PAR THIBAUD GUISAN

«Ça devient un gros sujet de discussion.» Ce patron a des sueurs froides. Comme bien d’autres collègues, il assiste à une augmentation des attaques informatiques à l’encontre de son entreprise.
Le phénomène prend une ampleur préoccupante. Mardi encore, la police cantonale lançait une alerte au cheval de Troie. De son côté, la Chambre de commerce et d’industrie Fribourg organisait la semaine dernière une conférence sur la criminalité informatique et financière touchant les PME. «Une prise de conscience doit avoir lieu», martelait le carton d’invitation. Une autre preuve de l’inquiétude qui grandit. Le point.

Les plaintes
Depuis l’été dernier, la police cantonale a enregistré 22 plaintes d’entreprises fribourgeoises. En cause, des escroqueries – ou tentatives – via internet. «Je n’exclus pas que les cas soient plus nombreux, expose Sophie Bugnard Castella, commissaire aux enquêtes spéciales de la police cantonale. Nous ne sommes au courant que des cas qui ont débouché sur le dépôt d’une plainte.» La traque des escrocs reste fastidieuse. Ils sont principalement basés en Europe de l’Est et en Asie, mais aussi en Afrique et en Israël.

Les procédés
Les attaques ont un point commun: elles arrivent par e-mail et reposent sur une usurpation d’identité. Cas concret: le comptable d’une entreprise reçoit un courriel de son prétendu directeur. Il est sommé de procéder à un virement dans l’urgence et de manière très confidentielle. La demande peut aussi provenir d’un fournisseur connu de l’entreprise, dont on a piraté ou imité l’adresse e-mail. Ou encore d’un avocat. «Plusieurs transactions ont été effectuées, rapporte Sophie Bugnard Castella. Les montants versés vont de quelques centaines de francs à des millions.» Les PME sont des proies prisées: «Elles sont peut-être moins sensibilisées à ces pratiques frauduleuses que les multinationales. Dans une petite structure, une seule personne peut souvent effectuer tous les paiements.»
Dans le jargon policier, on parle d’ingénierie sociale. Parce que les malfrats gagnent la confiance d’une personne pour obtenir un versement. Le tout en exerçant sur elle une grosse pression psychologique. Avant d’attaquer, les escrocs se renseignent: sur l’entreprise, son secteur d’activité, les postes clés de l’organigramme, les modèles utilisés pour les adresses e-mail. Parfois, la demande de virement arrive directement par appel téléphonique. Les criminels font parler leurs qualités d’acteurs pour se faire passer pour quelqu’un d’autre.

Autres menaces
Les intrusions dans les systèmes informatiques des PME sont un autre danger. Avec le risque de vol de données. «Nous n’avons pas eu de cas déclarés dans le canton à ce jour, mais on peut craindre qu’ils se produisent», note Sophie Bugnard Castella.
Directeur de Swiss Infra View à Marly, Nicolas Landry souligne un phénomène inquiétant: le rançonnage. «Dans le monde, il rapporte 100 milliards de dollars par an», explique l’habitant de Charmey, dont la société, active en Suisse et en France, est spécialisée dans la sécurité informatique. «Les pirates pénètrent les systèmes informatiques des entreprises et cryp-
tent des données sensibles (listes de fournisseurs, comptabilité, etc.). Pour récupérer ces informations, il faut payer.» Nicolas Landry a connu un cas, il y a quelques mois, en France. «Des pirates avaient crypté une partie du processus de production d’une entreprise. Ils exigeaient 350000 euros pour libérer les fichiers. Près de 400 employés se retrouvaient au chômage technique. Le chef d’entreprise n’a pas eu d’autre choix que de payer. Et il a eu de la chance: il avait d’abord les liquidités nécessaires, ensuite les pirates ont débloqué les données. Ce n’était pas garanti.»

Conseils
Concernant les factures suspectes arrivant par e-mail ou téléphone, un mot d’ordre: vérifier la pertinence de la transaction, en allant voir le donneur d’ordre (quand il s’agit d’un supérieur à l’interne) ou en (re)contactant par téléphone l’interlocuteur (fournisseur, avocat) qui prétend devoir recevoir le versement. Et surtout ne donner aucune information confidentielle par e-mail ou téléphone (codes bancaires, par exemple). «De même, un fournisseur ne communique pas son nouveau numéro de compte bancaire par e-mail, ajoute Sophie Bugnard Castella. Au niveau de l’organisation de l’entreprise, il faudrait aussi éviter qu’une seule personne puisse virer de gros montants. A deux, on se rend mieux compte de la tentative d’escroquerie.»
Et pour prévenir les attaques de réseaux? Faire évaluer son dispositif par une société spécialisée peut être précieux. Cette dernière procède à des tests d’intrusion – simulant l’attaque d’un hacker – puis à un audit pour connaître avec précision les failles de sécurité. Le cas échéant, un plan de correction est mis en place. La procédure a son coût: un test d’intrusion revient à 2000-3000 fr., un audit à environ 10000 fr. «Mais la pérennité de l’entreprise peut en dépendre, relativise Nicolas Landry. La situation de certaines PME est préoccupante. Elles vivent avec une épée de Damoclès au-dessus de la tête. Malgré des antivirus et des pare-feux (n.d.l.r.: contrôlant l’accès aux réseaux), certains systèmes sont si mal protégés que c’est comme si vous partiez quinze jours en vacances avec les clés sur la porte.»

A éviter encore
Utiliser son adresse professionnelle à des fins privées est à proscrire. Par exemple pour faire des achats sur internet. «Ça fait courir des risques inutiles à l’entreprise, parce que l’e-mail peut être piraté par ce biais», prévient Nicolas Landry. Pour éviter les risques d’usurpation, une adresse e-mail peut être authentifiée et signée grâce à un certificat de cryptage: l’abonnement annuel revient à un montant compris entre 60 et 300 francs, selon le niveau de sécurité recherché.
Il faut aussi se méfier des wifi. «Ils peuvent constituer des portes d’entrée très intéressantes pour les pirates, note Nicolas Landry. Les wifi d’hôtels sont souvent attaqués.» Dernier conseil du spécialiste: il est préférable de ne pas utiliser de comptes e-mail gmail, yahoo, ainsi que des outils comme dropbox ou google drive à des fins professionnelles.

--------------------

Plus d’un million envolé
La perte est colossale. Une entreprise du Sud fribourgeois, d’une centaine d’employés, vient de perdre plus d’un million de francs. Un employé qui travaille au service comptabilité de cette société a eu le malheur d’ouvrir la pièce jointe d’un e-mail contenant un logiciel espion de type cheval de Troie. Le lendemain, lorsque le collaborateur s’est connecté aux données e-banking de son employeur, des escrocs ont pu accéder aux comptes de la société et effectuer plusieurs versements, en Chine et en Pologne. Une enquête est en cours, après le dépôt d’une plainte. Elle a livré ses premiers éléments: en fin de semaine dernière, une entreprise suisse, connue, s’est fait pirater son serveur informatique. Depuis ce serveur, des courriels ont été envoyés, avec la pièce jointe malveillante. «L’e-mail, écrit en anglais, disait de prendre connaissance du paiement contenu dans l’attachement», précise Frédéric Marchon, adjoint à la communication et prévention de la police cantonale, qui a lancé mardi un appel à la prudence. Et conseille d’aviser immédiatement sa banque si une telle pièce jointe a été ouverte pour bloquer une éventuelle transaction. TG