Vers les menaces cyber de la couche 7, entre la chaise et le clavier

Certes, on en avait déjà les prémices depuis quelques mois, deux ans max, mais pas mal de signaux remontent de différentes sources, qui laissent penser qu’une page est en train de se tourner et que le chapitre qui va suivre ne sera pas forcément plus drôle que le précédent.

Résumons : avant, les menaces cyber, c’était du classique. Les malwares, les cochonneries qu’on téléchargeait sur son ordinateur en ayant cliqué sur le mauvais lien, les malwares embarqués dans les add-on des navigateurs ou les outils de type convertisseur PDF, les cryptolockers imbriqués dans une pièce jointe, les spywares, les troyan installés à l’insu de notre plein gré, etc., etc., etc.

Globalement, on aura connu la phase 1, la phase de réponse technologique. Les antivirus qui embarquent des modules comportementaux, les VPN blindés, les firewalls avec du filtrage de niveau 7, les WAF, le MFA, les outils de protection de messagerie couplés avec des bases mondiales mises à jour en quasi-temps réel, les EDR connectés à des SOC, etc., etc., etc. D’ailleurs, le plus étonnant, c’est qu’il aura bien fallu dix années avant d’atteindre le plateau actuel, soyons honnêtes, le niveau des AV d’il y a dix ans est à pleurer, et encore plus quand on sait que certaines entreprises sont « protégées » (si j’ose dire) avec cette génération d’outils. D’autant que rien de nouveau sous le soleil, sans MFA et consorts, on court à la catastrophe, j’en discutais récemment avec la belle Lurette.

La phase 2, qui est en train de se terminer gentiment, lentement, mais durera encore quelques années, c’est le Zero Trust. Incroyable le temps que l’on aura tous mis (moi inclus) à fermer les comptes VPN de nos fournisseurs. Si les historiens se penchent dans un siècle sur nos pratiques cyber de la fin des années 2010, ils nous regarderont comme des crétins absolus pour avoir laissé ouvertes autant de portes extérieures sur notre SI. Proprement stupéfiant le nombre d’attaques cyber, rien que dans les hôpitaux, qui auraient été évitées en ouvrant juste le canal VPN de télémaintenance à la demande (ce qui ne réclame absolument aucun investissement financier). Cette phase est en train de s’achever, j’en veux pour preuve deux détails quasi anecdotiques mais qui en disent long : les fournisseurs de smartphones implémentent des fonctions permettant de bloquer l’appel d’un correspondant inconnu du carnet d’adresses local et de le rediriger soit vers la messagerie, soit vers une fonction de présentation obligatoire avant transmission de l’appel. Et, plus récemment, les banques ont ENFIN déployé une fonction de vérification des RIB (le nom renseigné par celui qui crée le bénéficiaire dans son interface bancaire est comparé à celui du titulaire du compte, en 2025, on croit rêver).

La phase 3, qui démarre sur les chapeaux de roues et qui sera autrement plus tordue à sécuriser (je ne sais d’ailleurs même pas comment on va faire dans certains cas), impacte le dernier élément de la pile du modèle OSI (qui en compte 7) : l’utilisateur. Et ça pique déjà, jugez-en vous-même :

• Fraude à l’amende pour pédopornographie, même si cela commence à dater ;
• Fraude au faux retour produit. Amazon et d’autres grands du secteur dépensent de grosses sommes en la matière, et c’est très difficilement évitable en l’état ;
•  Arnaque sentimentale (on se souvient du faux Brad qui aura coûté plus de 800 kE à une internaute) ;
• Arnaque aux investissements bidon. Une des dernières en date est l’escroquerie aux cryptomonnaies de la société AccGn (plusieurs centaines d’épargnants dépouillés, des procédures en cours qui n’ont quasiment aucune chance d’aboutir), mais vous en trouvez aussi dans le monde de la joaillerie internationale, de l’immobilier – faux bail, fausse annonce de location, mais aussi faux montages financiers pour de prétendus investissements et là, ça chiffre ;
• Faux colis qui ne passe pas dans la boîte aux lettres (le « livreur » envoie un SMS demandant de choisir un nouveau créneau de livraison) ;
• Fausse amende de stationnement ;
• Fausse facture de télépéage à régler (bien entendu en urgence).

Mais là, on vient de franchir un gap, la phase 3 bis ou 4, c’est selon, avec des arnaques qui relèvent de la masterclass de la manipulation humaine. On pense évidemment à la première d’entre elles : le faux conseiller bancaire (que du bagou). Dernièrement, j’ai vu passer un truc bien sophistiqué et terriblement efficace : l’arnaque à l’arnaqueur. Vous recevez un SMS avec login/password et confirmation d’ouverture de compte sur un site dont vous n’avez jamais entendu parler. Par curiosité vous vous connectez et tombez sur un compte crypto avec pas mal d’argent dessus, vous vous dites qu’il y a un couillon qui a créé un compte sur une plateforme crypto en se trompant de numéro de téléphone, et vous voulez lui siphonner ses éconocroques en faisant un virement sur votre propre compte… sauf qu’il y a des frais et vous tombez dans le panneau. L’expérience montre qu’aucune plainte n’est jamais portée contre ce qui, au départ, est un vol perpétré par son auteur lui-même.

Pour certaines de ces arnaques, il n’existe même pas de contre-mesure connue et fiable à grande échelle. L’AMF produit une liste de sites bidon pour mettre en garde contre l’arnaque aux faux investissements, mais elle évolue moins vite que la réalité et, de vous à moi, qui la consulte et qui d’ailleurs en connaît l’existence ? La seule solution technique serait de mettre en place un contrôle a priori sur les créations de noms de domaine, mais alors là, bon courage.