L’ingénierie sociale se renforce d’un cran

Les cybercriminels semblent gagner en agressivité, ajoutant un canal de communication physique à leurs tentatives de tromperie pour pénétrer les systèmes d’information de leurs cibles.
 

Les découvertes faites par Symantec en avril dernier, en France, montrent une escalade dans les stratégies déployées par les cybercriminels pour tromper leurs cibles. Dans un billet de blog, l’éditeur explique ainsi que, «en avril 2013, l’assistante d’un vice-président d’une multinationale française a reçu un e-mail faisant référence à une facture hébergée sur un service de partage de fichiers populaire.» Ce qui ressemble, jusque là, à une tentative de hameçonnage ciblé classique prend ensuite une tournure inédite : «quelques minutes plus tard, la même assistante a reçu un appel téléphonique de la part d’un autre vice-président de l’entreprise lui demandant de traiter ladite facture.» Une personne que Symantec décrit comme «parlant avec autorité et utilisant un français parfait.» De quoi largement tromper l’assistante.
 

Selon Symantec, la facture n’était autre qu’un cheval de Troie chargé de délivrer un outil de prise de contrôle à distance dès son ouverture. Outil permettant d’enregistrer les frappes au clavier, de consulter l’écran, et de ouvrir et télécharger des fichiers.
 

L’éditeur relève qu’il s’agit là de méthodes «inhabituelles.» De fait, les cybercriminels ne sont pas contentés d’envoyer un e-mail, ils ont utilisé un second canal de communication pour renforcer la crédibilité de la missive et s’assurer de son traitement rapide. Symantec y voir le signe «d’une ingénierie sociale agressive.»
 

Ironie de la situation, si l’authentification à deux facteurs - facteur électronique associé à un facteur physique, comme un code numérique unique envoyé par SMS - se répand dans les systèmes d’information, et notamment dans les services ouverts au grand public, les cybercriminels s’en saisissent, à leur tour et à leur manière, pour tromper leurs cibles. Un moyen, relève Symantec, de contourner certaines défenses mises en place les entreprises pour «prévenir les transferts financiers non autorisés.»
 

Nouveau, le phénomène ne serait pas isolé. L’éditeur estime que «plusieurs organisations françaises différentes ont été affectées», majoritairement dans la fabrication, environ un quart dans l’alimentation, et un peu plus d’un dixième dans la logistique et l’ameublement.
 

Symantec relève que ces attaques semblent avoir été lancées depuis Israël, à partir d’un réseau mobile, via des serveurs de commande et de contrôle installés en Ukraine. Le tout en déplacement... Et Symantec de relever que ces «techniques de sécurité opérationnelles rendent l’attaquant particulièrement difficile à tracer», des méthodes qu’il qualifie de «de plus en plus sophistiquées.»
 

L’éditeur se garde toutefois de souligner que, quelles que soient les technologies déployées, des procédures internes ou une sensibilisation des employés les plus critiques au sein de l’entreprise pourraient permettre de limiter le risque. Si l’assistante victime évoquée par Symantec avait été formée à la gestion de tels risques, il est possible qu’elle ait tout d’abord rappelé le prétendu vice-président l’ayant appelée pour se faire confirmer l’information et l’identité de son correspondant. Et qu’en découvrant la supercherie, elle aurait alerté les services de sécurité de l’information de son entreprise.