Le voyageur d’affaires, cible idéale des cybercriminels

Si on devait dresser le portrait-robot de la proie idéale des cybercriminels, il ressemblerait fort à celui d’un voyageur d’affaires. Notamment parce qu’en situation de mobilité, il détient des données sensibles tout en n’étant plus protégé par le pare-feu de son entreprise. Pour David Grout, directeur technique pour l’Europe de FireEye, le cadre nomade est exposé à plusieurs grandes familles de menaces. La première, la plus radicale, porte sur le risque d’inspection lors des passages des frontières : “En fonction des réglementations locales, certains pays, notamment la Chine, peuvent procéder à l’inspection des terminaux mobiles, le tout pouvant aller jusqu’à la copie du disque dur”, explique-t-il.

Toujours en Chine, la province du Xinjiang oblige les touristes, comme les voyageurs d’affaires, à installer une application de tracking présentée comme un service d’alerte en cas d’urgence, mais qui, dans les faits, permettrait aussi d’exfiltrer les contacts d’un smartphone. Didi Chuxing, l’équivalent chinois d’Uber, intégrerait également ce type de “spyware”.

Afin de minimiser les informations exposées à ces détournements, David Grout conseille de voyager léger, surtout si l’on se rend dans un pays à risques, avec uniquement les données essentielles à sa mission : “J’encourage même à avoir deux ordinateurs, dont un dédié aux voyages où on limitera le volume de données embarquées.” Autre parade : le chiffrement. Il peut concerner uniquement le disque dur, mais également les fichiers. On parle alors de chiffrement haut niveau. Si un document est partagé, votre interlocuteur est obligé d’avoir le mot de passe pour le déchiffrer. Microsoft propose, par exemple, la solution BitLocker de façon native dans certaines versions de Windows. À noter que quelques pays, dont la Chine, peuvent interdire le chiffrement des données ou limiter le niveau d’encryptage autorisé.

Lire aussi : « Cybersécurité : le voyage à l’épreuve des risques »

Un autre risque, plus clairement identifié par les voyageurs, est la connexion à un WiFi public ou en pair à pair. À titre d’exemple, des hackers étatiques, comme des groupes russes (ATP 28 et ATP 29)  et chinois, ont déjà détourné le trafic WiFi d’un hôtel ou d’un salon professionnel afin de capter les données de VIP lors de grands événements internationaux. Pour Roxane Suau, VP marketing de Pradeo, la vigilance débute dès l’aérogare. “À côté du WiFi officiel de l’aéroport, vous avez une myriade de réseaux venant des boutiques. Ils peuvent être créés de toutes pièces avec un risque d’interception de données”, explique-t-elle. “Un hacker connaît les habitudes de sa cible. Il sait quels lounges d’aéroport il fréquente, les hôtels où il descend”, complète Bastien Bobe, responsable avant-ventes Europe du sud de Lookout.

Le voyageur d’affaires doit donc désactiver par défaut le WiFi et le Bluetooth et passer par le réseau privé virtuel (VPN) de son entreprise. De nouvelles solutions, dites Zero Trust Network Access (ZTNA), permettent également un accès distant – comme le VPN –, mais sans flux entrant ni ouverture de port réseau. À défaut, le partage de connexion depuis un téléphone 3G ou 4G reste préférable, surtout en Europe avec la fin des frais de roaming.

Autre menace, l’hameçonnage ciblé – ou “phishing” – peut intervenir en amont d’un voyage. Sur des réseaux sociaux comme LinkedIn et Instagram, le pirate examine le profil de ses cibles et anticipe leurs déplacements. “Si le voyageur d’affaires publie un billet proposant à ses contacts de le retrouver lors d’un salon, l’hacker l’invitera par exemple à un dîner VIP lors de cet événement, illustre David Grout. Pour cela, il lui demande de s’enregistrer en ligne avec identifiant et mot de passe. Les personnes ayant pour habitude d’utiliser souvent les mêmes login et password, ce criminel pourra alors s’infiltrer dans ces différents comptes.”

Mais le phishing peut aussi venir d’un SMS, rappelle Bastien Bobe : “Le SMS est devenu un canal prioritaire, on y reçoit un grand nombre de notifications. Il suffit de connaître le numéro de vol du voyageur d’affaires pour se faire passer pour une compagnie aérienne et lui demander d’envoyer une photo de son passeport.” Une campagne de tests a montré, selon lui, des résultats inquiétants : “60 % à 80 % des utilisateurs cliquent sur un lien contenu dans un SMS malveillant, contre 20 % à 25 % pour un mail.”

L’attaque peut aussi cibler l’entourage de la proie, par exemple l’assistant d’un dirigeant d’entreprise ou son attachée de presse. “En piratant leurs smartphones, un pirate peut accéder à la géolocalisation, lire les messages, écouter les appels téléphoniques, déclencher à distance l’enregistrement audio”, note Bastien Bobe.

Le risque n’est pas que virtuel. Le professionnel peut aussi se faire voler son ordinateur portable ou son smartphone. “Une personne malveillante qui pénètre dans une chambre d’hôtel, ce n’est pas que dans les films d’espionnage”, alarme David Grout. Son conseil : garder toujours ses terminaux avec soi ou, à défaut, les placer dans le coffre-fort de sa chambre d’hôtel. Il convient aussi de verrouiller systématiquement ses sessions et de mettre en place une authentification à double facteur. Google propose notamment une clé de sécurité baptisée Titan qui se connecte à un port USB.

Et si vol il y a, le voyageur d’affaires doit avoir préalablement été formé sur la conduite à tenir. L’entreprise doit également s’organiser en conséquence, selon David Grout : “Prenons le cas d’un utilisateur qui se fait voler son portable en Chine un dimanche à 4h du matin, heure de Paris. Si son employeur n’a pas mis en place de service 24/7, la réaction interviendra au mieux quatre ou cinq heures plus tard.” Les solutions de gestion de flotte de mobile, dites de MDM (Mobile Device Management) et de MCM (Mobile Content Management), permettent dans le premier cas de géolocaliser un terminal et de le bloquer et, dans le second, d’effacer les données à distance. Quant à la technologie EDR (Endpoint Detection and Response), elle consiste à placer un agent embarqué dans la machine qui pourra détecter les menaces en temps réel. Ce qui permet de mener une investigation rapide en cas doute.

Mais la prévention ne s’arrête pas une fois le voyage terminé. Dans ce cadre, certaines sociétés font une “post-travel investigation” afin de s’assurer que le poste de travail n’a pas subi d’intrusion et, dans les cas extrêmes, faire en sorte qu’il ne soit plus reconnecté au réseau de la société. “Un pirate peut avoir injecté un code malveillant et attendre que la personne retourne au pays pour l’activer et avoir ainsi la main sur tout le système d’information de l’entreprise”, conclut David Grout.