Prise à son propre jeu par des hackers pernicieux depuis quelques jours, la plateforme cybermalveillance.gouv.fr est victime d’une usurpation d’identité. Des messages d'agents fictifs ont inondé les boîtes mails des Français en redirigeant vers un faux site cybermalveillance. Une vague de messages d’hameçonnage qui rappelle le danger qui plane sur les entreprises en matière de cybermenace : le salarié est la première faille de sécurité. Passage au scanner des techniques des hackers avec Achraf Hamid, Data Scientist chez Mailinblack.
Aie confiance…
À la façon du serpent Kaa dans Le Livre de la Jungle, la recette classique pour le hacker consiste d’abord à créer un climat de confiance pour abaisser la garde de sa victime. Logos officiels, design soigné, l’illusion est souvent parfaite jusqu’aux petites lignes en bas de page – que personne ne prend jamais le temps de lire – mais qui apportent du crédit à la fraude. Dans le cas de l’usurpation de l’identité de la plateforme cybermalveillance.gouv.fr, les pirates s’appuient même ironiquement sur une référence gouvernementale crédible qui vient en aide aux particuliers et aux entreprises. « Pour renforcer la tromperie, l’objet du mail reçu par la victime comporte souvent « TR » ou « RE » alors même que ce ne sont ni des transferts ni des réponses. Cette méthode vise à induire les destinataires en erreur en exploitant un biais de confirmation et pour donner l’illusion d’une continuité dans la communication », explique l'expert de Mailinblack.
L’email spoofing
Les attaquants combinent souvent plusieurs techniques pour renforcer la crédibilité de leur arnaque. En plus de l’usurpation d’identité de Cybermalveillance, les escrocs ont eu recours à de l’email spoofing, très utilisé dans le spam et le phishing. Le principe consiste à falsifier les en-têtes d’emails pour faire croire qu’ils ont été envoyés par des entités fiables, comme des établissements publics ou des mairies. À moins de rentrer soi-même dans le détail des adresses suspectes – avec une suite de caractères illisibles mairie+_redir+O98jU99Q9Ukj@ et info+_redir+O98jU99Q9Ukj@ – le logiciel client ne peut pas déterminer si l’adresse est légitime et falsifié, donc il l’attribue par défaut à une personne ou une entité.
Des attaques précisément ciblées
Afin de ratisser large, la majorité des tentatives d’hameçonnage par mail ciblent des boîtes de messagerie génériques fonctionnelles ou de contact. Les adresses couramment visées suivent des modèles comme direction@, contact@, info@ ou encore @secrétariat. Stratégiquement, les pirates vont lancer leurs attaques le matin au moment où les activités professionnelles débutent. Selon Achraf Hamid de Mailinblack, 35 % de ces cyberattaques sont lancées entre 8 heures et 10 heures, au moment où chacun consulte ses mails, ce qui augmente statistiquement la probabilité de réponse rapide. Un autre pic d'activité est observé à 15 heures, logiquement après la pause déjeuner et représente 25 % des attaques. Les envois restants sont dispersés tout au long de la journée, avec des activités notables même à des heures tardives comme 22 heures et 2 heures du matin.
Pour le dispositif gouvernemental, cette vague d’attaques par mail est surtout l’occasion de rappeler quelques bonnes pratiques en cas de tentative d’hameçonnage : ne pas communiquer d’informations sensibles par messagerie ou téléphone, vérifier la vraisemblance des liens et l’adresse exacte du site dans le navigateur et contacter l’organisme concerné en cas de doute.