Le transport routier, une cible de choix pour les cyberfraudeurs

Dans un sondage publié en juin dernier, la firme internationale spécialisée en gestion d’entreprises PWC trace un portrait des inquiétudes principales de 4 500 dirigeants d’entreprises disséminés à travers le monde. La cybersécurité, sans surprise, arrive au premier rang avec 49%. Si on isole les réponses des chefs d’entreprises qui sont directement liés au transport et à la logistique, les craintes d’être victimes d’une cyberattaque baisse à 45%.

Photo: Istock
L’hameçonnage, notamment la fraude du président, est une technique très souvent utilisée par les cyberfraudeurs pour soutirer de l’argent aux organisations en transport. Photo: Istock

Une cible attrayante

« Pourtant, l’industrie du transport et de la logistique est une cible de choix pour les cyberattaques », a dit Marin Ivezic, associé, Cybersécurité et protection des renseignements personnels et Résilience d’entreprise chez PWC lors de son passage à la conférence du CITT en juin dernier à Montréal.

Pourquoi?

« On y trouve d’abord une concentration importante de valeurs monétaires. Il y a ensuite des processus informatiques qui sont globalement archaïques et une intégration numérique dans les opérations qui augmentera, de facto, le potentiel d’une cyberattaque », précise M. Ivezic. Sans mentionner le détournement du fret et la manipulation des informations en lien avec les trajets et les cargaisons qui facilite le vol et la contrebande. On trouve, enfin, l’espionnage industriel et les crimes financiers dont le secteur du transport et la logistique est la plus importante victime ».

Parmi tous ces risques qui pèsent sur l’intégrité et la survie d’une organisation, Millie Perreault-Favreau, qui est directrice ventes et partenariats stratégiques – cybersécurité chez VARS Corporation, pointe quelques cibles précises qui sont attrayantes pour les fraudeurs professionnels: « les transporteurs peuvent être visés pour des raisons financières ou dans le but de perturber (diminuer) leurs capacités opérationnelles. Il y a aussi les données que possèdent les assureurs et dont le vol permet un ciblage en fonction des capacités financières et des couvertures d’assurances ».

Photo: Archives de Transport routier.

Une cyberhygiène

Pour affronter efficacement cette nouvelle réalité, il y a deux facteurs majeurs à considérer: la protection informatique et le facteur humain.

La protection informatique, d’abord, implique une expertise constamment mise à jour. Un problème que Jean-Philippe Racine, président de CyberSwat, une firme québécoise spécialisée en cybersécurité, doit régulièrement gérer. « Beaucoup de parcs informatiques ne sont pas à jour parce que les employés au sein des entreprises sont souvent occupés à d’autres tâches ».

« Pour les nombreux transporteurs qui utilisent la géolocalisation et collectent des données, la prise de contrôle de l’environnement informatique par des fraudeurs, c’est-à-dire l’accès à l’emplacement exact des marchandises, peut avoir des conséquences négatives sur la rentabilité de l’organisation », précise-il.

En rendant le système informatique inopérant pour les répartiteurs, le pirate informatique peut notamment leur envoyer des informations erronées sur l’emplacement réel d’une cargaison afin de permettre à ses acolytes de repérer le camion, désactiver son GPS et détourner sa cargaison de sa destination légitime.

Prendre la cybersécurité au sérieux, « c’est faire preuve, dit Mme Perrault-Favreau, d’une cyberhygiène, une culture de sécurité qui protège les personnes aussi bien que les biens de l’organisation ».

L’hameçonnage…

Cette hygiène numérique passe aussi, et beaucoup, par l’incapacité humaine à percevoir et décoder les risques. C’est généralement la porte qu’empruntent les pirates pour commettre leurs larcins. D’abord parce que cette forme d’hameçonnage ne nécessite pas de connaissances approfondies en informatique, mais aussi « parce qu’il est plus facile de demander un mot de passe aux gens qui travaillent au sein de l’organisation que de le chercher soi-même », dit, en riant, Cédric Anderson.

Formateur en informatique et étudiant en Cybersécurité, profil test d’intrusion (ou pirate éthique) à l’école Polytechnique de Montréal, M. Anderson mentionne, en reprenant les dires de ses professeurs, « qu’il n’est jamais arrivé à un pirate éthique – c’est-à-dire quelqu’un qui est engagé par une firme pour tester sa sécurité informatique – de ne pas trouver au moins une faille dans un système informatique ».

La faille en question passe plus souvent qu’autrement par l’humain. Les pirates professionnels le savent et l’exploitent intelligemment. Marin Ivezic, qui a jadis habité à Singapour et Hong-Kong avant de s’établir à Vancouver, précise d’ailleurs que « toutes les compagnies avec lesquelles j’ai fait affaire ont perdu, en moyenne, 2 millions de dollars américains dans une arnaque appelée ‘la fraude du président’. »

…C’est aussi au Québec

C’est ce qui est arrivé au Groupe TYT. En 2020, le transporteur de Drummondville a été victime d’un hameçonnage de 2,5 millions de dollars dont quelque 950 000$ ont pu être récupérés par les avocats québécois et chinois du transporteur.

 « À l’époque, en juin 2020, la majorité des employés travaillaient en télétravail et étaient de ce fait plus isolés que d’habitude » nous dit le président du Groupe TYT, Patrick Turcotte. Pour les fraudeurs, cela facilite évidemment leur stratagème, qui vise à isoler pour mieux contrôler leurs cibles à qui ils demandent une discrétion et une confidentialité totales ».

Patrick Turcotte, président du Groupe TYT. Crédit photo: Marc Lavallée.

« Ainsi, poursuit-il, la cible a été informée, dans un premier courriel dont l’adresse était à un point près identique à la mienne, qu’une transaction importante pour l’entreprise était en cours, que la confidentialité était essentielle, que « je » comptais sur elle pour la mener à bien et pour suivre à la lettre les instructions qu’un avocat d’une firme connue allait lui donner. Dans notre cas, puisque le faux avocat identifié travaillait au sein d’une firme avec laquelle notre entreprise avait récemment fait affaires, et que la cible avait déjà vu passer d’authentiques comptes payables émanant de cette firme, cela a contribué à renforcer la légitimité du courriel ».

Pression psychologique

« On la fait se sentir, cette employée, privilégiée et importante. Le fraudeur la flatte dans le bon sens pour qu’elle soit convaincue que c’est vraiment le président qui l’a choisie ». C’est l’autorité suprême de la compagnie qui lui demande de garder le silence, alors « il est très important qu’elle n’en parle strictement à personne (dans son département ou au-delà), même pas à moi si elle me croise dans le corridor car c’est ultra-confidentiel », ajoute M. Turcotte en déclinant la méthode psychologique des voleurs.

Autrement dit, on cherche à l’enfermer – en utilisant une pression psychologique provenant du ‘patron’ lui-même – dans un secret absolu en l’isolant de son environnement et de ses collègues.

Cette cible, en attendant les documents, doit s’enquérir de la limite bancaire quotidienne qui peut être transférée par la compagnie dans un compte en Chine. « Une fois que le fraudeur connait la limite quotidienne, la pression exercée sur notre employée devient intense. Le faux avocat peut lui téléphoner plusieurs fois par jour afin de s’assurer que les transferts soient effectués le plus rapidement possible. Pour que le projet puisse voir le jour, lui répète sans cesse le faux avocat », ajoute M. Turcotte.

La cible, qui a déjà vu passer d’authentiques comptes payables, lesquels provenant de la firme engagée antérieurement par TYT et utilisée par le faux avocat, procède à cinq transferts à raison de 500 000$ par jour sans qu’aucune lumière rouge s’allume à la banque.

« Avec la numérisation des opérations des institutions financières et l’accessibilité de l’information qui en découle, dit encore M. Turcotte, il nous apparait inconcevable que notre institution financière n’ait pas été en mesure d’alerter les bonnes personnes quant à la possibilité que nous soyons victimes d’une fraude du président ».

La première ligne de défense

Il existe, pour se prémunir d’un hameçonnage de ce genre ou d’un piratage informatique, différentes stratégies organisationnelles. M. Racine propose « des ateliers de sensibilisation aux employés » afin de les familiariser avec les subtilités et le raffinement du hameçonnage organisé.

« Il y a également, ajoute mme Perreault-Favreau, une limitation des privilèges d’accès aux seules tâches de chaque employé qui peut être implantée et la capacité, pour l’organisation, de maintenir à jour ses systèmes de protection ».

L’erreur serait cependant de penser, enfin, que ce genre de fraude n’arrive qu’aux autres. Patrick Turcotte rappelle « qu’en 2020, 80 dossiers pour des fraudes du président étaient ouverts au Canada ». Et ça c’est sans jeter dans l’arène toutes les fraudes, plus petites, qui ne font pas l’objet d’une plainte officielle aux autorités compétentes.

Des fraudes qui, en 2025, devraient atteindre le faramineux montant de 10,50 milliards de dollars américains à travers le monde.

Rédacteur professionnel depuis plus de 15 ans, Christian possède une expérience considérable à titre de journaliste spécialisé en transport, notamment à titre de directeur de la rédaction de L'Écho du transport, magazine aujourd'hui disparu, et de Transport durable magazine.

Donnez votre avis

Vos données ne seront ni publiées, ni partagées.

*