Grâce à sa loi anti-pourriel, le Canada démonte un réseau international

Depuis deux ans, il a été beaucoup question de la dimension communications électroniques de la Loi Canadienne anti-pourriel, la Loi C28. Il a été peu question de l’article 8 de la Loi qui réglemente l’installation de logiciels et vise à s’attaquer aux nombreux logiciels malveillants qui permettent à des personnes mal intentionnées de prendre le contrôle de nos ordinateurs pour pirater nos informations personnelles et financières ou pour s’en servir de relais pour leurs activités illégales.

Pourtant c’est grâce à cet article de la Loi C28 que le CRTC a pu diriger avec succès une opération de police internationale qui a pu mettre hors d’état de nuire le serveur de contrôle du virus Win32/Dorkbot qui controlait depuis Toronto l’un de ces principaux réseaux.

Sur la base des informations fournies par les corps policiers, le CRTC a pu demander à un juge de l’Ontario un mandat de perquisition en vertu de la Loi Canadienne anti-pourriel. Une fois le mandat obtenu, les inspecteurs du CRTC appuyés par la GRC ont pu s’emparer du serveur et des ordinateurs qui l’accompagnaient et le mettre ainsi hors d’état de nuire tout en récupérant des données qui permettront de remonter la filière et identifier les coupables.

Pendant longtemps, en l’absence de législation spécifique, le Canada était un paradis pour ce type d’activités malveillantes, c’est ce qui explique probablement pourquoi le réseau international avait basé son centre de contrôle à Toronto.

Cette opération traitée comme un simple fait divers par la plupart de nos médias est pourtant majeure pour plusieurs raisons :

  1. Elle démontre que le Canada n’est plus un havre pour les pirates du reste du monde.
  2. Le réseau démantelé était l’un des plus importants et des plus nuisibles dans le monde. Win32/Dorkbot a pu infecter des millions d’ordinateurs personnels dans 190 pays qui se retrouvaient utilisés à l’insu de leurs propriétaires pour lancer d’importantes attaques informatiques. C’est d’ailleurs ce réseau qui avait permis en juin dernier de mettre hors service les serveurs de courriel du gouvernement canadien et plusieurs sites web de ministères.
  3. Elle prouve que la collaboration internationale prévue dans la Loi canadienne anti-pourriel est efficace. L’opération dirigée par le Canada s’est faite avec l’appui du FBI, d’Europol, d’Interpol, du Homeland Security et les autorité polonaises. Microsoft a joué également un rôle important dans l’éradication de ce virus qui s’attaquait à son système d’exploitation Windows et permettait également de récupérer les mots de passe de Facebook, Gmail, Twitter, Netflix et Paypal.

Seule Radio-Canada a fait un reportage sur cette nouvelle à la hauteur de son importance.

Pour en savoir plus sur l’article 8 et les enjeux pour l’installation de logiciels, consultez cette excellente présentation de Dentons.

Fraude des courriels d’entreprises : 1.2G$ en jeu

Quand on parle de fraude par courriel, on pense souvent à des particuliers qui se font avoir pour des prétendus transferts d’héritage ou d’autres promesses d’argent facile. Mais les entreprises sont également victimes de ces fraudeurs du cyberespace. Selon une récente alerte du FBI, les criminels ont réussi à soutirer plus d’un milliard de US$ aux entreprises en exploitant habilement le courriel.

Une fraude bien montée qui cible d’abord les dirigeants

Le principe de cette fraude consiste d’abord à prendre le contrôle du courriel du CEO ou d’un dirigeant de l’entreprise par des approches d’hameçonnage traditionnelles visant souvent ces dirigeants ou leurs assistants. Une fois que les fraudeurs ont accès au courriel du dirigeant ou à ses informations techniques, ils peuvent envoyer au service comptable de l’entreprise une demande de virement urgente qui aura l’air d’autant plus réelle qu’elle proviendra réellement du courriel du dirigeant et comprendra bien souvent des informations qui ne sont en théorie pas accessibles à quelqu’un d’externe à l’entreprise. Les fraudeurs vont même jusqu’à fournir un numéro de téléphone pour fin de vérification ou de questions particulières. Inutile de dire que la plupart du temps, le service comptable voudra satisfaire son patron en montrant sa célérité à gérer l’urgence plutôt que de « perdre du temps » avec une vérification qui lui paraît inutile.

IBM a publié récemment un rapport sur une fraude de ce type qui permet de découvrir un univers ou se combinent technologies et ingénierie sociale sophistiquées pour escroquer les entreprises.

Une arnaque mondiale en forte croissance

Depuis Octobre 2013, soit en moins de deux ans, ce sont plus de 8 000 entreprises qui ont porté plainte au Internet Crime Complaint Center du FBI. Elles ont rapporté des attaques pour près de 800M$, soit une moyenne de 100,000&nbsp$ par fraude. Selon le FBI des attaques similaires pour un montant de 400M$ ont été dénoncées aux autorités d’autres pays ce qui donne un total mondial de 1,2 milliard de $. Le FBI parlait d’un montant total d’à peine 215M$ au mois de janvier dernier, ce qui signifie qu’en à peine 6 mois ces fraudes représentent 4 fois plus d’argent que durant les 15 mois précédents.

Récemment, la compagnie Ubiquiti Networks, un fabricant de matériel de réseaux sans-fil, annonçait dans ses résultats trimestriels qu’elle a été victime d’une telle fraude qui lui a couté 46,7M$ ! Depuis Ubiquiti a réussi à récupérer 8,1M$ et espère mettre la main sur un autre 6,8M$ ramenant sa perte à 31M$.

Des précautions mais pas de miracle

Le FBI propose une série de précautions à prendre pour réduire le risque d’exposition à ces fraudes :

  • Mettre en place une technologie de détection des courriels utilisant un domaine similaire à celui de votre entreprise. Par exemple, si le courriel officiel de votre compagnie est @compagnie.com, le courriel @compagnie.com doit être repéré et reporté. Ne vous fiez pas aux technologies antipourriel car les courriels fabirqués pour ce type de fraude ne sont pas utilisés massivement et ne sont donc pas repérés par les systèmes de protection de masse.
  • Enregistrer tous les noms de domaines qui ressemblent à celui de votre entreprise.
  • Mettre en place un processus de double authentification lors d’un changement de domiciliation de paiement d’un fournisseur.
  • Faire confirmer verbalement toute demande de transfert de fonds en utilisant des numéros connus et non pas ceux qui sont fournis dans des ordres par courriel
  • Mettre en place un processus de vérification systématique lors de la réception de toute demande de transfert par courriel

Mais il n’y a pas de miracle. Même si ces précautions permettent de réduire le risque, elles ne garantissent en aucun cas une protection totale.

Pour les PME, le risque n’est pas moindre

Les PMEs sont en général moins à risque que les grandes entreprises car leur taille rend difficile de se faire passer pour un de ses dirigeants que l’employé connait personnellement mais cela ne signifie pas qu’elles soient totalement à l’abri. Elles doivent donc porter une attention particulière aux trois dernières recommandations du FBI qui n’impliquent pas de dépenses ou de compétences particulières pour êtres mises en place et qui peuvent réduire fortement le risque de perte.

La première amende frappe une PME québécoise !

Dans les milieux gravitant autour de la Loi C28, beaucoup pensaient que les premières amendes ne tomberaient pas avant l’automne prochain. De la même façon, tout
le monde s’attendait à ce que le CRTC se concentre sur de grandes entreprises aux reins solides. En annonçant, il y a quelques minutes, l’émission d’un premier procès verbal accompagné d’une amende salée à une PME québécoise, le CRTC a pris un peu tout le monde par surprise.

Une amende exemplaire

Selon le communiqué de presse émis ce matin par le CRTC, c’est une entreprise de Morin-Heights, 3510395 Canada Inc. faisant affaires sous le nom de Compu-Finder qui a reçu le premier procès verbal de violation de la Loi C28. Ce procès verbal comportant une amende de 1,100,000 $ !

Compu-Finder, qui utilise également les noms Académie de gestion et, depuis deux jours, ACF Management, est une entreprise d’une quinzaine d’employés qui offre des cours de formation pour les entreprises et qui a toujours fait appel à des méthodes commerciales contestables pour recruter ses clients. Conscient de l’impact qu’aurait la première amende en vertu de cette loi qui a fait couler beaucoup d’encre depuis son vote en 2010, le CRTC a trouvé un coupable parfait pour lequel personne ne déchirerait sa chemise.

Un harcèlement qui dure depuis des années

Compu-Finder est réputée depuis des années pour harceler de pourriel les dirigeants d’entreprises à travers la province en utilisant des méthodes dignes des polluposteurs russes les plus aguerris. J’ai moi-même subi leurs envois intempestifs dans le passé et essayé en vain de me désinscrire plusieurs fois de leurs listes qui me suggéraient régulièrement de suivre leur formation pour devenir ‘une adjointe irremplaçable ».

J’ai tout fait pour me débarrasser de cette nuisance :

  • utiliser leur formulaire de désinscription,
  • envoyer des courriels demandant à faire retirer mon adresse de leurs listes,
  • même appeler sur leur ligne 800.

Tout ça en vain : les nombreuses promesses que mon adresse serait enlevée de la liste n’étaient que mensonges et je continuais à recevoir leurs pourriels comme des dizaines de milliers d’autres dirigeants de PME.

Une compagnie dont les mauvaises pratiques sont de notoriété publique

Et je n’étais pas le seul à me plaindre.

Cela fait des années que les médias dénoncent le pollupostage de Compu-Finder. Ainsi dès 2008, Nelson Dumais, chroniqueur de La Presse faisait un billet sur les détestables méthodes de Compu-Finder puis en 2010 sur le témoignage d’une ancienne employée dénonçant la culture d’affaires douteuse de la compagnie. De son coté, en 2011, Protégez-vous prenait Compu-Finder comme exemple pour illustrer la pertinence de la Loi C28.

D’ailleurs, le CRTC a mentionné que CompuFinder faisait l’objet de 26% des 245,000 plaintes que le CRTC a reçu à travers le Canada depuis l’entrée en vigueur de la Loi C28. Le fait qu’une PME du Québec ait pu générer plus de 63,000 plaintes en quelques mois est révélateur du niveau de harcèlement qu’ils font subir à la communauté.

L’entreprise qui s’était déjà faite connaître à la fin des années 90 en saturant les télécopieurs des entreprises a également une très mauvaise réputation dans le service à une clientèle souvent obligée d’aller devant les tribunaux pour obtenir la formation payée que son remboursement.

Il reste maintenant à voir si ce procès verbal sera pris au sérieux par ACF Management, vu que cela semble être leur nouvelle marque de commerce, probablement pour réduire l’impact réputationnel de la couverture de presse que va leur donner l’amende du CRTC. Ceux qui pensent qu’il leur suffit de fermer l’entreprise pour repartir sous un nouveau nom oublient que la Loi C28 prévoit que les dirigeants et administrateurs, soit le couple Sylvie Pagé et Alain Guyot, le couple propriétaire de l’entreprise, sont PERSONNELLEMENT responsables des violations qu’il ont ordonné, autorisé ou consenti.

Vont-ils cesser leur stratégie de pourriel ? Vont-ils contester le procès verbal ? Vont-ils tenter de négocier une entente amiable autour d’une amende plus faible ? Nous y verrons plus clair dans 30 jours lorsqu’expirera le délai légal dont dispose CompuFinder pour contester le procès-verbal du CRTC.