Alerte au hameçonnage des clients de DocuSign

DocuSign a été victime du piratage d’une liste d’adresses e-mails de clients. Dans une note d’information à ses clients, le spécialiste de la signature électronique explique que la compromission s’arrête là : « aucun nom, adresse physique, mot de passe, numéro de sécurité sociale, données de carte de crédit ou autre information n’a été consulté. Aucun contenu ni document client envoyé via le système eSignature de DocuSign n’a été obtenu ». Et le service « reste sûr » : seule une « liste d’adresses e-mail stockée dans un système distinct, non central et utilisé pour les annonces de service » a été obtenue par les attaquants.

Mais cela ne signifie pas que les clients de DocuSign sont à l’abri de toute menace. Et celui-ci reconnaît en particulier qu’une campagne de hameçonnage ciblé profite des adresses de messagerie électronique compromises. L’Américain fournit d’ailleurs une longue liste d’indicateurs de compromission à l’intention des RSSI de ses clients.

De leur côté, les utilisateurs finaux des services de DocuSign ont tout intérêt à se montrer hautement vigilants, par exemple en allant directement sur leur espace utilisateur en évitant de cliquer sur un lien reçu par e-mail. Comme pour n’importe quelle autre campagne de phishing.

Pour Norman Girard, VP Europe de Varonis, cet incident « montre une fois de plus que ce ne sont pas uniquement les gros poissons qui sont ciblés dans les campagnes de phishing, mais toute personne bénéficiant d’une adresse e-mail ». Pour autant, ceux qui ont recours à des services comme ceux de DocuSign sont potentiellement susceptibles d’accéder à plus d’informations sensibles que d’autres internautes. De quoi en faire des cibles alléchantes.

DocuSign avait racheté, fin 2015 l’activité, Trusted Documents & Transactions – certification de documents et de transactions – du français OpenTrust.