Faux recruteurs, investisseurs, belles femmes… LinkedIn est devenu le terrain de jeu favori des cyberespions
Il y a quelques années, alors qu’il termine son stage auprès d’un député membre de la commission des affaires économiques, un étudiant en master spécialisé en sécurité et défense reçoit un message troublant via LinkedIn. L'expéditeur lui propose de "rédiger des notes de synthèse et des recommandations sur la vie économique et la politique commerciale française contre rémunération et pour des entreprises chinoises", raconte celui qui est désormais communiquant et souhaite rester anonyme. "Il était basé à Hong Kong. On a discuté en français. J'ai toutefois rapidement eu des doutes sur son intention. J'ai donc appelé un de mes professeurs qui avait travaillé dans un service de renseignement. Il m'a mis en garde et m'a conseillé d'arrêter immédiatement de discuter avec lui, ce que j'ai fait". Pour l'enseignant, cela ne faisait aucun doute : il s'agissait d'un espion chinois. Ce témoignage s'inscrit dans une tendance de mieux en mieux identifiée, notamment par la Direction générale de la sécurité intérieure : les réseaux sociaux professionnels, et donc LinkedIn, sont de plus en plus utilisés à des fins d'espionnage économique.
Etats, concurrents, mercenaires : les commanditaires de l’espionnage
Ces faux comptes LinkedIn sont créés par "des personnes mandatées par des Etats ou par des concurrents aux organisations ciblées. Ces personnes peuvent être des mercenaires comme on en trouve beaucoup dans la barbouzerie. Dans ce cas, cela permet au concurrent de cacher que c'est lui qui a commandité l'action si elle est révélée. Ces pratiques font partie du monde de l'espionnage économique", précise Alban Ondrejeck, cofondateur d'Anozr Way, une entreprise spécialisée en Osint. "Quand cet espionnage provient d'Etats, il est surtout commandité par la Chine et la Russie qui sont maîtres en la matière".
Quant aux informations recherchées par ces cyber-espions, "il s'agit généralement de la structuration interne de l'organisation ciblée, son organigramme, et le montant de son chiffre d'affaires. Cela permet de connaître la force de frappe d'un concurrent. Cela peut aussi concerner des projets industriels, des appels d'offres…", précise Alexis Pinon, directeur des investigations digitales chez Forward Global, un grand groupe français d'intelligence économique.
Faux recruteurs et investisseurs : l’illusion LinkedIn
"Pour l'espionnage économique, l'intérêt d'utiliser les réseaux sociaux est de crédibiliser l'approche. La personne contactée doit être certaine qu'elle révèle des informations à un compte légitime. Or LinkedIn apporte de la crédibilité au faux compte professionnel de l'espion. La cible se dit qu'une prise de contact via LinkedIn est nécessairement professionnelle. Elle fait donc facilement confiance", estime Marc Béhar, PDG de XMCO, un cabinet de conseil en cybersécurité. Pour approcher leurs cibles à travers LinkedIn, les cyberespions utilisent essentiellement des comptes de "faux chasseurs de tête ou d'investisseurs : c'est la grande tendance du moment", affirme Alexis Pinon.
"Il existe beaucoup de personnes qui se font chasser via LinkedIn. Le faux chasseur de tête leur fait miroiter un poste mieux rémunéré, plus avantageux, etc. Puis, très rapidement, il leur pose un tas de questions, leur demande ce qu'ils font dans leur entreprise, le nombre de personnes qu'ils managent, les projets sur lesquels ils travaillent…". Les réponses peuvent être hautement préjudiciables pour l'organisation ciblée. "Le cas d'un responsable de la sécurité des systèmes d'information victime de telles pratiques nous a été remonté. Ciblé par un faux recruteur, il s'est épanché sur son entreprise en expliquant qu'elle ne comprenait rien à la cybersécurité. Pour le prouver, il a évoqué un accès que l'entreprise ne sécurisait pas. Il a donc transmis l'existence d'une vulnérabilité au faux recruteur", ajoute Alban Ondrejeck. Cette stratégie d'approche est très utilisée dans le domaine de la fintech, selon une ancienne cadre-dirigeante de ce milieu : "Quand je cherchais un nouveau travail dans ce milieu très compétitif, beaucoup de comptes me demandaient des informations, ne me rappelaient jamais et disparaissaient comme par hasard de LinkedIn ensuite."
Quant à l'approche du faux investisseur, le cofondateur d'Anozr Way observe qu'elle est privilégiée auprès de start-up qui cherchent à lever des fonds. Cette stratégie est efficace pour récolter le maximum de données sur l'organisation visée. Et pour cause : "Avant de promettre un investissement, il est légitime de demander tout un tas d'informations sur l'entreprise, mais aussi des documents, des contrats, etc.", précise Alexis Pinon.
L'égo, le maillon faible
D'autres stratégies d'approches existent. Parfois, le faux compte LinkedIn n'est pas celui d'un prétendu recruteur mais, au contraire, celui d'un espion qui se fait passer pour un demandeur d'emploi, affirme Martin Kraemer, conseiller du RSSI de KnowBe4, une entreprise américaine spécialisée dans la sensibilisation à la cybersécurité. L'espion récolte ainsi de précieuses informations sur l'organisation qu'il cible. Des comptes LinkedIn de fausses femmes de militaires ont même été signalés à Anozr Way. Ils visent à approcher d'autres femmes de militaires, "en jouant sur la compassion et la confiance", pour extraire des informations sur les opérations extérieures dans lesquelles sont impliqués leurs maris.
Toutefois, si ce sont les stratégies des faux chasseurs de tête et investisseurs qui sont privilégiées, c'est parce qu'elles exploitent des techniques d'ingénierie sociale très puissantes pour récolter un maximum d'informations. "Celui qui est approché par ce genre de faux compte se fait mousser, met de l'égo dans ses réponses, se met en avant en parlant des projets qu'il pilote. Il bombe le torse. C'est donc du pain béni pour l'attaquant", observe Alexis Pinon. "L'attaquant exploite aussi l'envie de la cible de partager ses connaissances avec d'autres personnes qui travaillent dans son domaine", explique Alban Ondrejeck. Enfin, il arrive que l'attaquant utilise la stratégie de "l'exploitation du biais de la belle blonde, typiquement masculin. C'est ainsi qu'un compte avec la photo d'une jolie femme est progressivement parvenu à intégrer dans son réseau tout le cercle de confiance d'une entreprise stratégique de la défense".