Passer au contenu

Des PDG et des directeurs financiers, piégés par… des macros Word

Un groupe de pirates a pris en ligne de mire des entreprises cotées américaines pour leur subtiliser des informations financières confidentielles. Les techniques utilisées sont étonnamment simples.

En matière de piratage, ce n’est pas forcément la technologie la plus sophistiquée qui est la plus efficace. Prenez les macros Word en Visual Basic, par exemple. Elles sont utilisées par les pirates depuis la nuit des temps. Aujourd’hui encore, elles permettent d’attaquer des utilisateurs, et pas n’importe lesquels.

Ainsi, les chercheurs en sécurité de la société FireEye viennent de détecter aux Etats-Unis un groupe de cybermalfrats baptisé FIN4, qui vole des données financières et qui utilise ce type de technologie pour prendre en chasse du gros gibier: des PDG, des directeurs financiers et des consultants en stratégie. Que des cadres de haut vol que l’on pourrait croire particulièrement bien protégés au niveau sécurité informatique. Eh bien non !

Techniquement, la manière d’opérer des pirates est simple : ils envoient un email à leur cible avec un document Word piégé. Lorsque l’utilisateur ouvre le document, une macro VBA s’exécute et demande à l’utilisateur de se connecter à Office.com, sous prétexte que la session de connexion a expiré. Et hop, le login et le mot de passe sont aspirés par un serveur pirate. Simple comme bonjour.

Là où les pirates sont particulièrement efficaces, c’est au niveau de l’ingénierie sociale. Les cibles sont soigneusement sélectionnées, les faux emails et les documents piégés sont parfaitement rédigés, en utilisant le jargon financier adéquat. Les pirates sont également très au courant des relations qu’entretiennent ces personnes. Visiblement intéressés par une opération de vente-acquisition précise, ils ont attaqué cinq entreprises en même temps, les sachant impliquées dans cette affaire. Autre tactique intéressante : grâce à l’accès au compte mail, les pirates ont pu programmer un filtre qui effaçait automatiquement tout message faisant référence à une cyberattaque, avec des mots-clés tels que « virus », «phishing », « malware », etc. Avertir les victimes devenait ainsi plus compliqué.

D’après FireEye, plus d’une centaine d’entreprises ont ainsi été attaquées par FIN4. Elles sont presque toutes cotées au NYSE ou au NASDAQ, et la plupart d’entre elles sont spécialisées dans le domaine de la santé, des biotechnologies ou de la pharmacie. Ce n’est pas un hasard, car le but de ces pirates est visiblement de dénicher des informations sur des évènements qui vont avoir un effet sur le cours de l’action : une acquisition, la mise sur le marché d’un nouveau produit, les résultats d’un test en laboratoire, etc. Il est probable que ces informations subtilisées sont ensuite vendues à d’autres qui vont procéder à des achats ou des ventes de titres.

Pour se protéger contre ce  type d’attaques, ce n’est pas compliqué. Il suffit de bannir l’utilisation de macros Word et de mettre en place une authentification à deux facteurs.

Source :

FireEye

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn