Projets

La criminalistique pour lutter contre la fraude à La Poste

La Poste a créé un laboratoire au sein duquel des composants (téléphones, ordinateurs…) sont dessoudés et analysés, en respectant la chaîne criminalistique de mise sous scellés et de séquestre. (Photo : DF à l'occasion des Assises de la Sécurité.)

Pour se protéger plus efficacement de l'explosion des attaques et fraudes externes, mais aussi internes, La Poste a intégré des processus issus de la criminalistique et de la police technique et scientifique.

PublicitéDotée d'une direction sécurité globale intégrant la cybersécurité, la Poste a aussi fait le choix de mettre en place une équipe spécialisée en protection de l'information pour aider le personnel en charge des fraudes et des affaires juridiques à mener des investigations numériques légales. Le groupe réalise ainsi de nombreuses enquêtes couplées à de l'Osint (Open source intelligence) grâce à une équipe dédiée de 5 personnes. « Il faut faire parler le numérique et apporter des preuves », a précisé Cyril Tesser, directeur de la protection des informations du groupe La Poste lors d'un atelier aux Assises de la Sécurité 2025.

A cette occasion, trois cas d'usage ont été évoqués. L'un a porté sur les moyens de contrer une attaque de type fraude au président sur un membre du comité exécutif de La Poste contacté sur son téléphone personnel à des fins frauduleuses et d'extorsion de documents d'entreprise. Dans ce cadre, le groupe a recouru à Copilot de Microsoft pour créer de faux documents avec l'objectif de pousser l'attaquant à dévoiler son jeu en piégeant un fichier factice créé par la GenAI pour récupérer une IP. « Nous aurions pu uniquement porter plainte, mais nous voulions savoir ce que le criminel cherchait vraiment », explique Catherine Krzykwa responsable adjointe département investigation numérique de La Poste. Nous l'avons poussé à dire ce qu'il voulait réellement et quel était son objectif. »

L'envoi de stupéfiants par voie postale neutralisé

Et il a été trouvé : il cherchait à obtenir des documents incluant des factures émises par le groupe auprès de petites entreprises en vue de réaliser des opérations de fraude auprès d'elles. Parmi les enseignements de cette opération, la responsable indique que « cela a créé un lien avec le comex permettant de protéger l'empreinte numérique des dirigeants et de surveiller ce que l'on dit sur eux sur Internet ».

Autre cas d'usage d'analyse criminalistique numérique mené dans le cadre de la veille globale de conformité, RH et cybersécurité de l'organisation : identifier et débrancher des sites vendant des stupéfiants dans des colis envoyés en colissimo que les criminels se vantaient de faire parvenir en 48h. Outre l'illégalité du procédé, « il existe aussi un risque pour les collaborateurs avec une possible explosion de fiole de fentanyl dans une enveloppe », insiste Cyril Tesser. Une veille a donc été mise en place sur les plateformes utilisées par des trafiquants pour écouler leurs produits. L'application de messagerie chinoise Potato a particulièrement attiré l'attention en se servant de librairies Telegram et en proposant de nombreux services illégaux, comme les casinos en ligne, la pornographie, les cryptowallets ou l'achat et la vente de stupéfiants.

Du télétravail depuis l'étranger démasqué

Publicité Une analyse Osint a été menée, couplée à de l'investigation pour déterminer l'existence d'un circuit criminel comprenant des personnes surveillées par l'Office anti-cybercriminalité (Ofac) et des tractations illicites en cryptomonnaies. « Cela nous a permis d'identifier les groupes malveillants qui se créaient, de récupérer les liens des sites frauduleux et de faire le nécessaire sur la partie cyber pour bloquer ces listes de domaines ».

Parmi les autres cas d'usage, l'analyse post-mortem de logs d'audit pour lever les doutes du département RH sur la localisation réelle d'un employé pendant ses jours de télétravail. Ce dernier était suspecté de travailler depuis l'étranger et camouflait pour cela sa localisation réelle aux yeux de son employeur. Malgré ses doutes, les traces collectées jusqu'alors par le groupe n'étaient pas suffisamment fiables pour le confirmer. Dans le cadre de son étude, La Poste a procédé à une analyse des outils collaboratifs et de messagerie utilisés (boîtes mail, SharePoint, conversations Teams...) dont les niveaux de classification étaient pour certains dotés d'une couche de chiffrement empêchant d'investiguer plus avant.

Surveiller finement l'activité de logs

« Nous avions besoin de croiser des informations et d'aller le plus loin possible, mais nous n'avions pas la finesse suffisante pour accéder à ces données », poursuit Cyril Tesser. Pour y parvenir, l'organisation a exploité l'expertise forensique et Osint des outils Purvue et Discovery de Microsoft. Ils ont ainsi pu surveiller l'activité de logs et trouver des traces plus fiables pour identifier à 100 % la localisation du salarié. Sans, toutefois, établir dans un premier temps qu'il n'utilisait pas de VPN depuis chez lui, ce dernier a été localisé à Istanbul, en Turquie. « Nous avons travaillé sur les logs row de Teams et montré que la timezone confirmait qu'il n'utilisait pas de VPN et qu'il réalisait bien ses activités depuis l'étranger », explique Catherine Krzykwa. Des preuves qui pourront alors servir lors d'un éventuel conseil de discipline à l'encontre dudit salarié fautif.