Les technologies IP dans les télécommunications: intéressant pour les fraudeurs!

VERONIQUE OLIVIER

Liens au fichier PDF

Au sein de votre organisation, la confidentialité, l’intégrité et la disponibilité de vos réseaux IP sont protégées... en principe. Mais avec l’utilisation croissante des technologies IP et l’évolution de celles-ci, un niveau de connaissances sans précédent est dorénavant requis pour prévenir les vulnérabilités sécuritaires. Ainsi vous devez développer de nouvelles stratégies de protection de vos réseaux et, par le fait même, des informations confidentielles de votre entreprise. Effectuez-vous des transactions de données via le protocole Internet? Si oui, connaissez-vous les risques auxquelles sont sujettes vos données? Avezvous mis en place une initiative de prévention de la fraude et de modélisation des vulnérabilités sécuritaires? Si non, votre entreprise pourrait perdre gros!

Une évolution technologique avantageuse pour les affaires
Bien sûr, la pression de la concurrence, l’internationalisation des affaires et la vitesse à laquelle le tout s’effectue font en sorte qu’une entreprise peut difficilement se passer des technologies de télécommunications IP. Y a-t-il encore des sceptiques?

L’utilisation du protocole Internet dans nos communications est une opportunité d’améliorer les interactions entre clients, fournisseurs, partenaires et employés. Il accélère la mise en marché de vos produits et services tout en vous donnant la possibilité d’en rehausser la qualité. Il permet la création de nouveaux modèles d’affaires et d’alliances stratégiques. C’est un moyen inédit de réduire vos coûts, d’améliorer vos services et d’augmenter vos revenus.

Nous sommes devant un phénomène qui suscite un changement profond dans les communications d’affaires et nous transporte vers des moyens de télécommunications à transparence sémantique et temporelle.

Quelles sont ces évolutions (quelques exemples)?
- la naissance des technologies telles que la VoIP, le WiFi, WiMAX, 3 & 4G, les communications Bluetooth, les puces RFID;
- la convergence des réseaux de communications voix et données;
- l’utilisation de réseaux virtuels versus physiques;
- les réseaux dédiés qui évoluent vers la commutation par paquets et l’accès haute vitesse.
Et d’ici la prochaine décennie, nous aurons droit à ces changements novateurs:
- l’impact des SNA (Social Network Analysis ou ARS, analyse de réseau social) qui permettront l’utilisation des informations et connaissances de plusieurs personnes et de leurs réseaux;
- grâce aux applications et technologies reliées à la géolocalisation, nous serons en mesure de localiser les usagers mobiles via le réseau cellulaire et de leur offrir un soutien d’affaires;
- l’architecture EDA (Event Driven Architecture ou architecture évoluant selon les évènements) nous aidera dans la détection de la fraude et dans les unités opérationnelles de finances, les centres de contacts et autres;
- la virtualisation supportera les entreprises en temps réel et leurs infrastructures; la gestion des infrastructures devient alors un enjeu central;
- le « Tout sur IP » (All IP Enterprise) où un seul réseau convergent supportera les applications, la voix, les données, la vidéoconférence, le contrôle de la sécurité physique et la gestion d’énergie;
- la « Voix sur tout » (VoE-Voice over Everything) qui incorporera tout ce qui est documents activés par la voix aux messages vocaux et aux courriels;
- les innovations liées aux technologies de connectivité ayant comme dénominateur commun le protocole IP.

L’autre face... pas si caché
Les technologies évoluent... et les défis de sécurisation aussi. Les risques sont d’ordre organisationnel, humain et technologique. Comment nomme-t-on, dans le jargon, le fait de prendre avantage des vulnérabilités sécuritaires de votre réseau de télécommunications IP? à la suite d’une cause célèbre où des criminels ont fraudé un réseau corporatif américain avec comme résultats plusieurs milliers de dollars de pertes on trouva le terme FoIP (Fraud over Internet Protocol).

Pour effectuer une fraude sur vos réseaux IP, les criminels utiliseront deux approches: la technologie et le facteur humain. En effet, la nature humaine est la plus importante cible du fraudeur... et en tenant compte de la conjoncture actuelle et de l’évolution des technologies IP la tactique s’avère très efficace!

Certains optent pour la terminologie « ingénierie sociale » qui définit un des moyens utilisés par les fraudeurs. L’institut SANS en fait la définition suivante:

« C’est l’art d’utiliser la psychologie ou le comportement humain pour créer des failles ou contrecarrer la sécurité sans même que le participant ne soit conscient d’avoir été manipulé. »

En clair, l’ignorance de la « victime » sera mise à profit ainsi que la tendance humaine à vouloir aider son prochain et être apprécié. Par exemple, prenons l’agent d’un centre de contact qui reçoit un appel d’une personne se faisant passer pour un gestionnaire senior, celui-ci explique qu’il a égaré son mot de passe et a besoin de le réinitialiser... ce que s’empresse de faire l’agent, tout en donnant le nouveau mot de passe à son interlocuteur. Le fraudeur aura utilisé un personnage fictif en position d’autorité et l’agent n’aura pas mis en question celui-ci. Le fraudeur aura maintenant accès à différentes informations confidentielles de l’entreprise.

Il est intéressant de noter que selon le FBI, 80 % de la fraude est commise par des individus ayant une autorisation d’accès. La plus grande menace provient donc de l’intérieur de votre entreprise.

Enfin, les fraudeurs de la prochaine génération technologique exploiteront les infrastructures IP basées par paquets et multicouches, les technologies mobiles, les stations rogue et d’accès rogue par antennes sans-fil, les applications et fonctionnalités des réseaux convergents... sans oublier évidemment les paramètres facturables comme le volume, la durée et les APN (Access Point Name). Nous n’aurons aucun répit car le phénomène ne fait que s’aggraver, selon la CFCA, la fraude utilisant les moyens de télécommunications a augmenté de 52 % entre 2003 et 2005!

Les stratégies utilisées par les criminels sont nombreuses et progressent rapidement, en voici quelques-unes:
les entreprises fournisseurs de services de télécommunications subissent principalement ces types de fraude:
- la vente d’appels;
- « line surfing », « ghosting », « slamming »,
« cramming », « roaming »;
- le piratage du PBX;
- le prépayé;
- de faux abonnements ou de fausses activations;
de façon plus générale, les entreprises peuvent subir ces types de fraudes:
- le déni de service;
- le vol de bande passante;
- la personnification d’adresse IP (spoofing);
- le clonage de carte SIM;
- le vol d’identité;
- l’interception d’informations;
- la revente de contenu (musique, vidéo, etc.);

Les objectifs du criminel peuvent être nombreux. Il voudra saboter vos services, bloquer des accès, provoquer un arrêt des opérations, voler des secrets commerciaux ou industriels, nuire à votre image corporative ou encore contrôler des systèmes. Un gros butin en perspective pour le fraudeur et des retombées chocs pour l’entreprise qui en est la victime.

Des conséquences importantes
Les impacts peuvent être substantiels et les coûts potentiels pour une entreprise victime de fraude, résultant de bris de confidentialité d’information, peut se traduire par une baisse des actions en bourse, des dommages à l’image corporative, des frais de dédommagement pour les clients, des frais légaux, des frais de communication à la population, la perte de clients ou de part de marché.

Nous pouvons facilement imaginer les pertes économiques astronomiques que peuvent engendrer la fraude pour une entreprise financière internationale qui perdrait des dossiers de crédit ou une entreprise pharmaceutique se faisant voler ses secrets de production! Récemment, nous avons appris que le gouvernement britannique avait « perdu » des fichiers informatiques contenant des informations personnelles sur plus de 25 millions de citoyens, de quoi donner au premier ministre, Gordon Brown, des sueurs froides!

Une obligation de se protéger
De plus en plus d’entreprises doivent se conformer à des normes et une législation visant à protéger les informations sensibles, les obligeant à faire un exercice de vérification et à implanter des solutions technologiques et d’affaires. Selon son domaine d’activités, une entreprise devra adopter les normes Sarbannes-Oxley, l’Accord de Bâle, les normes ISO 27000, etc. Chaque pays, état et province possède aussi ses propres variantes et règles.

De plus, au Québec, nous avons une législation (LPRPDé) relative à la protection de la vie privée obligeant les entreprises à mettre en place un dispositif faisant en sorte que les renseignements personnels des clients soient conservés en toute sécurité. Par ailleurs l’instrument 52-109 de l’ACVM prévoit le contrôle et la protection des informations financières.

D’après le ministère de la Justice fédérale canadien, le vol d’identité coûterait 2 millions de dollars par année aux entreprises et aux particuliers. Un projet de loi, déposé à Ottawa en 2007, vise à combler le vide juridique existant et propose que la collecte et la vente illégales de renseignements personnels soient considérées comme des crimes. Espérons donc que cette loi soit appliquée... mais n’attendons pas avant de prendre en main la sécurité de nos informations sensibles.

Aux armes!
Il est important de comprendre les actions que nous pouvons poser afin de protéger nos informations critiques et de prévenir la fraude. Pour ce faire, il faudra utiliser les capacités maximales de vos systèmes et l’intelligence interne, tout comme les connaissances externes.

Plusieurs outils et solutions sont disponibles de manière à anticiper et prévenir la fraude. Vous devez bâtir votre connaissance des méthodes et comportements utilisés par les fraudeurs : c’est un point important de votre stratégie de défense. Mais il y a aussi les menaces ou comportements à risque que vous ne connaissez pas, ce sont les risques inconnus. Votre initiative anti-fraude devra être échafaudée en accord avec ce concept. évidemment, elle devra être élaborée en fonction de chaque service de votre entreprise et planifiée sur quatre niveaux: les procédures organisationnelles et d’affaires, les logiciels et processus, les équipements et, finalement, le facteur humain! Vous pourrez utiliser entre autres les stratégies et outils suivants:

- les méthodes de limitation du risque (formation, vérification, investigation, pratique de recrutement, etc.);
- l’implantation d’un système de gestion de la fraude (surveillance et analyse du trafic);
- le contrôle des accès;
- des outils d’encryption et authentification;
- des outils de modélisation de données et d’extraction (data mining);
- des interfaces à réseaux intelligents et des systèmes de notification (SS7).

Conclusion
Nous avons vu que les technologies IP actuelles et futures nécessitent une attention particulière de par ses aspects novateurs. Elles apportent leurs bénéfices mais aussi leurs risques et il est impératif d’élaborer et de mettre en place des solutions et des processus appropriés. La gestion du risque devient alors un enjeu majeur pour les entreprises... un incontournable pour protéger vos informations sensibles.