Pour infiltrer la Défense américaine, les hackers recourent à du phishing sur les réseaux sociaux. La technique, jugée plus efficace que par mail, permet notamment de cibler des employés (ou leurs proches) du Pentagone grâce à des liens piégés en rapport avec leurs centres d'intérêt.

Si le public peut désormais se prévaloir d’une certaine connaissance des attaques de phishing, au vu des campagnes particulièrement médiatisées récemment, ces tentatives d’infiltration à distance grâce à un lien piégé prennent aujourd’hui des formes nouvelles. Les hackers privilégient en effet dans certains cas les réseaux sociaux au traditionnel mail trompeur, comme le révèle le New York Times,

Les employés du département de la Défense américain font de plus en plus souvent l’objet d’attaques sur Twitter ou Facebook, deux plateformes idéales pour les hackers puisque la vigilance y est plus relâchée qu’à la consultation de ses mails, où toute pièce jointe peut paraître suspecte.

Ces pirates redoublent aussi d’astuce en s’attaquant aux proches de leur véritable cible, encore moins soupçonneux. Un fonctionnaire du Pentagone a ainsi témoigné anonymement auprès du New York Times s’être fait piéger par le biais du compte Twitter de sa femme. Celle-ci, qui préparait ses congés d’été en famille — comme en attestaient ses échanges publics avec des amis –, a cliqué sans se méfier sur le lien d’un tweet ciblé vers une offre de vacances alléchante. Sans se douter qu’elle permettait ainsi aux hackers d’infiltrer son ordinateur puis, grâce au réseau familial, celui de son mari et donc, au final, le réseau de la Défense.

Pentagone
Le Pentagone — CC David B. Gleason

10 000 comptes Twitter de la Défense ciblés

Selon le quotidien américain, les cadres du Pentagone s’inquiètent particulièrement ce phénomène, d’autant qu’il serait entrepris par des hackers à la solde d’un gouvernement. Et, comme souvent, la Russie fait office de suspect idéal, surtout après les accusations d’ingérence dans les campagnes électorales américaine puis française.

Un rapport des services de contre-espionnage américains publié en mars 2017 et relayé par le Time ce mois-ci révèle ainsi que des hackers russes ont visé, en février, plus de 10 000 comptes Twitter appartenant au personnel de la Défense. Pour s’assurer de parvenir à leurs fins, ils avaient personnalisé au maximum ces liens piégés selon les intérêts de chaque cible : un employé particulièrement féru de cinéma — d’après ses abonnements et ses « j’aime » Twitter ou grâce à ses abonnements publics ou couvertures Facebook  — se voyait ainsi visé par un lien en rapport avec les Oscars.

Les amateurs de sport ou d’une équipe en particulier, eux, faisaient l’objet d’un tweet en rapport avec ce sujet tandis que les mélomanes étaient contactés à propos de prétendues places de concert.

twitter iphone mockup

Le risque parallèle d’un détournement de la parole

Une fois cliqué, le lien télécharge un logiciel sur un serveur russe qui permet au hacker de prendre le contrôle de l’appareil (qu’il s’agisse d’un smartphone ou d’un ordinateur) et du compte Twitter. Ce qui ouvre la porte à un autre danger, outre l’infiltration sur les serveurs de la Défense : la réutilisation de ces comptes d’employés pour propager des fausses informations en leur nom et ainsi manipuler l’opinion publique. « Ces technologies permettent de discréditer un gouvernement démocratique, et cela devient de plus en plus facile chaque jour » s’alarme Rand Waltzman, à la tête de la Rand Corporation, une organisation à but non lucratif spécialisée dans la recherche politique.

D’autant que le faux sentiment de sécurité procuré par les réseaux sociaux accroît le risque de se laisser piéger, surtout si le lien est relayé par un contact déjà hacké, ce qui provoque une propagation virale du phishing… notamment au sein du réseau d’employés de la Défense qui se suivent mutuellement sur Twitter.

D’après une étude menée par Verizon, « seulement » 30 % des mails de phishing sont ouverts par leur cible. Un chiffre qui grimpe à 66 % sur les réseaux sociaux selon l’entreprise de cybersécurité Zerofox.

Une technique en plein essor

Les entreprises de sécurité informatique confirment que la méthode connaît une expansion récemment. « On en entend beaucoup moins parler [que le phishing par mail], mais le problème est généralisé » indique Jay Kaplan, responsable de l’entreprise de cybersécurité Synack et ancien expert en cybersécurité au sein de la NSA.

Il ajoute : « Les réseaux sociaux offrent à l’attaquant un nombre d’indicateurs […] dont il ne dispose pas par mail. Au-delà du recours au phishing par mail pour accéder à un réseau, les pirates peuvent utiliser un compte [Twitter ou Facebook] pour collecter des informations. La plupart des gens ne réfléchissent pas à deux fois avant de poster sur les réseaux sociaux. Ils ne pensent pas aux gens qui utilisent ces informations à des fins malveillantes contre eux ».

Si le département de la Défense n’a pas donné suite aux sollicitations du New York Times, Twitter a pour sa part rappelé les règles de la plateforme la matière, qui prévoit une suspension de ce genre de comptes. Facebook s’est montré plus précis, indiquant qu’il était au courant de ces dérives et surveillait de près les tentatives d’hameçonnage. La plateforme recourt notamment à des notifications dédiées, des systèmes de détection et une sensibilisation de ses utilisateurs pour pallier ce problème.

À lire sur Numerama : Formez-vous à la cybersécurité avec ce cours en ligne de l’Anssi

Partager sur les réseaux sociaux