Arnaque par e-mail chez Invest Nova Scotia : le ministère de la Justice intervient
Invest Nova Scotia (Invest NS), l'agence de développement économique de la province, a été la cible d'une attaque par hameçonnage visant la boîte e-mail d'un employé. La brèche de sécurité, passée inaperçue pendant deux semaines, a permis à un escroc de détourner 573 000 $ en se faisant passer pour la société de capital-risque Sandpiper Ventures.
Cette arnaque par e-mail sophistiquée a débuté le 16 mai, lorsqu'Invest NS a reçu une demande de paiement d'un partenaire dans le cadre d'une transaction d'investissement de routine en cours. Six jours plus tard, le 22 mai, un nouvel e-mail semblant provenir du même contact a été reçu, mais avec de nouvelles instructions bancaires pour un compte à la Banque Royale du Canada (RBC).
Un piratage bien orchestré
L'authenticité de ce changement a été renforcée par un e-mail de suivi, qui semblait provenir d'une autre personne de contact au sein de l'organisation partenaire. Invest NS a donc procédé au virement des fonds, environ 573 000 $, le 23 mai vers le compte RBC indiqué.
Ce n'est que deux semaines plus tard, le 6 juin, qu'Invest NS a découvert que les fonds avaient été détournés, suite à une cyberattaque ciblée ayant permis d'accéder au compte e-mail d'un employé. D'après une enquête menée par un expert en criminalistique numérique, l'attaquant aurait utilisé un VPN basé à Moscou pour infiltrer la boîte mail plusieurs jours avant le transfert.
Un escroc au nom légèrement modifié
Après avoir consulté un échange d'e-mails discutant de la demande de versement, le cybercriminel a usurpé l'identité de deux dirigeants de Sandpiper Ventures en utilisant une adresse e-mail avec un nom de domaine "@sandplper", où le "i" de Sandpiper était remplacé par un "l". Il a ainsi pu convaincre l'employé ciblé de changer les coordonnées bancaires.
La réponse d'Invest Nova Scotia
Invest NS affirme avoir pris des mesures immédiates pour contenir l'accès non autorisé une fois celui-ci découvert. Le compte e-mail en question a été désactivé, les mots de passe de tous les employés ont été réinitialisés et les serveurs ont été verrouillés pour refuser les connexions depuis des juridictions jugées à haut risque.
Nous avons déposé une requête auprès du tribunal dans le cadre d'un processus civil visant à récupérer auprès de la RBC les fonds transférés à la suite de cette fraude.
— Un porte-parole d'Invest Nova Scotia
L'agence collabore avec le ministère de la Justice et a entamé des démarches judiciaires pour tenter de recouvrer l'argent. La police régionale d'Halifax a aussi ouvert une enquête. RBC a confirmé le 10 juin qu'elle détenait la "majorité des fonds" et a gelé le compte concerné.
Un coup dur pour l'écosystème des startups
Cet incident met en lumière les risques croissants liés à la cybercriminalité pour les entreprises et organisations gérant d'importants flux financiers, notamment dans le secteur du capital-risque. En 2021, l'un des prédécesseurs d'Invest NS avait investi 5 millions de dollars dans le premier fonds de Sandpiper Ventures, dédié au financement de startups dirigées par des femmes.
Il souligne aussi l'importance pour toutes les parties prenantes, des startups aux investisseurs en passant par les pouvoirs publics, de renforcer leur vigilance et leurs protocoles de sécurité face aux menaces grandissantes dans le cyberespace. Car derrière l'innovation et les promesses de la tech, la confiance et la sécurité des transactions demeurent des piliers essentiels sur lesquels bâtir l'économie numérique de demain.