Le groupe de BTP a été victime d’une fausse information relayée par plusieurs médias. Faux piratage technique, mais vraie attaque par ingénierie sociale. Un cas d’école qui coûte cher.

Les séries télévisées ne cessent de nous montrer des hackers en capuches bidouiller des lignes de code dans l’ombre de leur sordide repaire. Une dizaine de secondes à taper n’importe quoi et paf, la base du FBI s’ouvre comme par magie.

capture-decran-2016-11-23-a-19-01-55
Le mythe

Il existe pourtant un moyen bien plus simple et efficace de faire tomber une entreprise sans toucher une seule ligne de code. Cela s’appelle l’abus de confiance et ça existe depuis qu’un individu aussi primaire fut-il eu l’idée de convoiter les possessions de son voisin, tout aussi primaire fut-il.

En l’occurrence, l’attaque qui a été menée contre Vinci est à la portée de tout le monde et peut rapporter gros.

L’attaque qui a été menée contre Vinci est à la portée de tout le monde et peut rapporter gros

Il était beau il était chaud, mais il était faux

L’histoire commence un beau mardi 22 novembre lorsque plusieurs rédactions, dont la très influente Bloomberg, reçoivent un communiqué des plus alarmants pour la vitalité du Groupe Vinci : son directeur financier venait d’être licencié après qu’un audit interne a révélé des « transferts irréguliers » s’étalant sur fin 2015 et début 2016. La perte est colossale : 3,5 milliards d’euros. S’en suit une déclaration de Xavier Huillard, PDG du groupe, se disant « très choqué  ».

logo_vinci-svg

Ni une ni deux, les rédactions, et la très influente Bloomberg en premier, s’emparent de l’information. Aux journalistes qui prennent le soin d’appeler l’attaché de presse du groupe dont le numéro figure en bas du mail comme il est d’usage, celui-ci leur confirme la terrible nouvelle. À 16h05, l’information se diffuse, le titre dévisse à près de 19 %. C’est la catastrophe. La cotation du titre doit être suspendue pour éviter la dégringolade.

Le communiqué et l’attaché de presse : du vent

Or, ce communiqué, tout comme l’attaché de presse, n’est rien d’autre que du vent. Les journalistes ont été utilisés par les attaquants comme une bande de billard pour atteindre leur cible, le groupe Vinci. C’est ce qu’on appelle une attaque par réflexion : les journalistes ont été utilisés comme réflecteurs pour atteindre la cible réelle.

Sensibilisation insuffisante

Quelles que soient les motivations du groupe d’attaquants (manipulation du cours de la bourse ou vengeance de zadistes comme un mail de revendication peut le laisser penser, etc.), cette affaire conduit à se poser la question de nos pratiques de protection numérique individuelles.  Car le maillon faible dans cette histoire a été les journalistes. Pas des enquêteurs qui passent les frontières en douce ou subtilisent des secrets d’État, non, de simples journalistes spécialisés qui font autorité dans leur secteur.

Ce sont eux qui ont été ciblés grâce à un faux communiqué conçu dans les règles. C’est pour eux qu’un faux attaché de presse répondait gravement aux questions pressantes. Et ce sont eux qui sont finalement tombés dans le panneau. Mais la vraie cible était Vinci.

hacker-computer
Vilain hacker

Pourquoi tenter de pénétrer les défenses informatiques des rédactions pour publier soi-même de fausses nouvelles quand un coup de fil ou un mail habilement tourné suffit à ouvrir toutes les portes ?

Pourtant, des indices sont là pour qui prend un peu de temps pour les repérer :

  1. L’adresse mail du communiqué est « contact.abonnement@vinci.group ». Or, les adresses mails de Vinci sont @vincigroup.com.
  2. Si le nom de l’attaché de presse indiqué dans le mail est le bon, le numéro est faux.

Dans les deux cas, l’importance de l’information qu’on a devant les yeux (3,5 milliards de perte pour ce géant du BTP !) doit conduire à se méfier par principe de sa véracité.

Techniquement, les entêtes du mail que nous a fournis la rédaction de Batiactu ne révèlent pas grand-chose, mais un rapide coup d’œil sur le Whois indique que le nom de domaine vinci.group a été déposé le 7 novembre 2016 par un certain Thomas Moulaert prétendant résider à Roermond aux Pays-Bas (dont l’identité a très bien pu être usurpée). Le site web est en réalité un clone du site officiel

capture-decran-2016-11-23-a-19-11-25

Pour le téléphone de l’attaché de presse, eh bien, une information d’une telle importance ne se vérifie qu’auprès des contacts reconnus. En l’occurrence sur la page des contacts presse du Groupe Vinci ou son propre carnet d’adresses, plus difficiles à falsifier.

Technique lucrative

Si l’ingénierie sociale s’est bornée à faire vaciller le cours du titre dans le cas de Vinci, elle permet bien d’autres exploits. Le Ministère des Finances s’est ainsi fait massivement pirater en 2011 après qu’une opération d’ingénierie sociale bien menée ait permis aux pirates d’adresser un mail spécialement conçu pour une personne bien précise au sein du ministère. S’en est suivi un siphonage de documents relatifs au G20 sur pas moins de 150 postes.

Parler des grands qui tremblent fait oublier les petits qui meurent. En septembre 2015, la responsable administrative et financière de la société BRM, située à Bressuire, reçoit des mails semblant provenir de son dirigeant et lui indiquant de se mettre en contact avec un cabinet juridique en prévision du rachat d’un concurrent. De fil en aiguille, la confiance s’établit et sept virements d’un montant total de 1,6 millions d’euros vont totalement siphonner les comptes de l’entreprise. C’est la liquidation judiciaire et la fin de l’aventure pour 41 salariés.

bercy-1900

Ces histoires illustrent bien les problèmes contemporains liés à la sécurité numérique. Alors que la perte financière lié aux problèmes de sécurité se montaient à 46 milliards d’euros en France en 2013 selon  leConseil national du numérique, la manipulation est d’autant plus aisée qu’elle cible des personnes sous pression et qui ne se sentent pas toujours concernées par les enjeux de sécurité.

De fait, les individus ciblés par les attaquants sont rarement les cibles directes. Ces personnes peuvent être vous ou moi selon que nous nous retrouvons à un moment donné le maillon faible.

Ces histoires illustrent bien les problèmes contemporains liés à la sécurité numérique

Partager sur les réseaux sociaux

Articles liés