés pour extorquer des fonds à une entreprise, elle est aussi parfois utilisée de manière plus insidieuse par une entreprise qui cherche à tromper ses interlocuteurs en achetant le mot clé de son concurrent dans le référencement Google. Évidemment, loin d’être fairplay, cette dernière approche n’est absolument pas recommandée par les experts avertis de la cybersécurité.

La première étape dans la lutte contre la fraude reste la sensibilisation des collaborateurs aux différents risques et aux techniques de plus en plus sophistiquées utilisées par les fraudeurs. La vigilance des collaborateurs doit être ainsi renforcée, en particulier dans le contexte actuel où le télétravail rend les entreprises et leurs collaborateurs plus vulnérables. La transmission de certaines données sensibles, laissées sur le web ou par approche directe, augmente la prise de risque. Sur le web, chaque information communiquée peut-être retrouvée et réutilisée pour usurper une identité et les apparences sont parfois trompeuses.

Dans les entreprises, il n’est pas rare que les prises de décision soient centralisées et que la validation d’une opération bancaire repose sur un seul et même interlocuteur. Certains types de fraude, telles que la fraude au faux fournisseur ou la fraude au président profitent de cette centralisation et multiplient les tentatives pour convaincre un interlocuteur d’effectuer un virement bancaire au profit d’un fraudeur se faisant passer pour un interlocuteur reconnu dans l’entreprise. Pour réduire le risque et empêcher le fraudeur de parvenir à ses fins, il est nécessaire d’instaurer un double-contrôle de certaines opérations sensibles et une double vérification en particulier lors de la validation de virements bancaires.

Les fraudeurs spécialistes de l’usurpation d’identité numérique utilisent les réseaux sociaux pour connaître les détails de la vie de la personne dont ils volent l’identité, c’est ce qu’on appelle l’ingénierie sociale ou le social engineering. Ces détails leur permettent d’appuyer leur légitimité lors d’une tentative de fraude et permettent de réduire la méfiance de l’interlocuteur en agrémentant leurs propos d’informations sur leur « vraie vie ». Alerte vigilance, lors du partage d’informations sur les réseaux, ces informations pourraient être réutilisées à mauvais escient.

Pour usurper l’identité d’une personne, les fraudeurs mettent en place de nombreuses techniques variées. Celle du phishing est particulièrement répandue car très prolifique. À la réception de certains emails semblant « officiels », il peut être demandé de modifier des informations personnelles via un lien inséré dans l’email. La règle est simple : toujours se méfier des liens présents dans un email. Ces liens peuvent mener vers des pages pirates dont le design ressemble à s’y méprendre à celles que vous connaissez pour vous soutirer vos informations personnelles et professionnelles. En cas de doutes, la bonne pratique est de se rendre directement sur le site de l’organisme de référence sans utiliser le lien pour vérifier officiellement l’information.

Vigilance également, lorsqu’un email contient des pièces jointes ou des QR code, il peut y avoir une tentative de quishing ou de spoofing, ces QR code ou pièces jointes peuvent héberger un logiciel malveillant, qui pourrait nuire à votre ordinateur ou transmettre des informations à votre insu.

Un mot d’ordre : l’authenticité ! À la réception d’un email demandant une quelconque interaction, il est toujours nécessaire de bien vérifier l’identité de l’expéditeur, même s’il est connu de l’entreprise. Les différences entre l’adresse email véritable et la copie peuvent être discrètes : un .fr plutôt qu’un .com, l’utilisation du pluriel plutôt que du singulier, un point hasardeux entre deux lettres, …Une vérification, même rapide, avant tout partage d’informations est une des défenses contre l’usurpation d’identité.

La fraude et les cyberattaques ne se limitent pas aux emails ou aux intrusions dans les systèmes d’information. Un fraudeur peut également se faire passer pour un membre influent d’une équipe et l’illusion est souvent parfaite grâce à des technologiques avancées telles que le deepfake. Lors d’une tentative de fraude, un fraudeur peut exiger un virement en toute urgence, usant de menaces ou de techniques d’intimidation, pour obliger son interlocuteur à effectuer l’action attendue. Au cœur de cette technique, la dimension humaine et la vulnérabilité de certaines personnes face à une personne présumée influente dans l’entreprise ciblée. Dans ce cas, il est impératif de toujours vérifier l’authenticité de la demande et procéder à une double validation avant d’envisager toutes opérations bancaires.

Avec la digitalisation, les interactions se multiplient dans les entreprises, parfois même avec des interlocuteurs mal connus. En cas de demandes inhabituelles d’un interlocuteur pourtant habituel, il est recommandé de systématiquement procéder à quelques vérifications pour s’assurer de la légitimité de la demande. La confiance n’exclut pas le contrôle et on ne reprochera jamais à un collaborateur qui doute un excès de vigilance.

Il est ainsi nécessaire de pouvoir vérifier auprès de son interlocuteur via un moyen différent que celui utilisé (email, téléphone…) l’authenticité de la demande avant de répondre favorablement à sa demande.

Les techniques de cyberattaques et de fraudes sont nombreuses et évoluent très rapidement, en particulier dans un contexte de digitalisation accélérée. Une veille active permet de se sensibiliser au sujet, de se tenir au courant des dernières techniques et moyens technologiques utilisés, notamment le spear phishing, qui cible les individus ou des entreprises spécifiques avec des messages ciblées. En 2021, la cybersécurité est au cœur de l’actualité et les cyberattaques se multiplient jour après jour. Se sensibiliser, c’est aussi sensibiliser ses collaborateurs aux risques de fraude et à la vulnérabilité des entreprises mais également aux bonnes pratiques pour lutter contre la fraude.

Le mot de passe est une donnée sensible. À la fois importante mais redondante, l’habitude du mot de passe simple à retenir et simple à réutiliser est usuelle. Cependant, si le mot de passe est simple à retenir pour un interlocuteur, il est aussi simple à découvrir pour un cybercriminel qui a pour but unique d’avoir accès à vos informations. Tous les fraudeurs savent qu’un mot de passe considéré unique est pourtant souvent utilisé pour plusieurs sites différents. Définir un mot de passe unique, différent pour chaque site visité, est donc essentiel pour protéger ses identifiants de connexion, quel que soit le site web. Ceci est valable aussi bien à des fins professionnelles que personnelles.

En cas de cyberattaque, de fraude ou de tentative, il est nécessaire d’avertir les forces de l’ordre. Porter plainte permet de protéger son entreprise d’éventuelles récidives, d’avertir ses pairs et son écosystème mais également d’augmenter les chances de mettre hors d’état de nuire les cybercriminels.