Méthodes raffinées d’ingénierie sociale et attaques de phishing ajustées à la Suisse – dix-neuvième rapport semestriel de MELANI
Berne, 23.10.2014 - Les faits saillants du premier semestre 2014 ont été une série d’attaques sophistiquées, recourant aux méthodes d’ingénierie sociale (social engineering) pour s’introduire dans des entreprises, des attaques de phishing ajustées à la Suisse ainsi que la faille de sécurité «Heartbleed» d’un logiciel de cryptage. Ces incidents et d’autres encore sont au cœur du 19e rapport semestriel publié aujourd’hui par la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI.
A l’aide des méthodes d’ingénierie sociale, les pirates gagnent la confiance de leurs victimes, grâce aux informations qu’ils se sont préalablement procurées. Ils les poussent alors à commettre des actes irréfléchis, aux conséquences coûteuses.
Ingénierie sociale: des méthodes toujours plus raffinées
Durant le 1er semestre 2014, des cyberescrocs s’en sont pris à des entreprises suisses, en recourant à des méthodes d’ingénierie sociale. De longues recherches, basées notamment sur les médias sociaux, leur avaient servi à recueillir des informations sur des cadres d’entreprises. Les pirates se sont ensuite fait passer pour les cadres en question et ont prié le service de la comptabilité de virer une grosse somme à une certaine adresse, en soulignant qu’il s’agissait d’une opération ultraconfidentielle. Dans un cas, le paiement d’un million de francs a été évité de justesse, un collaborateur de la comptabilité ayant désobéi aux instructions reçues et consulté sa direction.
Attaques de phishing sur mesure
Si des attaques de phishing continuent d’être lancées, notamment pour obtenir les données de cartes de crédit, elles ont gagné en sophistication et sont toujours mieux adaptées aux victimes. A l’instar des courriels frauduleux expédiés depuis plusieurs mois au nom de l’Office fédéral de l’énergie (OFEN). Ces courriels font croire aux destinataires qu’ils ont droit au remboursement de 165 francs et les invitent à indiquer sur une page Web – bien entendu falsifiée – de l’OFEN le numéro de leur carte de crédit et le chiffre de contrôle figurant au verso, ainsi que la date d’expiration.
Quiconque communique par Internet des données sensibles, comme le numéro de sa carte de crédit, devrait le faire uniquement par connexion SSL sécurisée et à des partenaires dignes de confiance.
Heartbleed – faille de sécurité d’un logiciel de cryptage
La faille de sécurité Heartbleed découverte en avril dernier a permis à des escrocs d’intercepter des données sensibles. Selon des estimations, deux tiers des serveurs Web dans le monde utiliseraient la solution de sécurité piratée. Cette vulnérabilité a par conséquent touché, directement ou indirectement, des millions d’internautes un peu partout. La faille Heartbleed permettait d’accéder aux mots de passe, aux numéros de carte de crédit et à bien d’autres informations encore.
L’affaire de la NSA a connu de nouveaux rebondissements au premier semestre 2014. Le nouveau rapport semestriel revient sur les récentes révélations, en examinant les leçons déjà tirées pour mieux préserver dorénavant la sphère privée sur Internet.
Adresse pour l'envoi de questions
Max Klaus, responsable adjoint de MELANI
Unité de pilotage informatique de la Confédération UPIC
tél. 031 323 45 07
max.klaus@isb.admin.ch
Documents
Auteur
Unité de pilotage informatique de la Confédération (nouveau: Transformation numérique et gouvernance de l’informatique)
http://www.upic.admin.ch
Département fédéral de la défense, de la protection de la population et des sports
http://www.vbs.admin.ch
