DRH, méfiez-vous des CV proposés via Dropbox

Méfiez-vous des CV – Depuis plusieurs jours, des Directeurs de Service des Ressources Humaines sont visés par des courriels malveillants. Derrière les faux CV, des ransomwares. Le pirate prend la main sur les données qui ont été chiffrés. Les DHR doivent payer pour récupérer les informations prises en otage… ou pas !

On a beau en parler en long et en travers, l’autisme intellectuel d’un grand nombre de professionnels fait peur à regarder. Contrer une attaque ransomware est pourtant facile. Aussi simple que 1 + 1 font 2. Seulement, la précipitation, la fausse sensation de sécurité « Nous avons un firewall » ; « Nous avons un antivirus » ; « Pourquoi les pirates nous viseraient-ils ? » font que depuis janvier, les ransomwares ont fait de gros, très gros dégâts dans les entreprises et les collectivités françaises (petites ou grandes). A mon niveau, depuis le 1er janvier 2016, pas moins de 5 000 cas référencés. Des Centres hospitaliers, des rédactions de presse dont l’AFP, des mairies (et entités territoriales). Depuis quelques jours, les DRH, les Directeurs de Service des Ressources Humaines, sont visés par des courriels malveillants. L’idée est simple, et très efficace. Même méthode que l’attaque au nom d’avocats parisiens que je vous révélais fin février et début mars.

Pour les DRH, même finalité. Chiffrer les données des victimes. Pour retrouver ses dossiers, le DRH (ou son entreprise) va devoir payer ou ressortir les sauvegardes. Parmi les « attaquants », le ransomware Petya. Le courriel ne transporte pas de pièce jointe (.zip, .doc, .exl, .pdf…). Il est proposé un lien qui dirige vers l’espace de stockage Dropbox. Attention, le lien Dropbox n’est pas affiché. Les pirates exploitent des sites Internet piratés pour orchestrer des redirections vers le fichier sauvegardé sur Dropbox.

« Le fait que Petya soit distribué par Dropbox est très intéressant pour les cybercriminels car cela leur permet de se débarrasser d’une pièce jointe au mail » confirme Florian Coulmier, Responsable production et cybercriminalité de Vade Retro Technology. L’ensemble des messages de prévention passés jusqu’à maintenant mettent l’accent sur l’attention à porter avant d’ouvrir une pièce jointe et non sur le fait que les pirates trouvent des techniques de plus en plus ingénieuses pour déjouer les solutions de sécurité.

Méfiez-vous des CV

D’autre part, parce que l’absence de pièce jointe permet de déjouer la plupart des mécanismes de sécurité intégrés dans les solutions de protection de messagerie. Dans le cas de Petya, les techniques d’analyse de pièce jointe de type sandboxing sont en effet mises à rude épreuve. Avec un mail envoyé depuis un réseau de botnet (des ordinateurs piratés et exploités par des pirates pour diffuser, entre autre, des courriels piégés), il est plus judicieux de se baser sur des critères heuristiques pour décider de le bloquer.

Enfin, le fait d’utiliser un lien dropbox est très judicieux car le domaine est considéré « de confiance ». Le mail paraît alors tout à fait légitime dans son contenu. Il n’y a véritablement que les entêtes qui permettent d’identifier la supercherie. Or ces entêtes sont invisibles pour l’utilisateur. Jusqu’à présent, la mode était aux fausses factures à payer. Cette technique a perdu en efficacité, les pirates se font donc dorénavant passer pour un avocat ou un demandeur d’emploi. La technique de la fausse candidature est excellente. Quoi de plus normal que de recevoir un mail avec un document word, pdf en pièce jointe à l’occasion d’une candidature spontanée, ou un CV à télécharger via un lien ? De plus, les adresses mails qui permettent de postuler dans une entreprise sont souvent disponibles publiquement sur son site web et diffusées à de nombreuses personnes en interne. Bref,  méfiez-vous des CV ? Non ! Se méfier du courriel envoyé par un inconnu ? Oui.

Vous comprenez aussi pourquoi je ne cesse de dire que les CV, et leur stockage, sont aussi importants à sécuriser qu’une « simple » carte bancaire. Retrouvez dans mon article de février 2016 « Les meilleurs outils pour se protéger des ransomwares existent-ils ? » des méthodes logiciels pour éviter de finir piégé.

Une équipe dédiée chez DropBox

DropBox, pas le biais de son service communication, m’a indiqué que l’entreprise prenait « tout signalement d’utilisation abusive de la plateforme Dropbox très au sérieux« . Une équipe dédiée travaille en continu pour surveiller et prévenir tout usage frauduleux du service cloud Dropbox. « Bien que ces attaques ne soient pas liées à une faille de sécurité de Dropbox, une enquête est en cours et des procédures ont été mises en place pour faire cesser ces activités illégales de manière proactive, dès leur apparition« .

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.