LMi-MAG28 Dec - Flipbook - Page 27
A cette occasion, trois cas d’usage ont été évoqués. L’un
a porté sur les moyens de contrer une attaque de type
fraude au président sur un membre du comité exécutif
de La Poste contacté sur son téléphone personnel à des
fins frauduleuses et d’extorsion de documents d’entreprise. Dans ce cadre, le groupe a recouru à Copilot de
Microsoft pour créer de faux documents avec l’objectif
de pousser l’attaquant à dévoiler son jeu en piégeant un
fichier factice créé par la GenAI pour récupérer une IP.
« Nous aurions pu uniquement porter plainte, mais nous
voulions savoir ce que le criminel cherchait vraiment »,
explique Catherine Krzykwa, responsable adjointe
département investigation numérique de La Poste.
« Nous l’avons poussé à dire ce qu’il voulait réellement
et quel était son objectif. »
L’envoi de stupéfiants par voie postale
neutralisé
Et il a été trouvé : il cherchait à obtenir des documents
incluant des factures émises par le groupe auprès de
petites entreprises en vue de réaliser des opérations de
fraude auprès d’elles. Parmi les enseignements de cette
opération, la responsable indique que « cela a créé un lien
avec le comex permettant de protéger l’empreinte numérique des dirigeants et de surveiller ce que l’on dit sur
eux sur Internet ». Autre cas d’usage d’analyse criminalistique numérique mené dans le cadre de la veille globale
de conformité, RH et cybersécurité de l’organisation :
identifier et débrancher des sites vendant des stupéfiants
dans des colis envoyés en colissimo que les criminels se
vantaient de faire parvenir en 48 heures. Outre l’illégalité
du procédé, « il existe aussi un risque pour les collaborateurs avec une possible explosion de fiole de fentanyl
dans une enveloppe », insiste Cyril Tesser. Une veille a
donc été mise en place sur les plateformes utilisées par
des trafiquants pour écouler leurs produits. L’application
de messagerie chinoise Potato a particulièrement attiré
l’attention en se servant de librairies Telegram et en proposant de nombreux services illégaux, comme les casinos
en ligne, la pornographie, les cryptowallets ou l’achat et
la vente de stupéfiants.
Du télétravail depuis l’étranger démasqué
Une analyse Osint a été menée, couplée à de l’investigation
pour déterminer l’existence d’un circuit criminel comprenant des personnes surveillées par l’Office anticybercriminalité (Ofac) et des tractations illicites en cryptomonnaies.
« Cela nous a permis d’identifier les groupes malveillants
qui se créaient, de récupérer les liens des sites frauduleux
et de faire le nécessaire sur la partie cyber pour bloquer
ces listes de domaines. » Parmi les autres cas d’usage,
l’analyse postmortem de logs d’audit pour lever les doutes
du département RH sur la localisation réelle d’un employé
pendant ses jours de télétravail. Ce dernier était suspecté
de travailler depuis l’étranger et camouflait pour cela sa
localisation réelle aux yeux de son employeur. Malgré
ses doutes, les traces collectées jusqu’alors par le groupe
n’étaient pas suffisamment fiables pour le confirmer. Dans
le cadre de son étude, La Poste a procédé à une analyse des
outils collaboratifs et de messagerie utilisés (boîtes mail,
SharePoint, conversations Teams...) dont les niveaux de
classification étaient pour certains dotés d’une couche de
chiffrement empêchant d’investiguer plus avant.
Surveiller finement l’activité de logs
« Nous avions besoin de croiser des informations et d’aller le plus loin possible, mais nous n’avions pas la finesse
suffisante pour accéder à ces données », poursuit Cyril
Tesser. Pour y parvenir, l’organisation a exploité l’expertise forensique et Osint des outils Purvue et Discovery
de Microsoft. Ils ont ainsi pu surveiller l’activité de logs
et trouver des traces plus fiables pour identifier à 100 %
la localisation du salarié. Sans, toutefois, établir dans un
premier temps qu’il n’utilisait pas de VPN depuis chez
lui, ce dernier a été localisé à Istanbul, en Turquie. « Nous
avons travaillé sur les logs row de Teams et montré que la
timezone confirmait qu’il n’utilisait pas de VPN et qu’il
réalisait bien ses activités depuis l’étranger », explique
Catherine Krzykwa. Des preuves qui pourront alors servir lors d’un éventuel conseil de discipline à l’encontre
dudit salarié fautif.
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
tinyurl.com/podcast-laposte
LIRE EN LIGNE
Article
tinyurl.com/article-laposte
27
