médias français

Plusieurs médias Français face à des phishing très ciblés

Depuis plusieurs semaines, un mystérieux pirate vise les médias français et plus précisément les chaînes de télévision et leurs partenaires. Simple phishing ou préparation d’une attaque informatique d’envergure ?

Tout commence par un courriel ! Simple, efficace, aux couleurs de la société Harmonic Inc. Harmonic Inc. est une société américaine, spécialisée dans le routage, les serveurs et le stockage vidéo à destination des entreprises qui produisent, traitent et distribuent du contenu vidéo, que ce soit pour la télévision et Internet.

A noter que d’autres courriels malveillants, aux couleurs de plusieurs autres professionnels de ce secteur, ont été diffusés : Dalet, VideoMenthe … Cette dernière est une entreprise française. Elle propose une plateforme collaborative de workflow média (serveurs, cloud, IA, transcodage, sous-titres …)

Bref, des entités qui travaillent avec la majeure partie des chaînes de télévision.

Phishing ciblé à l’encontre des médias français = efficacité ?

Quel est donc l’intérêt du pirate ? Parmi les cibles, TF1, France Télévision, ARTE. Je vous en parlais d’ailleurs très brièvement, en février, sur Twitter et Linkedin.

Pour réussir sa cyberattaque, le pirate a d’abord dû collecter des adresses mails très ciblées, d’employés de chez Harmonic, VideoMenthe, TF1, LCI, Arte, FTV … Pas si simple que ça à collecter.

Cela démontre une motivation hors norme de l’assaillant. Nous ne sommes clairement pas dans un hameçonnage de masse dont les cibles sont inconnues du pirate.

Ensuite, les pages phishing elles-mêmes. J’ai pu en constater deux. Il y en a peut-être beaucoup plus. La première usurpe la plateforme Office 365 de Microsoft. La seconde, Adobe Document Cloud. Deux kits achetés dans un espace du black market du nom de Boomerang [capture en haut de cette page]. Les kits sont commercialisés 20 dollars pièce. Ils sont très efficaces.

Par exemple, dans le cas de Office 360, si vous proposiez un faux identifiant (mail ou téléphone) dans la page phishing, cette dernière vous précise que vous n’avez pas de compte officiel sur la plateforme de Microsoft. De quoi faire tomber quelques réticences chez l’internaute hameçonné. Le phishing est capable de confirmer votre présence dans le site usurpé !

Son nom est James !

Dans son phishing, le pirate a aussi enregistré des noms de domaine. Des .cf (Centre Afrique). Heureusement, il n’a pas eu l’idée d’une usurpation plus fine. Pour le cas de la société Harmonicinc.com, un harmonicinc.co aurait été dès plus efficace. A noter que le domaine harmonicinc.co existe ! Je vous explique le danger du suffixe Colombien pour les sites en .COM dans un article dédié.

« Heureusement », le pirate a fait des erreurs. Erreurs volontaires ? Ce n’est pas impossible non plus !

Je ne vous expliquerais pas comment, mais j’ai pu accéder au code source de la page pirate. Dans les habituels codes d’interceptions, deux adresses mails ayant pour mission de réceptionner les données : jamestanner229* et jsm63*. Pour la petite histoire, James Stanner est un chef cuisinier britannique, vedette de la télévision locale.

Toujours dans le code source, mais cette fois, il suffit de récupérer le phishing vendu sur Boomerang, un lien renvoyant sur un fichier texte sauvegardé dans chaque phishing. Un document permettant de collecter des données hameçonnées.

James (il s’agit ici bien évidement d’un pseudonyme) m’a permis de constater la réussite de son attaque. 69 personnes ont répondu à l’un des courriel. Comprenez qu’il a pu collecter le mot de passe des accès Office 360/Adobe Cloud d’employés.

Sachant qu’il y a eu plusieurs vagues de phishing, difficile de connaître le nombre exact de personnes piégées.

Médias français : opération « Enormous » 2.0 ?

Quel est donc l’intérêt final de cette tentative d’infiltration pirate ? La mise en place d’une fraude au faux virement à grande échelle visant l’ensemble de ces entités télévisuelles ?

Politique ? Avec les échéances électorales à venir, une ambition de malmener des vidéos, reportages, réseaux sociaux … ?

Espionnage ? Connaitre les sujets en cours de réalisation ? Il faut dire aussi que des reportages comme celui diffusés, par exemple sur ARTE, sur l’histoire du KGB/FSB « Le sabre et le bouclier » [excellent] pourraient en énerver plus d’un du côté du Kremlin.

Les chaînes de télévision impactées ont été promptes à agir. Tf1, d’ailleurs, avait déjà alerté ses salariés en février 2019.

https://twitter.com/Damien_Bancal/status/1098264758434840577

Des RSSI de medias français au taquet face à des assaillants de plus en plus pointus. Les souvenirs du « piratage » de TV5 monde est encore dans certains esprits.

Pour conclure, un phishing très ciblé, dont les ambitions cachées restent encore à découvrir. Et je doute que cela soit pour regarder les anciens épisodes du Capitaine Marleau.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Guy Reply

    Office 360 ou 365 ?
    Faute de frappe je suppose ou Microsoft a créé un nouvel outil ?
    🙂

  2. BobyboB Reply

    Bonjour,
    J imagine que ces médias Français utilisent le MFA et que leurs sont cryptés?

  3. Pingback: ZATAZ Prise de compte, comptes d'entreprise Office 365 attaqués : astuces pour s’en protéger - ZATAZ

  4. Pingback: ZATAZ Cyberattaque à l'encontre de M6 ! 3 759 possibilités découvertes ! - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.