Fraude sur les réseaux IP: la menace vient-elle de l’intérieur ?

Liens au fichier PDF

Si dans un monde hautement technologique l’accès à des informations stratégiques et/ou personnelles est de plus en plus sécurisé contre les intrusions provenant de l’extérieur, la situation est tout autre lorsque l’on aborde le délicat sujet de l’ingénierie sociale, soit la présence du facteur humain dans la chaîne de confidentialité, et ce, qu’elle soit envisagée sous l’angle de l’erreur ou de la malfaisance humaine....

Selon une étude publiée par le cabinet Deloitte Research, les deux tiers des grandes entreprises dans le monde ont débuté le déploiement des technologies de téléphonie sur IP (ToIP, VoIP) sur leurs postes de travail. Ce déploiement, à un rythme accéléré (croissance de 50 % sur deux ans), nécessite l’implantation de mesures préventives.

Selon de récentes statistiques, 80 % des fraudes commises par voie de la technologie IP seraient le fait d’employés internes à la compagnie. Pour différentes raisons, des employés abusent de leur accès ou de la confiance qui leur est imputée pour se livrer à des manipulations malicieuses, afin de contourner les moyens technologiques mis en place pour protéger l’organisation contre la fraude et le vol des informations sensibles. Parmi les méthodes alliant les habilités d’un fraudeur et la manipulation d’un réseau IP, on retrouve :
1. le wacking : intrusion dans un réseau sans fil permettant au fraudeur de capter des données non encryptées et de les transmettre à l’extérieur de l’organisation;
2. le spoofing ou usurpation d’adresse : le fraudeur utilise une identité électronique, comme une adresse IP, à des fins de personnification pour obtenir des informations privilégiés ou des accès réservés;
3. le pharming : le fraudeur crée un faux site Internet ou de faux forums en ligne, pour recueillir des informations privilégiées au sujet de ses victimes.

Renforcer les liens entre processus d’affaires et technologies
Selon Véronique Olivier, co-présidente de la firme Waveroad, spécialisée dans le domaine, «évaluer les vulnérabilités que peuvent générer les employés est un travail plus subjectif que d’évaluer les vulnérabilités physiques ou virtuelles. « En effet, afin de solidifier et de sécuriser au maximum les risques de fraude IP interne, il convient d’analyser toutes les étapes, l’intégralité des méthodes et pratiques d’une entreprise, et ce, du recrutement des candidats à la mise en place de systèmes technologiques ».

Ainsi, des méthodes de sélection des candidats doivent être mises en place pour identifier les candidats à risque. « Par exemple, une personne qui a besoin d’argent pourrait accepter de recevoir une somme d’un concurrent désirant mettre la main sur des documents : liste clients, états financiers, etc. De la même manière, un candidat qui arrive de chez un concurrent peut aussi présenter un facteur de risque : est-il envoyé par ce dernier pour espionner ? Tout cela mérite réflexion », explique Mme Olivier.

Au chapitre des systèmes de surveillance, plusieurs solutions visant à tracer et à identifier toute communication extérieure existent, les plus connues étant le « text-mining » et le « data-mining », qui repèrent les mots clés interdits contenus dans les communications transitant via le serveur corporatif et qui les bloque avant qu’elles ne soient envoyées.

Des raisons multiples pour des crimes trop nombreux
Les motifs pouvant expliquer qu’un employé décide de se livrer à une fraude IP sont nombreux. Ils vont de la vengeance personnelle pour des raisons économiques et/ou statutaires à la commande passée par un concurrent, en passant par le sabotage lié à des croyances politiques, sociales ou religieuses.

Prévenir les dommages et les pertes
Si personne n’ignore l’ordre de grandeur des pertes déclarées relatives aux dégâts résultant des intrusions sur les réseaux IP et dans les systèmes d’informations des entreprises, peu de professionnels savent que, selon le FIINA (Forum for International Irregular Network Access), un regroupement d’opérateurs et d’équipementiers, a fait état de pertes déclarées en 2006 à l’échelle mondiale de l’ordre de 60 milliards $US.

En dehors des réseaux d’entreprise, les questions de sécurité pourraient devenir encore plus critiques pour les opérateurs combinant la voix sur IP et un réseau WiFi. La faible sécurité des protocoles utilisé avec le WiFi comme WEP et SIP, que certains logiciels disponibles sur Internet permettraient l’infiltration et exposerait ainsi l’opérateur à la fraude opérer par l’utilisateur qui pirate l’accès à un réseau pour téléphoner gratuitement ou offrir ce service à d’autres. Et comme le précise Véronique Olivier, les pertes encourues peuvent se révéler importantes : « Il peut se passer une longue période de temps avant qu’une grande corporation identifie une situation de ce genre. Il faut qu’un contrôle puisse susciter une problématique, puis une identification de l’utilisateur, suivie d’une action visant à y mettre un terme. C’est assez pour causer de réels problèmes ».