Tech&Co
Cybersécurité

Comment les pirates nous manipulent pour arriver à leurs fins

-

- - -

Depuis des années, les techniques de manipulation font partie de l'arsenal des pirates informatiques, exploitant sans limites nos biais cognitifs et nos failles psychologiques. L'épisode Vinci n'en est qu'un dernier exemple. Petite revue de quelques attaques emblématiques.

Les hackers et pirates peu scrupuleux ont plus d'un tour dans leur sac pour arriver à leurs fins. Si Kevin Mitnick s'est depuis longtemps rangé des voitures, les méthodes qu'il a contribué à rendre célèbres et qu'on regroupe sous l'appellation "social engineering" sont loin d'être mortes.
Cette ingénierie sociale, qui s'apparente beaucoup à de la manipulation psychologique matinée d'un culot extraordinaire, est toujours aussi dévastatrice et efficace pour accéder à des informations a priori très bien gardées. Jugez plutôt.

Vinci, la plongée en bourse

Révélée hier, 23 novembre, l'attaque qui a visé le groupe Vinci a été soigneusement préparée. Les hackers ont d'abord créé une copie parfaite du site de Vinci sous des noms de domaine similaires, en occurrence vinci.group et vinci-group.com. Ils ont créé un faux communiqué financier extrêmement alarmant, qu'ils ont mis en ligne et transmis aux agences de presse. Ce communiqué renvoyait vers le nom d'un véritable attaché de presse, mais associé à un faux email et un faux numéro de téléphone. Une personne était même préposée pour répondre aux éventuels demandes d'information. Les médias n'y ont vu que du feu, alors que "le style du message était un peu maladroit", estime François Nogaret, associé expert en cybersécurité chez Mazars, une société d’audit, d’expertise et de conseil, en ajoutant: "Un véritable communiqué financier n'aurait vraisemblablement pas présenté les choses de cette manière". L'information a fait le tour du web et Vinci a vu son cours de bourse dégringoler de 18 %. "Les journalistes auraient dû mieux vérifier ces informations, soit en passant par le site web institutionnel, soit en utilisant leurs propres contacts", souligne Daniel Fages, directeur technique chez Stormshield, une filiale spécialisée en sécurité informatique d'Airbus Defence and Space.

The Fappening, les célébrités mises à nues

En août 2014, des centaines de photos intimes de personnalités célèbres apparaissent sur la Toile. L'affaire met en lumière tout un trafic sous-terrain de photos de célébrités et affaiblit l'image d'Apple, car les images provenaient entre autres de comptes iCloud.
Le FBI arrive finalement à mettre la main sur l'auteur de ce vol de données qui, en mars 2016, plaide coupable devant un tribunal de Los Angeles. Son mode opératoire était assez basique. Il a envoyé à ses victimes des emails qui semblaient provenir d'Apple ou Google, les alertant sur un éventuel piratage de leurs comptes. Les utilisateurs étaient alors invités à renseigner leurs identifiants, ce qu'ils ont fait. Le pirate pouvait ensuite télécharger en toute tranquillité les images stockées dans le cloud. La morale de l'histoire: ne jamais donner des identifiants à la suite d'un email et désactiver si possible le stockage automatique dans le cloud des photos prises avec le smartphone. Surtout si ces photos sont très intimes.

Carbanak, les braqueurs de banque high-tech

En février 2015, les chercheurs en sécurité de Kaspersky Labs braquent les projecteurs sur un groupe de pirates baptisé Carbanak qui ont réussi à voler plus d'un milliard de dollars dans plus d'une centaine de banques. Comment?
En réalisant des transactions frauduleuses directement depuis le système informatique des établissements. Pour accéder au réseau interne, les pirates ont utilisé une méthode ultra-classique: l'email piégé. Le corps du message faisait référence à une invitation, à une demande client, à une réglementation financière, etc.
Les messages comportaient une pièce jointe piégée, généralement un fichier Word ou une archive auto-exécutable. Si le destinataire cliquait dessus, son poste était infecté par une porte dérobée. Depuis ce poste, les pirates ont alors navigué vers les ordinateurs des employés responsables des ordres de transferts. Comme quoi, il ne faut jamais ouvrir une pièce jointe envoyée par une personne que l'on ne connaît pas.

L'OM et Michelin, victime de fraude aux faux virements

En 2014, le fabricant de pneumatique Michelin s'est fait dérober 1,6 million d'euros par un individu qui s'est fait passer pour le directeur financier d'un fournisseur. Il a appelé Michelin pour leur indiquer d'envoyer les paiements sur un autre compte bancaire. Il était parfaitement au courant des procédures et a directement pris contact avec la personne en charge du dossier. La même année, l'Olympique de Marseille se fait détrousser par un franco-israélien qui s'est fait passer pour l'agent sportif de Meissa N'Diaye. Il a réussi à convaincre le club de foot qu'il fallait renvoyer la somme correspondant au transfert du joueur – 756.000 euros – en raison d'un compte bancaire erroné.

Mais ces deux entreprises ne sont que la partie émergée de l'iceberg. Depuis 2010, plusieurs centaines de faits ont été répertoriés par l'Office central de répression de la grande délinquance financière (OCRGDF) pour un préjudice global de 485 millions d'euros. En cinq ans, 2.300 plaintes ont été déposés dans l'Hexagone.

Ulcan, l'arnaque mortelle

En 2014, l'hacktiviste franco-israélien Gregory Chelli alias "Ulcan" fait du canular par téléphone une arme mortelle. Voulant se venger du journaliste Benoît Le Corre, qui a publié une enquête sur lui, il s'en prend à ses parents. Il les appelle en se faisant passer pour un policier et leur fait croire que leur fils est mort.
Deux jours plus tard, il appelle le commissariat de Dammarie-Les-Lys et se fait passer pour le père du journaliste, expliquant avoir tué sa femme et son fils.
Résultat: des policiers armés débarquent en pleine nuit chez le couple. Quelques jours plus tard, le père de Benoît Le Corre fait un infarctus qui le plonge dans le coma. Il meurt deux mois tard.
En juin 2015, un rapport d'expertise médical établit un lien direct entre le harcèlement d'Ulcan et la mort du père. L'hacktiviste, lui, s'est depuis réfugié en Israël.