Les pirates utilisent le téléphone : non mais allô quoi!

Les pirates deviennent de plus en plus audacieux. Le dernier raffinement en matière d’ingénierie sociale vient d’être détecté par Symantec et le CERT ukrainien : il touche surtout les grands comptes français.

La méthode employée est simple : un courriel pointant vers un malware stocké sur un service de partage en ligne est envoyé à un des salariés d’un grand groupe. Sont visés en priorité secrétaires et assistants, car ils se trouvent à des positions stratégiques du SI, mais aussi parce que cela facilite la suite de l’opération, comme vous allez le constater.

En effet, quelques minutes plus tard, la personne destinataire du mail reçoit un appel du pirate, lequel, dans un français irréprochable, se fait passer pour un exécutif de la société et demande à sa victime de traiter le document le plus rapidement possible (il lui est également possible d’appeler avant l’envoi du document, soit dit en passant).

La suite est classique : le fichier contient un cheval de Troie permettant au pirate de pénétrer le SI de l’entreprise pour accomplir son forfait.

Une attaque difficile à parer

Certains argueront qu’il faut être quelque peu naïf pour se laisser prendre au piège. Mais la méthode se révèle en fait pleine d’astuce.

Le pirate se fait tout d’abord passer pour un membre de la société. Il lui suffit pour cela d’avoir une idée de l’organigramme de l’entreprise, puis d’usurper une identité. Au sein de grands comptes, cela n’est même pas nécessaire, la probabilité que la victime connaisse l’ensemble du personnel dirigeant étant très faible.

Dans de plus petites sociétés, un couac dans le choix de l’identité à usurper étant possible, il est possible de se faire passer pour une personne tierce, par exemple le cabinet comptable de l’entreprise, même si la sauce aura alors peut-être plus de mal à prendre.

Lors de son appel, le pirate ne cherche pas à soustraire des informations à sa victime. Il se borne à insister sur l’urgence de traiter le mail qu’il vient de lui transmettre. Mail qui existe bien d’ailleurs, renforçant par la même la crédibilité de l’ensemble de la démarche.

Et c’est là que cette technique d’ingénierie sociale montre toute sa force : l’appel ne lèvera aucun soupçon de danger. C’est l’action demandée au sein de la conversation qui mènera au piratage de la machine. Voilà qui lèvera beaucoup moins de soupçons qu’un mail en provenance d’un soi-disant banquier ivoirien.

Une attaque sophistiquée

L’affaire Francophoned, comme l’a appelé l’éditeur, s’appuie sur trois éléments :

• Des connaissances de base sur la victime : nom, prénom, adresse email, ligne directe, organigramme de sa société. Des informations aisées à trouver sur la toile.
• Une personne disposant d’un téléphone situé de préférence en France (ou dont l’appel est relayé via un numéro français) et s’exprimant parfaitement dans la langue de Molière.
• Un classique système d’attaque : le “trojan” (créé éventuellement avec des outils clés en main) et un réseau de machines de type Command & Control (C&C) pour finaliser l’attaque.

Symantec a remonté l’infrastructure de l’attaquant : les serveurs sont situés en Ukraine, mais leur pilotage s’effectue à distance, les données transitant par l’Israël. Ceci ne veut pas dire que le pirate habite ce pays, mais juste qu’il a été impossible de le suivre au-delà. De fait, il utilise une carte d’accès Internet mobile prépayée, ce qui dans la pratique le rend totalement anonyme.

Plusieurs sociétés françaises auraient été touchées. Plus de détails sur l’affaire Francophoned se trouvent sur le blogue de Symantec.

Crédit photo : © Heike Brauer – shutterstock

Voir aussi
Quiz Silicon.fr – Crimes et châtiments sur Internet