Comment des hackers ont usurpé l'identité d'une organisation gouvernementale française

Une campagne d'hameçonnage usurpant l'identité de l'organisation gouvernementale Cybermalveillance est en cours. Décryptage des techniques utilisées par les hackeurs et de l'importance de la formation

Une nouvelle campagne d'hameçonnage a débuté le 1er juillet dernier. Prenant pour cible des utilisateurs de messagerie électronique, la stratégie mise en place par les hackeurs est astucieuse : usurper l'identité de Cybermalveillance, une organisation gouvernementale dont la mission est de sensibiliser et d'informer les citoyens, entreprises et collectivités sur les risques cyber.

Une attaque de grande ampleur à quelques jours des JO

À l’approche des Jeux Olympiques de Paris 2024 et des départs en congés, la fréquence des cyberattaques s’intensifie alors que la vigilance des collaborateurs diminue. Et les hackeurs le savent bien. Leurs emails, dont l’objet s’intitule "Programme de soutien aux victimes de fraude", reprennent des logos officiels et offrent un programme alléchant, et surtout mensonger, de remboursement aux victimes présumées d'arnaque.

L’entreprise Mailinblack, éditeur de solutions de cybersécurité, a révélé que 160 entreprises parmi ses clients ont déjà été visées par cette attaque. Si les emails frauduleux ont été interceptés par les outils Mailinblack, cette campagne d'hameçonnage met en évidence la nécessité de sécuriser les messageries électroniques, qu’elles soient professionnelles ou personnelles. Ne pas les protéger, c’est risquer de voir les données des organisations, mais également celles de leurs collaborateurs, clients et partenaires, être dérobées et utilisées à mauvais escient.

Les subterfuges utilisés par ces cyberattaquants

Les hackeurs ont tout d’abord choisi d’usurper l’identité d’une structure de confiance, et non des moindres, pour mettre en confiance leurs victimes. L’objet de l’email trompeur, auquel est ajouté des "TR" ou "RE", induisent les destinataires en erreur en exploitant le biais de confirmation, donnant l'illusion d'une continuité de l’échange.

Les attaquants ont également combiné des adresses électroniques de Cybermalveillance à une falsification des en-têtes d’emails afin que les messages paraissent comme ayant été envoyés par une structure crédible et vérifiée. Ces techniques sont souvent utilisées dans le cas d’usurpation d’établissements publics et de collectivités territoriales.

Enfin, les hackeurs ciblent des horaires spécifiques pour la diffusion de leurs attaques. D’après Mailinblack, 35 % d’entre elles ont été diffusées le matin, entre 8h et 10h, créneau pendant lequel les activités professionnelles débutent, augmentant la possibilité d’une preste réponse. 25 % des attaques sont observées à 15h, et le reste des envois est dispersé tout au long de la journée et de la nuit.

La clé d’une défense efficace : sensibiliser et former 

Selon une étude d'IBM, l’erreur humaine est impliquée dans plus de 90 % des incidents de sécurité (clic sur un lien de phishing, consultation d'un site Web suspect, activation de virus, etc.). Malgré ce chiffre sans appel, encore trop peu d’organisations forment les collaborateurs aux risques cyber. Une enquête menée par l’IPSOS indique que 62 % des employés français n’ont jamais reçu de formation à la cybersécurité.

Les technologies de protection des systèmes d’informations ne peuvent à elles seules garantir une défense impénétrable. Le facteur humain étant la première vulnérabilité des organisations, celles-ci doivent mettre en place une formation régulière, personnalisée et continue. 

“L'apprentissage est une expérience. Tout le reste n'est qu'information”, disait Albert Einstein. Pour maintenir la vigilance accrue et les connaissances solides des collaborateurs, la formation cyber doit être accompagnée de mise en pratique via, par exemple, des simulations d’attaques inopinées. Elles permettent de vérifier les aptitudes des collaborateurs en condition réelle et de poursuivre leur montée en compétences.