Dans la peau d’une infiltration informatique

Caché dans un dossier de votre serveur, un pirate informatique commence à mettre en place une attaque numérique à l’encontre de vos employés.

Voici, par l’exemple, comment les employés de la Banque Populaire auraient pu se faire piéger à partir d’un site web d’un des syndicats de l’entreprise bancaire. L’ensemble des faits évoqués dans cet article sont vrais, sauf l’attaque à l’encontre des employés… enfin, nous l’espérons.

Jeudi 7 août, la rédaction de zataz.com apprenait que plusieurs sites Internet Français étaient tombés sous les coups numériques d’un pirate prénommé xConsole. Au tableau de chasse de ce présumé algérien, des espaces tels que celui appartenant à l’aviation civile (www.dac-s.aviation-civile.gouv.fr) ; au commissariat à l’égalité du territoire (http://territoires2040.datar.gouv.fr) ; à la paroisse catholique de Versailles ou encore au site Internet du syndicat CGT de la Banque Populaire. Notre cas d’école va se pencher sur cette dernière attaque.

L’infiltration

Dans le piratage ayant visé le site cgt-banquepopulaire.fr, pas de grand dégât, sauf peut-être, pour l’amour propre du concepteur du site Internet. Le pirate xConsole ne s’est contenté que d’afficher une image et quelques salutations pour des potes 2.0.

Imaginons, maintenant, un pirate informatique aux intentions largement moins avouables. Ce dernier souhaite infiltrer la Banque Populaire, les machines des employés (au bureau ou à au domicile, NDLR). Son idée, tout savoir sur le système interne de la Banque, pour viser l’argent et le moyen de le détourner. Je vois déjà les RSSI de l’institution financière faire des bons de 15 mètres expliquant que cela n’est pas possible.

Imaginons que notre pirate professionnel se soit penché sur les sections « intéressantes » du site de la CGT Banque Populaire : « contactez les élus« , en modifiant les adresses mails personnelles proposées. Les employés ayant besoin de communiquer avec le syndicat tomberait dans le piège monté par l’espion. Lentement, surement, une fois dans la place, l’espionnage et l’infiltration feront leurs petits bonhommes de chemin.

Imaginez, de vrais/faux documents numériques signés CGT Banque Populaire. Comme par exemple ce PDF du 27 mai 2014 concernant une déclaration d’après l’Assemblée Générale de l’IPBP. Notre pirate espion aurait pu le modifier, en y incluant un code malveillant. Un logiciel espion directement dans l’ordinateur des employés lecteurs. Sans parler de la modification de l’adresse mail « officielle » du syndicat : [email protected]. Bref, de quoi remplir les dossiers des pirates escrocs adeptes de l’escroquerie au Président (Faux ordres de virement).

Bref, les syndiqués (ou non, NDLR) de la CGT Banque Populaire ont-ils été infiltrés ? ou le site n’a-t-il été que  barbouillé ?

Mise à jour

A noter que l'équipe sécurité informatique de la banque a été très rapide à réagir en contactant la rédaction afin de corriger la faille, et les modifications faites par le barbouilleur.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. BoraBora Reply

    Je pense que cet article sors un peut de nul part et n’as pas vraiment de sens.
    Je suis zataz depuis longtemps, et ce genre d’article,je n’en vois pas l’utilitée.
    Pourquoi parler d’infiltration, d’éspionnage,de pièges ?
    Un pirate comme xConsole , ne fait que « planter son drapeau » sans jamais causer aucun dégât sur les sites.
    Je l’ai vu sur vôtre propre site, il a piraté plus d’un site et jamais aucun ne s’est plein d’une fuite de base de donnée, vol de donnée, »espionnage », etc. de sa part.
    Si vous voulez vous inventer des films( pardonnez moi de mon langage) faite le sur un russe qui pirate des données bancaire pour les voler, et non sur un defaceur qui semble faire ça seulement comme un défi personnel.
    Un pirate qui veut voler, infiltrer,faire des fuite de base de données, etc , ne montrera pas une deface en grand sur le site, mais le fera discretement sans se faire remarquer. Et ça, pas besoin d’être informaticien pour le deviner.
    Voilà, c’était mon avis personnel.

    Michel C.

    • Damien Bancal Reply

      Bonjour Michel,
      Le sujet n’est pas là. Il concerne les entreprises qui ne contrôlent pas l’ensemble des sites web gravitant autour d’elles: du CE en passant par les syndicats. L’article est un exemple de ce que pourrait faire un pirate « espion » à partir d’une faille toute bête. Une attaque de type « l’escroquerie au Président » via un portail satellite. Une infiltration afin de se rapprocher des employés et d’informations sensibles que pourrait convoiter le pirate « espion ». Cette banque a eu, entre guillemet, de la chance de ne tomber que sur xConsole. Je vous invite à lire notre reportage sur le Social Engineering et les arnaques « l’escroquerie au Président » pour mieux comprendre.

  2. Pingback: ZATAZ Magazine » Le Social Engineering : quand le pirate ne compte que sur la ruse

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.