Cybersécurité: Spear Phishing couvert par la police d’assurance où le code manipulé

25 juillet 2017

Écrit par Martin P.J. Kratz, QC

De plus en plus, les assurés confrontés à des pertes de cyberfraude s’adressent aux tribunaux pour interpréter leurs polices.  Dans The Brick Warehouse LP c. Chubb, Compagnie d’Assurance du Canada, 2017 ABQB 413 [The Brick Warehouse], et dans Taylor &Lieberman c. Federal Insurance Company, 2017 WL 929211 (9 mars 2017, 9th Cir.) [Taylor et Lieberman], des courriels frauduleux, dans le cadre d’une attaque d’ingénierie sociale, ont été envoyés à des employés de l’entreprise qui ont agi sur eux en transférant de l’argent du compte de l’assuré. Dans les deux cas, les tribunaux ont statué que la couverture en vertu de la politique de fraude par transfert de fonds avait été refusée parce que la victime connaissait ou consentait aux instructions données à sa banque plutôt que par le biais d’instructions de tiers se faisant passer pour l’assuré qui aurait été couvert par la police.

Dans l’affaire Medidata Solutions, Inc. v. Federal Insurance Co., 15-CV-907 (ALC) (21 juillet 2017, U.S.C. S.D. New York) [Medidata] nous voyons un tribunal évaluer la couverture en vertu d’une police d’assurance contre la criminalité. Dans ce genre de cas, les faits sont importants ainsi qu’un bon avertissement de la sophistication croissante du comportement cybercriminel.

Medidata a utilisé le service Gmail de Google pour ses e-mails. Dans le cadre de ce service, les serveurs de Google comparent les adresses e-mail entrantes avec les profils d’employés Medidata et lorsqu’une correspondance est trouvée, Gmail affiche le nom, l’adresse e-mail et l’image de l’expéditeur dans le champ « de » de l’e-mail. 

Medidata envisageait une éventuelle acquisition et a demandé à son équipe financière « d’être prête à aider à des transactions importantes sur une base urgente ». L’employé des comptes fournisseurs a reçu un courriel prétendument du président de Medidata. Ce message comprenait le nom, l’adresse e-mail et la photo du président dans le champ « de ». Le message informait l’employé qu’il était sur le point de conclure une acquisition, que l’affaire était strictement confidentielle et qu’un avocat communiquerait avec l’employé dont l’employé devrait suivre les instructions.

Ce jour-là, une personne prétendant être l’avocat a appelé l’employé et a demandé à l’employé de traiter un virement télégraphique pour lui. En raison de contraintes de temps, l'« avocat » a informé l’employé qu’une vérification physique ne suffirait pas. L’employée a indiqué qu’elle aurait besoin d’un courriel du président de Medidata pour autoriser le virement bancaire ainsi que des approbations du vice-président de Medidata et du directeur des revenus.

Le prétendu président de Medidata a envoyé un message à l’employé, au vice-président de Medidata et au directeur des revenus en conseillant : « Je suis actuellement en train de subir une opération financière dans laquelle j’ai besoin que vous traitiez et approuviez un paiement en mon nom. » Comme auparavant, le message incluait le nom, l’adresse e-mail et la photo du président dans le champ « de ». En réponse, l’employé s’est connecté au système en ligne de la banque Medidata et a lancé le virement bancaire. Le vice-président et le directeur des recettes se sont également connectés au système bancaire et ont autorisé le transfert. Un total de 4 770 226 $ a été transféré au compte fourni par l'« avocat ».

Plus tard, l'« avocat » a communiqué avec l’employé et lui a demandé un deuxième virement télégraphique. L’employé a initié le transfert et le vice-président l’a approuvé, mais le directeur du revenu a estimé que le champ « réponse à » semblait suspect. En réponse, l’employé a contacté le vrai président de Medidata pour s’enquérriser des virements télégraphiques pour être informé qu’aucun transfert de ce type n’avait été demandé.

Medidata a contacté le FBI et l’avocat externe et l’enquête qui en a résulté a révélé qu’un criminel avait modifié les e-mails pour apparaître qu’ils provenaient du président de Medidata.

Medidata a fait une réclamation en vertu de sa police d’assurance qui comprenait une « section de couverture de la criminalité » qui traitait des pertes causées par diverses actions criminelles, y compris la couverture de fraude informatique et la couverture de fraude par transfert de fonds. 

La police d’assurance définissait la « fraude informatique » comme « [l]a prise illégale ou le transfert frauduleux d’argent, de titres ou de biens résultant d’une violation informatique ».  La « violation informatique » a été définie comme étant à la fois « la fraude: (a) la saisie de données dans ... a Systèmes informatiques; [et] (b) changement aux éléments de données ou à la logique de programme d’un système informatique, qui est conservé dans un format lisible par machine ... dirigé contre une organisation ».

La politique « Fraude par transfert de fonds par un tiers » comportait le libellé suivant :

« La fraude par transfert de fonds signifie que le frauduleux ... électronique... des instructions données à une institution financière lui enjoignant de transférer, de payer ou de livrer de l’argent ou des titres à partir de tout compte tenu par un assuré de cette institution à l’insu de l’assuré ou sans son consentement.

Comme dans The Brick Warehouse et Taylor & Lieberman, l’assuré a rejeté la réclamation car il n’y avait pas eu de « saisie frauduleuse de données dans le système informatique de Medidata ».

La Cour de district de New York a examiné une affaire de la Cour d’appel de New York, Universal Am. Corp. v. National Union Fire Ins. Co. of Pittsburgh, PA, 2015 N.Y. Slip. Op. 05516 (25 juin 2015) [Universal] qui avait rejeté une réclamation pour fraude faite par des réclamations frauduleuses saisies par des utilisateurs autorisés du système informatique. Dans l’affaire Universal, cette Cour a déclaré que la politique « s’applique sans ambiguïté aux pertes subies en raison d’un accès non autorisé au système informatique d’Universal, et non aux pertes résultant de contenu frauduleux soumis au système informatique par des utilisateurs autorisés ». Ils ont soutenu que l’assurance couvrait les pertes résultant d’une entrée ou d’un changement malhonnête de données ou du programme, telles que le piratage, mais pas les pertes résultant des données elles-mêmes qui, bien que frauduleuses, ont été saisies par des utilisateurs autorisés.

Le tribunal de Medidata a distingué la décision Universal et a noté que le vol s’est produit à l’aide de courriels usurpés et a noté qu’il existe de nombreuses méthodes qu’un criminel peut utiliser et que pirater un système informatique (une attaque technique) n’était que l’une d’entre elles. Dans le cas présent, le message manipulé avait codé Gmail trompé en remplissant les messages envoyés avec les informations du président Medidata. Ainsi, le tribunal de Medidata a interprété la décision d’Universal comme « trouvant une couverture pour la fraude lorsque l’auteur viole l’intégrité d’un système informatique par le biais d’un accès non autorisé et refusant la couverture pour la fraude causée par la soumission de données frauduleuses par des utilisateurs autorisés ».

L’assuré a également soulevé la décision dans Apache Corp. c. Great Western Insurance Co., 662 F.App’x 252 (5th Cir. 2016) [Apache]. Dans Apache, la fraude a été obtenue grâce à une chaîne d’événements trouble et l’assuré a été trompé en envoyant des paiements à des criminels qui étaient pour un fournisseur. La fraude a été induite dans Apache par un effort concerté d’appels téléphoniques, de courriels usurpés et de documents falsifiés.  Le cinquième circuit a conclu que la couverture de la fraude informatique ne s’appliquait pas puisque « le transfert frauduleux était le résultat d’autres événements et non directement par l’utilisation d’un ordinateur ».

L’assuré a également soulevé la décision dans l’affaire Taylor & Lieberman où le simple envoi de courriels ne constituait pas une entrée non autorisée dans le système informatique de l’assuré.

Le tribunal de Medidata a distingué Apache et Taylor & Lieberman concluant que dans la présente affaire, les courriels usurpés avaient du code intégré. Par conséquent, le tribunal a conclu que Medidata avait démontré que ses pertes étaient le résultat direct d’une violation informatique et qu’elle pouvait déposer une réclamation en vertu de la politique sur la fraude informatique.

En ce qui concerne la politique de fraude par transfert de fonds, le tribunal de Medidata a distingué les décisions antérieures en trouvant la façon dont les criminels utilisaient le code informatique dans le message pour se masquer « en tant que représentant autorisé et ont ordonné à l’employé des comptes fournisseurs de Medidata d’initier le virement bancaire électronique ». Par conséquent, la couverture a été démontrée en vertu de cette police.

La nuance dans l’affaire Medidata est que les criminels ont intégré le code informatique qui a trompé le système Gmail de Google et Gmail a été utilisé comme système de messagerie de l’assuré. Cette différence factuelle par rapport aux cas précédents où l’ingénierie sociale a été utilisée pour tromper un utilisateur autorisé à effectuer un transfert erroné mais autorisé était suffisante pour que le tribunal de Medidata trouve une couverture. 

La décision Medidata et les résultats très différents dans des cas tels que Apache, The Brick Warehouse et Taylor & Lieberman montrent que l’on doit travailler en étroite collaboration avec un courtier d’assurance pour obtenir une couverture de police spécifique pour différents types d’attaque.  Est-il temps de revoir votre politique?


Traduction alimentée par l’IA.

Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.

Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.