Speaker #0Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast où la cybersécurité ne rime pas avec somnolence. Aujourd'hui, je te parle d'un truc très simple et très efficace quand on veut escroquer une boîte. Et je te parle du faux changement de compte en banque. Une attaque qui sent bon le social engineering et qui peut coûter très cher si on ne vérifie pas les bases. Alors installe-toi confortablement. On part sur une histoire 100% vraie qui est arrivée à un de mes clients, sauf les prénoms, évidemment, sinon je suis mort. D'ailleurs, j'ai repris les classiques Alice, Bob et Oscar comme en crypto. Alice de RH pense parler avec Bob, l'employé, mais en réalité, elle discute avec Oscar, le pirate. Ouais, c'est du Man in the Middle version RH. Tu connais peut-être cette phrase de Robert Mueller, l'ex-directeur du FBI. Il n'y a que deux types d'organisations. Celles qui ont été piratées et celles qui le seront. Moi je vais un peu plus loin. Il y a aussi celles qui se feront pirater plusieurs fois et celles qui ont été piratées mais qui ne le savent pas. Car oui, c'est juste une question de temps. On se fera tout savoir un jour ou l'autre, comme quand tu fais de la moto ou du vélo, tu tombes, au moins une fois, avec des séquelles plus ou moins visibles. Imagine, on est le 18 du mois. Alice, RH, reçoit un mail de Bob, l'un de ses employés. L'objet du mail, changement de mon compte en banque. Le message est poli, clair, dans sa langue. Bob veut savoir à partir de quand son salaire arrivera sur son nouveau compte KeyTradeBank en Belgique. Tout a l'air normal, sauf que le nom et le prénom sont bons, mais l'adresse mail, c'est une gmail bien pourrie. Et pourtant, personne ne tiquera. Pourquoi ça fonctionne ? Parce que l'attaquant a fait du bon OSINT, le fameux open source intelligence. Bob est un cadre bien payé, merci LinkedIn. Alice gère la paie, merci encore LinkedIn. Les deux ont leur boîte bien exposée, jackpot. Oscar, notre attaquant, joue la carte de la cordialité pressante. Et Alice, elle suit. Elle transmet au secrétariat social. Le compte bancaire est mis à jour et personne ne vérifie. Parce que tout ça, ça ressemble à une simple demande interne. Quelques jours passent, Alice écrit à Bob, toujours le faux, ton salaire de ce mois sera payé sur ton nouveau compte Keytrade le 26. Le faux Bob répond qu'il ne veut pas passer par Zoomit, le système bancaire avec MFA, et qu'il veut recevoir sa fiche de paye sur papier. Spoiler ? Évidemment qu'il ne veut pas de Zoomit, il n'a pas accès au compte. Et il termine par, merci Alice, tiens-moi au courant dès que c'est fait. Sauf que là, boum ! Le compliance officer de Keytrade envoie un mail à RH. Le compte Keytrade utilisé ne correspond pas à Bob. C'est celui d'un autre client. On suspecte un détournement d'argent. On a bloqué le compte. On soupçonne une mule bancaire. Oui, comme pour les trafics de drogue en tout genre. Sauf qu'ici, c'est de l'argent. Alice est en panique. Elle écrit au vrai Bob via son adresse interne. Bob, tu nous avais bien demandé de changer ton compte, non ? Le vrai Bob ? Il tombe des nues. Et son salaire, il le recevra, oui, mais avec quelques jours de retard. Et tout ça pour quoi ? Un email, un peu de contexte et un bon acteur en face. Et moi, tu sais ce que j'en fais de cette histoire ? J'en ai fait un outil de sensibilisation pour ce client-là et pour les RH. Et aussi, j'ai extrapolé à toutes les personnes qui touchaient à de l'argent, qui manipulaient de l'argent. Donc, raconté tel quel, je l'ai fait en session. face aux bonnes personnes, parce que quand ça t'arrive à toi, tu retiens beaucoup plus vite. Quelques leçons à retenir. LinkedIn, c'est une arme à double tranchant. Tu postes tout sur ton rôle, ton service, ton équipe. Bravo, tu viens d'aider un attaquant à cibler ton entreprise. Je ne te dis pas de ne plus utiliser LinkedIn, mais de synchroniser ta com avec la sensibilisation. Deuxième point, changer un compte en banque, ça devrait être une procédure verrouillée. Double canal, signature, MFA, appel de confirmation. Bref, on ne valide pas un compte sur simple email. 3. Une adresse mail bizarre ? Attention, red flag. Une gmail ? On vérifie. Pas d'adresse pro ? On doute. Une langue inhabituelle ? On s'arrête. 4. Le social engineering, c'est de l'art. Et ce n'est pas réservé aux gros mails d'hameçonnage. Parfois, juste une demande sympa bien placée, et l'humain dit oui. 5. L'égo c'est l'ennemi. Voir le livre de Ryan Holiday. combien de fois je n'ai pas entendu chez mes clients « Oh, mais moi, ça ne m'arrivera jamais. Oh, mais moi, je ne me fais pas avoir. Je ne clique plus sur rien. » Oui, sauf que là, t'as cliqué sur rien, effectivement, mais tu as quand même modifié ton comportement et modifié un champ sensible. Et tu l'as fait, et tu t'es fait avoir, en fait, autrement. Et c'est là qu'on touche à un point essentiel. Le vrai firewall, c'est nous. Pas celui que tu configures en DMZ, pas celui de ton antivirus, non. C'est toi, moi, RH, finance, paie, achat, procurement, que sais-je. Nous sommes le dernier rempart. Et comme les super-héros Marvel, on a tous notre faille personnelle. Superman, il n'aime pas la kryptonite. Batman, il a peur des chauves-souris. Tu vois, je ne vais pas tous les faire. Nous, on a la pression, la gentillesse, la routine, la fatigue. Et parfois, ça suffit pour ouvrir une porte, sans même s'en rendre compte. Donc ce genre d'attaque ne cible pas ton antivirus. Elle cible ta structure de décision, tes réflexes collectifs, et surtout, l'absence de vérification. C'est là qu'intervient le fameux process JML dont je t'ai déjà parlé, le Joiner Mover Leaver. Et ici, on a en fait un faux mover qui a réussi à détourner un salaire complet, alors qu'un simple appel aurait suffi. Promis, je te fais un podcast bientôt sur le JML. Tu bosses en RH, en paie, en finance, partage cet épisode à ton collègue préféré, ou discute-en à la machine à café, moi ça me va aussi. Et si tu bosses ailleurs, tu sais ce qu'il te reste à faire. D'ailleurs, n'oublie pas de liker, mettre 5 étoiles sur Spotify ou Apple, de partager et de commenter, et crois-moi, j'en ai d'autres. Merci d'avoir écouté Compliance Without Coma, le podcast où la cybersécurité, c'est concret, vivant et sans somnifères.
