Dimanche dernier, sur le coup des 15 heures, un nombre impressionnant d'internautes possédant une adresse e-mail dans le domaine « . fr » recevait un courrier de phishing semblant émaner des services informatiques du Crédit Lyonnais. Il fallait s'y attendre... après l'affaire de la Banque de France, on ne pouvait que redouter un accroissement de ce genre d'attaque visant le monde francophone. Pourtant, plus qu'une simple tentative d'escroquerie en ligne, l'affaire du Crédit Lyonnais montre à quel point les français sont mal préparés contre ce type de vol.

Commençons tout d'abord par le courrier d'incitation. Contrairement à son « précédent » signé Banque de France, la grammaire approximative, le style, la ponctuation, l'accentuation mal gérée laissaient deviner un « faux » relativement grossier. Mais les banquiers passent rarement pour des disciples de Malherbe, surtout pour ce qui concerne la rédaction de leurs contrats et de leurs notes de service... Ce qui se conçoit bien s'énonce avec lourdeur, et les mots pour le dire arrivent hexagonaux. Malgré cela, des correspondants de notre magazine nous ont avoué avoir « failli » plonger... ce fut probablement le cas pour des personnes moins au fait des questions de sécurité informatique.

En second lieu, sur la vingtaine de mails de phishing récupérés par la rédaction, aucun ne comportait d'URL de redirection aiguillant les victimes vers un site de vol de mot de passe en état de fonctionnement. Websense serait-elle la seule entreprise à être tombée sur la fameuse page html située au Venezuela ? En tous cas, le responsable de l'envoi en nombre agissant pour le compte des escrocs a commis deux belles bévues en « oubliant » d'une part d'intégrer ce détail dans, semble-t-il, la grande majorité des « courriers d'incitation », et, d'autre part, en mélangeant les liens utilisés pour l'attaque.

Enchaînons ensuite sur les petits problèmes que semble avoir rencontré l'équipe sécurité du Crédit Lyonnais. Les premiers cris d'alarmes ont été poussés le dimanche 14 août aux alentours de 15 heures. Il faudra attendre pratiquement deux jours pour que la « home page » du Crédit Lyonnais affiche un bulletin d'information. Comme quoi, les bonnes vieilles recettes sont toujours de mise : pour conduire à bien un bon fric-frac, le mieux est de le réaliser durant un week-end prolongé, alors que le personnel de sécurité est en train de taquiner l'ablette et le goujon. A l'heure où nous rédigeons ces lignes, et malgré de nombreux appels téléphoniques, nul service concerné n'a pu nous communiquer la moindre explication technique... si ce n'est un timide « Mais c'était le week end !... ».

Questions encore sur les méthodes préconisées par le Crédit Lyonnais. Lequel recommande : « Si vous avez reçu ce mail et que vous vous êtes identifié après avoir cliqué sur le lien qu'il contenait : changez immédiatement votre code personnel d'accès à votre service Internet et vérifiez régulièrement les opérations effectuées sur vos comptes. » Qui croire ? La page Web anonyme d'aujourd'hui ou le mail personnalisé d'avant-hier ? Il eût peut-être été plus simple de bloquer toute possibilité de transaction « on line » dès réception des premières alertes (ce verrouillage ne fut effectif que durant la journée de lundi), plutôt que de demander aux clients, a posteriori, de re-modifier leurs crédences. Précisons également que les personnes qui auraient été victimes de cette tentative de vol d'identité ont statistiquement moins de « chance » de venir consulter la page de garde de leur banque favorite que celle des salles Gaumont, histoire de vérifier la date de sortie du Guide du Routard Galactique. Et puis, que peut bien représenter la valeur d'une lettre « en ligne » demandant à des particuliers de changer un mot de passe ? Aucun mécanisme ne vient certifier l'authenticité de ladite page, laquelle n'est même pas accompagnée d'un certificat SSL. Jusqu'à présent, les clients du Crédit Lyonnais ayant signalé l'affaire n'ont reçu aucun courrier d'avertissement.

Question enfin sur l'origine de cette opération d'escroquerie. Si, aux dires de Websense, l'hébergement du site de phishing est situé au Venezuela, une grande majorité de courriers d'incitation semble avoir été émise par des postes zombies dépendant d'un botnet sous tld « .ru », donc russe. Mais ni l'hébergement, ni le médium de diffusion n'est une preuve d'origine ou de nationalité. La rédaction du texte laisse à penser que l'équipe dispose d'un faussaire francophone, mais ne maîtrisant pas assez bien la langue (« enforcer la sécurité », erreurs grossières de ponctuation dans les énumérations), lequel a utilisé un composeur html ne gérant pas correctement les signes diacritiques. Ce qui semble écarter la probabilité d'un « casse bien d'chez nous ». Mais lancer l'attaque une veille de pont du 15 août prouve également une connaissance certaine des habitudes culturelles de notre France, Fille Aînée de l'Eglise et des viaducs chômés. On doit aussi lire les mémoires d'Albert Spaggiari ( Le journal d'une truffe) de l'autre côté du mont Oural.

Enfin, bien que, dans cette affaire, les risques de pertes financières semblent de prime abord assez faibles, on ne peut s'empêcher de s'interroger sur l'efficacité des mesures mises en oeuvre

- Doit-on attendre une autre attaque d'envergure, rondement menée, pour que les mesures les plus élémentaires de sécurité communes soient adoptées par l'ensemble des organismes financiers français ?
- - Comment se fait-il que la cellule veille sécurité du Crédit Lyonnais, qui était très probablement active et en service lors de l'attaque, n'ait pas eu la liberté d'émettre un bulletin d'alerte dès les premières minutes du blitz ?
- Comment se fait-il qu' apparemment aucune procédure de « communication de crise » relative au phishing n'ai été prévue à l'avance, et ce compte tenu de l'augmentation extraordinaire de semblables attaques comptabilisées depuis ces 6 derniers mois ?
- La raison de ce mutisme est-elle liée à une éventuelle latence nécessaire à l'approbation de la part de la Direction de la Communication ? La chose parait impensable, pour d'évidentes raisons d'efficacité de ladite « cellule de crise »... du moins, il faut l'espérer. Si c'était hélas le cas, ce problème reposerait en terme clair la question de la liberté d'action du CSO dans l'organigramme hiérarchique des entreprises françaises.
- Faut-il une loi qui intime l'ordre aux banques de verrouiller immédiatement les transactions « en ligne » compromises en cas de doute ?
- Les clients potentiellement victimes seront-ils prévenus individuellement, et dans quel délai ?
- Comment se fait-il qu'une des banques les plus importantes de France puisse encore utiliser un mécanisme d'authentification aussi fruste qu'un échange login-password ? Sans pour autant exiger l'usage de token-ID ou de périphériques d'identification (biométrique ou clavier virtuel dont on connaît les limitations, coûteux lecteurs de carte à puce capable de « vérifier » la CP8 d'un client...), il serait déjà fortement souhaitable que soit généralisé l'usage de mots de passe à usage unique. Une technique certes faillible, mais qui rend caduque toute tentative de détournement massif de comptes.
- Lesdits mécanismes d'authentification « forte » sont-ils pour l'heure laissés au rencard pour de vulgaires considérations de R.O.I ? Si le « coût » du cybercrime en France est estimé inférieur au prix d'achat d'une bonne sécurité des transactions, c'est sans compter l'impact sur l'image de marque que provoque une attaque en phishing de ce genre. Un budget sécu, c'est également -c'est surtout- un investissement et un crédit que l'on apporte au poste « honorabilité ». Il est étrange qu'une telle évidence puisse encore échapper à certains grands patrons.
- Le Cert IST s'adressant essentiellement aux industriels, le Cert Renater aux gens de la recherche et des universités, et le Cert-A aux Administrations, ne devient-il pas nécessaire de voir apparaître un Cert « grand-public » destiné aux consommateurs internautes, comme cela se pratique notamment aux Etats-Unis et en Grande Bretagne ?

La suite au prochain pont de l'ascension.

. Web-profils.com, la place de marché du conseil et de l'ingénierie