Les criminels n'opèrent pas en vase clos et nous ne devrions pas non plus 

L'une des professions les plus lucratives au monde existe depuis des siècles et, grâce au monde numérique d'aujourd'hui hautement connecté, elle n'a jamais été aussi rentable. Cette année, ce secteur devrait générer plus de 1,5 billion de dollars de bénéfices. Les personnes qui exercent ces métiers sont techniquement compétentes, très motivées et peuvent travailler à peu près n'importe où. Si vous êtes un employeur, vous pensez peut-être qu'il s'agit de l'employé idéal.

Malheureusement, les personnes qui exercent cette profession sont des criminels.

L'année 2018 est une bonne période pour devenir un cybercriminel, car le crime paie – le crime rapporte gros. Aujourd'hui, il y a plus de données à voler, plus de victimes et d'organisations à cibler, et plus d'argent à gagner que jamais auparavant. La cybercriminalité est le deuxième crime le plus signalé dans le monde.

Ces individus et ces organisations sont très sophistiqués et collaborent pour maximiser leurs profits. Ces criminels n'opèrent pas en vase clos – et pour les combattre le plus efficacement possible, nous devons faire de même.

Les premiers cas de cybercriminalité dans les années 1970 et 1980 se sont concentrés sur le piratage de réseaux informatiques – de nombreux individus agissaient juste pour le plaisir ou pour semer la zizanie au moyen d'une attaque par déni de service. Le plus souvent, dans les médias, ces actes étaient décrits comme l'œuvre « pirate solitaire » – un type louche en chandail à capuchon travaillant dans son sous-sol. Comment cela se fait-il? Pourquoi a-t-on une telle image du cybercriminel?

La cybercriminalité est une activité de grande envergure, dont plus de 80 % proviennent d'une activité criminelle organisée. Les banques canadiennes, dont les dépôts s'élèvent à près de 2 000 milliards de dollars, constituent l'une des cibles favorites de ces criminels.

Aujourd'hui, les banques et autres institutions financières s'inquiètent de la menace concurrentielle posée par des entreprises telles que Google, Apple, Facebook et Amazon, mais elles devraient plutôt s'inquiéter de lutter contre le groupe CRIME inc.

Le groupe Crime inc. est composé d'individus bien financés et dotés d'un fort esprit d'entreprise. Le salaire net d'une personne qui gagne beaucoup d'argent dans ce domaine peut atteindre 167 000 dollars par mois. Les grandes multinationales de la cybercriminalité peuvent réaliser des bénéfices totalisant plus d'un milliard de dollars par an.

J'utilise des termes tels que « profits » et « multinationales » pour décrire ces organisations, car elles sont réellement gérées comme des entreprises mondiales.
Comme n'importe quelle entreprise, elles se composent de plusieurs équipes qui collaborent, des équipes dont les tâches sont divisées en rôles spécialisés. Elles utilisent les mêmes outils que vous et moi pour communiquer, comme Skype et Jabber.

Une équipe peut se spécialiser dans l'acquisition et la diffusion de renseignements sur les cartes de crédit, tandis qu'une autre se concentre sur l'utilisation de techniques de piratage psychologique contre les employés d'un centre d'appel. Ces criminels ont un excellent esprit d'équipe. Ils partagent leurs connaissances et leurs renseignements, ils effectuent des transactions entre eux – ils réalisent des violations de données et des prises de contrôle de comptes en équipe, ils échangent des conseils de piratage, des vulnérabilités et des escroqueries.

Ils imitent les techniques d'organisations légitimes, en créant des sites web où vous pouvez acquérir leurs « produits », en proposant des clauses de non-responsabilité pour les achats et même une assistance technique.

Ils proposent même des programmes de formation pour les cybercriminels en herbe qui souhaitent apprendre à pirater ou à infiltrer un site web.

Lorsque ces groupes parviennent à leurs fins, les conséquences sont incommensurables. Le ministère américain de la Justice a récemment arrêté trois membres haut placés du groupe de cybercriminels connu sous le nom de Fin7. Fin7 est accusé d'avoir volé plus de 15 millions de cartes de crédit dans 47 États différents. Les personnes arrêtées étaient des ressortissants ukrainiens et leurs équipes opéraient depuis le Royaume-Uni, l'Australie et la France. Une véritable multinationale de la cybercriminalité.

L'une des facettes les plus perturbantes du groupe Crime inc. tient à sa ressemblance avec les sociétés qu'elle cherche à attaquer.

Si la cybercriminalité se résumait encore à un pirate informatique solitaire et cagoulé, elle serait plus facile à repérer et à combattre. Mais il ne s'agit plus de ce personnage en chandail à capuchon : il s'agit de groupes sophistiqués qui travaillent ensemble en parfaite harmonie qui n'ont pas de frontières, qui n'ont ni foi ni loi, et qui sont très motivés pour maximiser leurs profits.

Pour lutter efficacement contre les cyberfraudeurs, il faut d'abord savoir comment ils opèrent. Nous nous concentrerons sur ce que l'on appelle les prises de contrôle de comptes.

Ce processus se déroule en trois étapes principales :

Étape 1 : Obtenir des informations d'identification et d'autres renseignements personnels

Les violations de données sont une véritable épidémie. En trois courtes années, de 2014 à 2017, on a observé une augmentation de 50 % du nombre de brèches signalées et un triplement du nombre de données divulguées. En fait, depuis 2013, un total de 9,7 milliards de fiches de données ont été soit perdues, soit volées.

Chaque violation, quelle que soit son ampleur, entraîne le vol de renseignements importants sur les clients et les comptes, plaçant ainsi des millions, voire plus, de données entre les mains de criminels.

Au-delà des violations, nous, en tant que clients, facilitons la tâche de ces criminels. Nous sommes tous des créatures du numérique et nombre d'entre nous partageons volontiers nos données personnelles sur les différents réseaux sociaux. Le prénom de notre enfant ou de notre animal de compagnie, le lieu et la date de notre naissance, la rue où nous avons grandi... autrement dit, les réponses utiles à toutes ces questions d'authentification à deux facteurs.

Les cyberfraudeurs trouvent dans toutes ces informations une mine d'or.

Étape 2 : Accéder aux comptes

Une fois qu'ils ont obtenu les identifiants et les informations personnelles, les criminels utilisent ces données pour accéder à des comptes clients lucratifs. Ils testent les identifiants volés sur des sites web et des applications mobiles, comme les services bancaires en ligne. Cela se produit si souvent que l'on estime que 60 % des tentatives de connexion aux banques sont le fait de criminels.

Ils peuvent s'emparer des renseignements volés sur un site et les utiliser pour accéder à notre compte sur un autre site parce que tant de consommateurs (c'est-à-dire vous et moi) réutilisent les mêmes mots de passe ou des mots de passe similaires sur plusieurs sites. Avant que vous ne commenciez à vous sentir trop mal à ce sujet, en 2017, le cybergroupe OurMine a réussi à pirater les comptes Twitter et Pinterest de Mark Zuckerberg, le PDG de Facebook. Ils y sont parvenus après avoir décrypté son mot de passe LinkedIn, qui avait fait l'objet d'une fuite lors d'une autre violation de données. OurMine a affirmé que Mark Zuckerberg avait utilisé les mêmes identifiants sur les trois sites de médias sociaux.

Étape 3 : Commettre le crime

La troisième étape, c'est le jour de paie. Une fois que les criminels ont accès aux comptes, ils peuvent commettre toutes sortes de fraudes bancaires. Cela va de l'épuisement des fonds disponibles sur les comptes à l'utilisation des comptes en règle pour obtenir de nouveaux crédits auprès de la même banque ou d'autres banques. Parfois, ils utilisent même les comptes compromis comme des comptes « mulets » pour faire entrer et sortir des fonds sans déclencher d'enquête.

Ne vous y trompez pas : le groupe Crime inc. part à la conquête de ces 2 000 milliards de dollars de dépôts.

Alors que faire quand on se retrouve face au groupe Crime inc.? Eh bien, si nous devions compter le score de la bataille entre Crime inc. et les banques, il ne serait pas très bon. En matière d'agilité et peut-être de motivation, on peut dire que les criminels ont l'avantage. Il n'a jamais été aussi difficile pour une banque de déterminer si vous êtes bien celui que vous prétendez être et si vous faites partie des bons ou des méchants.

Heureusement pour nous, les banques ont quelques atouts en leur faveur et, depuis quelques années, mon équipe et moi-même travaillons avec certaines des plus grandes banques du Canada pour redéfinir les règles du jeu et les faire basculer en faveur des gentils.

Nous nous sommes posé la question suivante : comment pouvons-nous aider les banques à résoudre le problème et à modifier la manière dont on détecte la fraude et la cybercriminalité à l'heure actuelle?

Voici donc ce que nous avons proposé : il faut rendre les conditions si pénibles et si difficiles pour les fraudeurs que le jeu n'en vaut plus la chandelle pour eux.

Nous nous sommes concentrés sur deux avantages ou points forts distincts sur lesquels les banques peuvent s'appuyer :

La collaboration

Commençons par la collaboration. Tout comme les fraudeurs, nous savons que l'union fait la force. Pour que les banques collaborent, il faut d'abord conclure que la lutte contre la fraude n'a rien à voir avec la compétitivité – alors que mener la lutte dans son coin risque certainement de ne pas peser lourd dans la balance.

La collaboration dans la lutte contre la cybercriminalité commence par le partage de fragments d'informations vitales pour reconstituer les premiers signes de fraude.

Il peut s'agir simplement de collaborer pour trouver et isoler le « patient zéro ». Après une violation ou une tentative de prise de contrôle d'un compte, il suffit alors de partager les informations d'identification compromises ou les détails des comptes signalés, ce qui permet d'aider le plus grand nombre possible de personnes dans le réseau des gentils.

En partageant ce type de données essentielles, nous pouvons limiter les répercussions sur l'ensemble des organisations, créant ainsi un Bouclier canadien contre la fraude.

Intelligence artificielle (IA) et apprentissage automatique

Deuxièmement, l'utilisation de l'IA et de l'apprentissage automatique est tout aussi puissante, si ce n'est plus. Le suivi de milliards de transactions effectuées par des millions de clients nécessite une capacité de traitement des données robuste et implacable, ainsi que la capacité de l'intelligence artificielle à ingérer les données et à en tirer des enseignements en temps réel. L'IA et l'apprentissage automatique sont des outils essentiels pour tirer parti de l'effet de réseau entre les institutions.

Compte tenu de toutes les violations, l'amélioration ou le remplacement des mots de passe par une autre méthode d'authentification ne résoudra pas le problème de fond. Le nœud du problème tient à la détection et au décodage des centaines ou des milliers de points de données qui signalent l'identité de l'utilisateur réel. Une seule organisation aurait du mal à collecter suffisamment de renseignements pour distinguer correctement un utilisateur valide d'un fraudeur à tous les coups.

Si les professionnels de la lutte contre la fraude utilisent depuis longtemps des règles commerciales et des analyses pour identifier les fraudes, le problème se situe au niveau des analyses traditionnelles qui sont limitées du fait qu'elles se concentrent sur des ensembles de données parfois trop restreints.

L'utilisation croisée des données fournies par les IF peut représenter une ressource précieuse pour l'apprentissage automatique. Lorsqu'il s'agit d'apprentissage automatique, la meilleure façon de former des modèles est de recourir à l'apprentissage supervisé, ce qui nécessite des données de haute qualité, idéalement recueillies à partir de sources disparates. L'apprentissage automatique fonctionne mieux lorsque le problème est correctement cerné et que les bonnes caractéristiques sont réunies. En collaborant avec les banques, nous sommes en mesure d'ajouter à nos solutions d'apprentissage automatique leur intelligence humaine et leur expertise, issues de décennies de lutte contre la fraude.

En réalité, les menaces financières qui pèsent sur le monde entier sont de plus en plus sophistiquées, très bien organisées et bénéficient de nombreux soutiens. Des quantités massives de données provenant d'une myriade de sources doivent être analysées pour comprendre le comportement et l'activité des fraudeurs. Les technologies innovantes ont, en grande partie, permis des avancées significatives dans la détection des fraudes. Toutefois, c'est la collaboration entre les personnes, les données et l'apprentissage automatique qui offre la meilleure défense contre les défis multiples, voire maléfiques, qui nous attendent.

La fraude suit l'argent, et lorsque le filon se tarit, les criminels vont voir ailleurs. Nous devons donc travailler plus collectivement pour colmater autant de trous que possible. Pour ce faire, nous disposons de deux outils formidables.

La lutte contre la fraude est difficile. La combattre seul est encore plus difficile. Lorsque vous êtes confronté à ce groupe, pourquoi faire cavalier seul?