DRH, méfiez-vous des CV proposés via Dropbox
Méfiez-vous des CV – Depuis plusieurs jours, des Directeurs de Service des Ressources Humaines sont visés par des courriels malveillants. Derrière les faux CV, des ransomwares. Le pirate prend la main sur les données qui ont été chiffrés. Les DHR doivent payer pour récupérer les informations prises en otage… ou pas !
On a beau en parler en long et en travers, l’autisme intellectuel d’un grand nombre de professionnels fait peur à regarder. Contrer une attaque ransomware est pourtant facile. Aussi simple que 1 + 1 font 2. Seulement, la précipitation, la fausse sensation de sécurité « Nous avons un firewall » ; « Nous avons un antivirus » ; « Pourquoi les pirates nous viseraient-ils ? » font que depuis janvier, les ransomwares ont fait de gros, très gros dégâts dans les entreprises et les collectivités françaises (petites ou grandes). A mon niveau, depuis le 1er janvier 2016, pas moins de 5 000 cas référencés. Des Centres hospitaliers, des rédactions de presse dont l’AFP, des mairies (et entités territoriales). Depuis quelques jours, les DRH, les Directeurs de Service des Ressources Humaines, sont visés par des courriels malveillants. L’idée est simple, et très efficace. Même méthode que l’attaque au nom d’avocats parisiens que je vous révélais fin février et début mars.
Le piege du mail de l'avocat semble avoir fait beaucoup de victimes. A mon niveau, 96 cas. #ransomware https://t.co/2Bos4Pw8sM @zataz
— Damien Bancal (@Damien_Bancal) March 3, 2016
Pour les DRH, même finalité. Chiffrer les données des victimes. Pour retrouver ses dossiers, le DRH (ou son entreprise) va devoir payer ou ressortir les sauvegardes. Parmi les « attaquants », le ransomware Petya. Le courriel ne transporte pas de pièce jointe (.zip, .doc, .exl, .pdf…). Il est proposé un lien qui dirige vers l’espace de stockage Dropbox. Attention, le lien Dropbox n’est pas affiché. Les pirates exploitent des sites Internet piratés pour orchestrer des redirections vers le fichier sauvegardé sur Dropbox.
« Le fait que Petya soit distribué par Dropbox est très intéressant pour les cybercriminels car cela leur permet de se débarrasser d’une pièce jointe au mail » confirme Florian Coulmier, Responsable production et cybercriminalité de Vade Retro Technology. L’ensemble des messages de prévention passés jusqu’à maintenant mettent l’accent sur l’attention à porter avant d’ouvrir une pièce jointe et non sur le fait que les pirates trouvent des techniques de plus en plus ingénieuses pour déjouer les solutions de sécurité.
Méfiez-vous des CV
D’autre part, parce que l’absence de pièce jointe permet de déjouer la plupart des mécanismes de sécurité intégrés dans les solutions de protection de messagerie. Dans le cas de Petya, les techniques d’analyse de pièce jointe de type sandboxing sont en effet mises à rude épreuve. Avec un mail envoyé depuis un réseau de botnet (des ordinateurs piratés et exploités par des pirates pour diffuser, entre autre, des courriels piégés), il est plus judicieux de se baser sur des critères heuristiques pour décider de le bloquer.
Enfin, le fait d’utiliser un lien dropbox est très judicieux car le domaine est considéré « de confiance ». Le mail paraît alors tout à fait légitime dans son contenu. Il n’y a véritablement que les entêtes qui permettent d’identifier la supercherie. Or ces entêtes sont invisibles pour l’utilisateur. Jusqu’à présent, la mode était aux fausses factures à payer. Cette technique a perdu en efficacité, les pirates se font donc dorénavant passer pour un avocat ou un demandeur d’emploi. La technique de la fausse candidature est excellente. Quoi de plus normal que de recevoir un mail avec un document word, pdf en pièce jointe à l’occasion d’une candidature spontanée, ou un CV à télécharger via un lien ? De plus, les adresses mails qui permettent de postuler dans une entreprise sont souvent disponibles publiquement sur son site web et diffusées à de nombreuses personnes en interne. Bref, méfiez-vous des CV ? Non ! Se méfier du courriel envoyé par un inconnu ? Oui.
Vous comprenez aussi pourquoi je ne cesse de dire que les CV, et leur stockage, sont aussi importants à sécuriser qu’une « simple » carte bancaire. Retrouvez dans mon article de février 2016 « Les meilleurs outils pour se protéger des ransomwares existent-ils ? » des méthodes logiciels pour éviter de finir piégé.
Une équipe dédiée chez DropBox
DropBox, pas le biais de son service communication, m’a indiqué que l’entreprise prenait « tout signalement d’utilisation abusive de la plateforme Dropbox très au sérieux« . Une équipe dédiée travaille en continu pour surveiller et prévenir tout usage frauduleux du service cloud Dropbox. « Bien que ces attaques ne soient pas liées à une faille de sécurité de Dropbox, une enquête est en cours et des procédures ont été mises en place pour faire cesser ces activités illégales de manière proactive, dès leur apparition« .