Vinci victime d’une arnaque bien organisée

Cela rappelle la fraude au président. Une fraude qui consiste à tromper un employé en lui faisant croire que sa direction lui demande de procéder urgemment à un virement en s’appuyant sur un e-mail usurpant l’identité du vrai patron (ou d’un cadre dirigeant), le tout en le doublant d’un appel téléphonique pour insister sur l’urgence de la situation.

Hier, Vinci a fait les frais d’une arnaque relevant de la même logique, habilement construite, mais visant en premier lieu la presse, utilisée comme une caisse de résonnance.

A 16h05, quelqu’un se faisant passer pour un membre du service de communication du groupe Vinci a envoyé à plusieurs rédactions, dont celle du MagIT, un prétendu communiqué faisait état d’irrégularités comptables pour un montant total de 3,5 milliards d'euros entre 2015 et 2016.

Rapidement reprise, la fausse information a provoqué une chute brutale de l’action du groupe, à hauteur de 18 %. Mais à 16h30, un autre faux communiqué est venu démentir le premier, dénonçant « une grave tentative de désinformation à caractère diffamatoire » basée sur « des informations ayant fui de nos bureaux ».

Les deux courriels s’appuyaient sur des noms de domaine déposés chez OVH - en mai dernier pour le second (vinci-group.com) et chez Gandi mi-novembre pour le premier (vinci.group).

Le premier e-mail comprenait en outre un lien renvoyant, selon nos confrères de BFM TV, vers « une copie du site officiel du groupe, une sorte de site miroir qui reprend les codes du vrai site Internet de Vinci ».

Les deux e-mails mentionnent par ailleurs des numéros de téléphone mobile qui, lorsqu’on les appelle, aboutissent à des répondeurs prétendant qu’il s’agit du service communication du groupe.

Nos confrères font état d’une revendication reçue par courriel qui laisse imaginer une opération relevant de l’activisme : un lien y est fait avec le projet d’aéroport de Notre Dame-des-Landes, mais également avec les activités de Vinci au Quatar ou encore en Russie.

Nous avons pu consulter le contenu de cet e-mail de revendication, mais pas ses entêtes. Le faux communiqué initial et le faux démenti apparaissent tous deux avoir été envoyés à partir de l’accès à Internet d’un abonné Orange dans la région d’Angers. Reste à savoir si son équipement informatique n’a pas été piraté.

De manière quelque peu abusive, un porte-parole de Vinci a indiqué à l’AFP que le groupe avait été « hacké ». Le gendarme de la bourse, l’AMF, a de son côté indiqué surveiller la situation, « se réservant le droit d’étendre ses investigations » en fonction des premiers éléments recueillis.

Le cours de l'action Vinci s’est depuis repris.

Cette arnaque soulève de nombreuses questions, principalement sur la vigilance de nos confrères ayant repris le faux communiqué initial, et plus généralement sur celle de tout un chacun face au courrier électronique.

L’avocat Alexandre Archambault souligne ainsi sur Twitter que « tout analyste ou journaliste [financier] est pourtant censé savoir qu’une société cotée ne communique pas en bourse ouverte ». Pas tendre, Stéphane Bortzmeyer semble estimer que les journalistes concernés n’ont pas fait leur travail de vérification des informations.

Certes, la prétendue information était d’une ampleur suffisante pour inciter à passer un coup de fil à l’attaché de presse. Mais là aussi, tout était en place pour piéger les journalistes, et tomber sur un répondeur dans une telle situation n’a pas grand-chose de surprenant.

Des indices comme les noms de domaine utilisés auraient pu mettre la puce à l’oreille - assurément pour une personne traitant régulièrement avec Vinci, probablement moins pour quelqu’un d’autre. Si le piège de l'hameçonnage fonctionne toujours aussi bien, ce n’est pas parce que les victimes sont idiotes, mais parce que les cybercriminels sont de plus en plus rusés et méticuleux.

Et vérifier les détails d’un nom de domaine à l’aide d’un whois ou inspecter les entêtes de message pour chercher des éléments suspects n’est pas un réflexe pour tout le monde.

Rappelons que des mécanismes comme s/mime permettent d’ajouter une couche de certification de l’identité de l’expéditeur d’un message. Chez Wavestone, Gérôme Billois explique l’utiliser pour échanger sur des sujets sensibles avec certains clients, profitant de ses capacités de chiffrement du contenu des messages. S’il assure que « ce n’est pas très compliqué à mettre en place » – s/mime nécessite une infrastructure de PKI –, il relève que cela n’offre pas une garantie absolue : « quelqu’un pourrait fabriquer un faux certificat », même auto-signé, et de là détourner le dispositif pour augmenter ses chances de duper sa cible.