Le 12 juillet 2012, Yahoo! a révélé que plus de 400 000 noms d’utilisateur et mots de passe de Yahoo! et d’autres sociétés avaient été dérobés. Le piratage, violation majeure de la sécurité de toute entreprise, ne se limitait pas à des comptes de messagerie Yahoo!. [:]L’un des services de la société, Yahoo! Voices, permet aux utilisateurs de se connecter à des adresses e-mail autres que Yahoo!. Des comptes Gmail, AOL et Hotmail ont également été révélés, donnant lieu à l’un des pires cauchemars pour ceux qui utilisent leurs comptes de courrier électronique pour transmettre des informations importantes et confidentielles.
Même ceux qui ne sont pas nés avec l’ère numérique comptent beaucoup sur les communications numériques dans leur quotidien : on informe sa famille d’un état de santé confidentiel, on reçoit des factures ou on en envoie aux clients.
La divulgation récente des écoutes, par le gouvernement américain, de communications téléphoniques ou de comptes Facebook et Gmail prouve que ces systèmes sont ouverts. On a ainsi découvert que, sur ordonnance d’un tribunal ou à la suite d’une opération criminelle, nos discussions privées sont livrées à des yeux et des oreilles étrangers.
Les pirates de Yahoo! ont immédiatement publié une liste de 453 492 comptes appartenant à des utilisateurs de Yahoo!, Gmail, AOL, Hotmail, Comcast, MSN, SBC Global, Verizon, BellSouth et Live.com, a indiqué le New York Times. Quiconque le voulait, pouvait sur-le-champ se procurer la liste volée, se connecter à l’un de ces comptes et s’y connecter.
Possédez-vous un compte dans l’un de ces services ? Dans l’affirmative, avez-vous entendu parler de ce vol ? Si les réponses sont «oui » à la première question et « non » à la seconde, vous ne vous êtes certainement pas précipité pour changer de mot de passe. Or, personne ne sait combien d’utilisateurs se trouvent dans cette situation.
Ce vol chez Yahoo! est la troisième violation massive de ce type en quelques semaines. D’autres sites ont été concernés, comme LinkedIn. En tout, les mots de passe d’environ un million de comptes ont été dévoilés.
L’arnaque d’Anvers
Non seulement un individu a-t-il su comment tirer avantage d’une telle information, mais, à plusieurs reprises, il en a profité et ciblé l’industrie du diamant. Ces dernières semaines, plusieurs sociétés diamantaires ont été victimes d’une arnaque sophistiquée, passant par le piratage de comptes de messagerie.
Il a suffi d’avoir un peu de patience. Les criminels ont surveillé les comptes de messagerie de diamantaires, dont des sociétés de négoce de brut et des acheteurs de taillé, dans l’attente d’une opportunité. Dans l’un des cas, un négociant a acheté un diamant à un grand fabricant et reçu sa facture par e-mail. L’acheteur a alors demandé, par le biais de son compte Gmail, à faire passer son crédit de 60 à 90 jours. La nouvelle facture précisait que, suite à ce changement, le paiement devait être effectué sur un compte bancaire différent. C’est en cela que résidait l’arnaque.
L’e-mail adressé au client a été intercepté et la facture révisée. La fausse était semblable à l’original, à un détail près: la mention de changement du compte bancaire, rajoutée par les criminels. Le reste était identique.
Par chance, les parties ont compris la situation et l’acheteur n’a pas procédé au paiement sur le compte bancaire de l’escroc. Imaginez pourtant ce qui aurait pu se passer : l’acheteur ayant déjà le diamant, s’il effectuait le paiement, c’est le vendeur qui aurait été lésé. Le diamant aurait disparu et le paiement ne lui serait jamais parvenu.
Dans un autre dossier, un acheteur a été victime de la même escroquerie. Cette fois-ci, il a acheté du brut et a dû effectuer le paiement avant la livraison. Le vendeur, qui utilisait un compte AOL, a envoyé sa facture à l’acheteur. Une fois de plus, le message a été intercepté et la facture modifiée. L’acheteur a reçu pour instruction de déposer l’argent sur un compte en banque appartenant aux escrocs.
L’arnaque n’a été découverte que parce que le vendeur n’envoyait pas les marchandises. Perplexe, l’acquéreur a contacté le vendeur, lequel a affirmé n’avoir jamais reçu l’argent. Il n’avait donc jamais expédié les marchandises.
La nouvelle connection, façon libano-hongkongaise
L’acheteur, un sightholder de la DTC basé à Anvers, a décidé d’agir. Il a remonté le compte bancaire jusqu’à une nouvelle société de Hong Kong et déposé plainte auprès de la police du pays. Il a toutefois continué à utiliser le compte e-mail piraté pour convenir de la livraison du diamant. Avides, les escrocs sont tombés dans le piège et ont tenté de « détourner » le diamant à leur avantage. Les informations ont conduit à une adresse à Beyrouth, au Liban.
L’escroquerie est clairement mondiale. Elle vise des entreprises d’Anvers, en détournant des fonds à Hong Kong et des marchandises au Liban. Nul ne sait où sont basés ces pirates de comptes e-mail.
« Nous envoyons tous des e-mails et nous faisons confiance au système », a déclaré le sightholder, qui a demandé à rester anonyme. C’est la fréquence à laquelle nous les utilisons qui génère cette confiance et nous fait passer à côté des dangers. Nous supposons à tort qu’un e-mail atteint directement son destinataire. Ce n’est pas le cas.
Comment se protéger ?
Il ne s’agit que de deux exemples de cette grande escroquerie. À mots couverts, et de façon officieuse, d’autres professionnels ont également évoqué le problème. Le sightholder a estimé qu’il était de son devoir d’alerter les autres négociants. Il en a parlé à ses clients et bien précisé les comptes bancaires qu’il utilisait. Il leur a ainsi recommandé de ne pas déposer de paiements sur d’autres comptes.
La première leçon à tirer est d’indiquer à ses clients que vous ne changez pas de compte bancaire. La seconde consiste à confirmer les coordonnées bancaires par téléphone. Quant à savoir si votre compte e-mail a été compromis dans l’affaire de la fuite des mots de passe Yahoo! Voice, il existe un service de Sucuri Malware Labs, qui semble détenir une copie de la liste des comptes piratés : http://labs.sucuri.net/?yahooleak.