Les fraudeurs ciblent les dirigeants d'entreprises

Un article publié par Siliconvalley.com fait état d'une nouvelle approche déployée par les pirates informatiques et les voleurs d'identité pour se procurer des informations personnelles à forte valeur ajoutée. En effet, une épidémie de courriels adressés à de hauts dirigeants d'entreprises américaines joue sur la peur qu'ont ces derniers de se voir intenter un procès pour les convaincre de télécharger un fichier contenant un programme malicieux (malware en bon français). Le courrier électronique qu'ont reçu des milliers de dirigeants semble en effet provenir de la Cour du district de San Diego (qui affiche d'ailleurs un message de mise en garde sur son site), et les invite à se présenter devant cette dernière pour témoigner dans une plainte civile. Chaque courriel contient le nom, le numéro de téléphone et la raison sociale de l'entreprise du destinataire, ce qui renforce considérablement la force de persuasion du stratagème, puisque l'émetteur semble connaître personnellement la victime.

Le document légal expliquant la cause en attachement au courriel contient en fait un programme qui une fois téléchargé enregistre les mots de passe des utilisateurs et permet aux pirates de prendre le contrôle de la machine infectée. Seulement 40% des logiciels anti-virus seraient capables de détecter ce programme. Plusieurs milliers de victimes auraient été recensées.

Cette démarche est intéressante à plusieurs titres:

• Tout d'abord, les fraudeurs ciblent leurs victimes de manière beaucoup plus sélective en consacrant plus de temps et d'efforts à des personnes dont les machines donnent accès à de plus grandes quantité d'informations personnelles, à des comptes bancaires à priori mieux remplis et à des systèmes informatiques plus sensibles;
• Par ailleurs, le stratagème employé pour convaincre les victimes d'ouvrir un document infecté ne repose pas sur l'appât du gain, comme dans les fraudes classiques, mais sur la crainte d'être pris en défaut de conformité, ce qui est beaucoup plus problématique dans un contexte où l'on veut promouvoir une culture de la sécurité;
• Enfin, il semble que les logiciels malicieux utilisés, conçus sur mesure et diffusés de manière restreinte, soient beaucoup plus difficile à détecter et éradiquer que les virus informatiques à forte propagation.

On peut bien épiloguer sur la baisse des prix des numéros de cartes de crédit volées, qui se braderaient sur Internet en raison de la forte compétition sur les marchés illicites, mais il semble que les fraudeurs disposent encore de ressources insoupçonnées pour tirer profit de la crédulité de leurs victimes, quel que soit le statut social de ces dernières.