Votre direction est-elle vulnérable à ce type d’attaque ultra ciblée ? Découvrez comment protéger les dirigeants.
Une attaque dévastatrice
Quand un gestionnaire de fonds spéculatifs a ouvert une invitation Zoom apparemment anodine, il était loin de s'imaginer le carnage à venir. Cette invitation était piégée avec un logiciel malveillant, ce qui a permis aux malfaiteurs de détourner son compte de messagerie.
À partir de là, ils ont pu rapidement autoriser des transferts d’argent au nom de Fagan pour de fausses factures envoyées au service ciblé. Au total, ils ont approuvé pour 8,7 millions de dollars de factures de cette manière. Cet incident a finalement causé la chute de Levitas Capital, faisant fuir l’un de ses plus gros clients.
Malheureusement, cibler des hauts dirigeants comme cela n’est pas rare. Pourquoi se contenter de petites cibles (des “petits poissons”) quand les « baleines » (les membes de direction), peuvent rapporter de tels bénéfices ?
Tout d’abord : qu’est-ce que le whaling ?
Pour faire simple, une attaque de whaling (whale = baleine en anglais) est une cyberattaque ciblée sur un membre haut placé de l’équipe dirigeante de l’entreprise. Elle peut prendre la forme de phishing/smishing/vishing, ou d’une compromission de messagerie d’entreprise (BEC). Le principal élément qui la distingue d’une attaque de spear-phishing (une attaque d’hameçonnage ciblant un individu de l’entreprise) ou d’une attaque de BEC dite classique réside dans la cible visée.
Pourquoi les “baleines” (les hauts dirigeants) sont-elles des cibles attractives ?
Il y a moins de hauts dirigeants que d’employés “classiques” à viser. Pourtant, trois avantages clés ressortent :
- Le manque de temps
Les dirigeants, y compris ceux du C-suite (groupe de cadres supérieurs au sein d'une entreprise), sont souvent pressés, ce qui les amène à cliquer sur un email de phishing, ouvrir une pièce jointe malveillante ou approuver une demande de transfert frauduleuse sans la vérifier correctement. Ils peuvent aussi désactiver ou contourner des contrôles de sécurité comme l’authentification multifacteur (MFA) pour gagner du temps. - Grande visibilité en ligne
Cela permet aux malfaiteurs de récolter des informations avec lesquelles ils peuvent élaborer des attaques d’ingénierie sociale convaincantes, comme des emails usurpant l’identité d’un responsable ou d’un assistant. - Accès à des informations sensibles et lucratives
Les dirigeants ont souvent les moyens d’accéder à des données financières, de propriété intellectuelle, et de valider ou initier des transferts d’argent importants.
À quoi ressemble une attaque typique ?
Comme une attaque de spear-phishing ou de BEC classique, le whaling nécessite une préparation minutieuse pour espérer être couronnée de succès. Cela signifie que les cyber escrocs vont probablement effectuer une reconnaissance détaillée de leur cible.
Il ne devrait pas manquer d’informations disponibles publiquement pour les aider, y compris : les comptes sur les réseaux sociaux, leur site d’entreprise, des interviews dans les médias, ou encore des vidéos de conférences.
Au-delà des éléments de base, ils voudront aussi connaître des informations sur les responsables clés et collègues, ou des informations d’entreprise qui pourraient servir de prétexte à une attaque d’ingénierie sociale, comme des activités de fusion/acquisition ou des événements d’entreprise. Il peut aussi être utile à l’escroc de comprendre les intérêts personnels de la cible, voire son style de communication, si l’objectif final est d’imiter la “baleine”.
Une fois ces informations réunies, le malfaiteur va généralement concevoir un email de spear-phishing ou une attaque BEC. Il sera très probablement usurpé pour donner l’apparence d’un message envoyé par une source de confiance et utilisera la tactique classique d’ingénierie sociale consistant à créer un sentiment d’urgence afin que le destinataire soit plus susceptible de précipiter sa prise de décision.
Quels sont les objectifs finaux ?
L’objectif peut parfois consister à tromper la victime pour qu’elle divulgue ses identifiants, ou qu’elle installe involontairement un logiciel espion ou un malware de vol d’informations. Ces identifiants pourraient être utilisés pour accéder à des secrets d’entreprise monétisables. Cela peut aussi viser à contourner le compte de messagerie pour lancer des attaques BEC contre des responsables en se faisant passer pour la “baleine” (la victime donc) afin de pousser un plus petit “poisson” à faire un virement important.
Le fraudeur peut aussi se faire passer pour le supérieur de la “baleine” afin de le tromper pour qu’il approuve un transfert de fonds.
Quand l’IA change les règles
Malheureusement, l’intelligence artificielle rend ces tâches encore plus faciles pour les attaquants. En utilisant des modèles de langage avancés (GenAI) ou des modèles open source, ils peuvent exploiter des outils d’IA pour collecter de grandes quantités de données sur leurs cibles afin d’assister la phase de reconnaissance.
Ensuite, ils peuvent utiliser cette même IA pour créer des emails ou des messages convaincants en français impeccable, voire aller jusqu’à imiter le style d’écriture de l’expéditeur.
L’IA peut aussi être utilisée pour des attaques de vishing (voix) très convaincantes, ou pour fabriquer des vidéos deepfake imitant des dirigeants de haut niveau, afin de persuader la cible de réaliser un transfert d’argent. Avec l’IA, les attaques de whaling augmentent en puissance et en efficacité à mesure que des capacités sophistiquées deviennent accessibles à davantage d’acteurs malveillants.
Un enjeu qui pèse lourd
Ce qui est en jeu est clair : une attaque BEC majeure peut entraîner la perte de millions de dollars de revenus. Et une violation de données sensibles peut conduire à des amendes réglementaires, des poursuites collectives et des perturbations opérationnelles.
Le dommage à la réputation peut être encore pire, comme Levitas Capital l’a appris à ses dépens. Le fonds a fini par bloquer la plupart des transactions approuvées. Mais cela n’a pas suffi à empêcher l’un de ses plus gros clients de partir, entraînant la chute du fonds.
Sur un plan plus personnel, les dirigeants ciblés sont souvent tenus responsables par leurs supérieurs après ce type d’incident.
Comment réduire le risque ?
Il existe plusieurs moyens par lesquels les équipes de sécurité peuvent aider à atténuer les risques d’attaques de spear-phishing et de BEC. Mais ces mesures ne fonctionnent pas toujours si un dirigeant pense que les règles ne s’appliquent pas à lui.
C’est pourquoi des exercices de formation spécifiques aux dirigeants, impliquant des simulations, sont particulièrement importants. Ils doivent être hautement personnalisés et tenir en leçons courtes et gérables en n’omettant pas d’intégrer les dernières tactiques des malfaiteurs, y compris deepfake audio/vidéo.
Ces formations doivent être soutenues par des contrôles et des processus de sécurité améliorés, comme un processus d’approbation strict pour les transferts de gros montants, qui peut exiger l’accord de deux personnes et/ou une vérification via un canal alternatif connu et fiable.
Des outils d’IA peuvent également aider les équipes de sécurité, par exemple à l’aide de solutions de sécurité des emails conçues pour détecter des modèles suspects de communication, d’expéditeurs et de contenu, ou des logiciels de détection de deepfake pour signaler en temps réel les appels potentiellement malveillants.
Une approche Zero Trust peut aussi apporter une résilience utile : en appliquant le principe du moindre privilège et un accès « just-in-time », elle minimise ce à quoi un dirigeant peut accéder et s’assure que les identifiants ne sont jamais totalement fiables par défaut.
Enfin, limiter le type d’informations corporate partagées publiquement peut aussi réduire l’exposition, car dans un monde où l’IA est omniprésente, les moyens de trouver et d’exploiter ces informations sont désormais accessibles à n’importe qui.
