Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

PROGRAMME DES GSDAYS 28 JANVIER 2025

    

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Attaques Viamedis et Almerys - décryptage Proofpoint

février 2024 par Proofpoint, Inc.

La société de tiers payant Almerys a été touchée par une importante cyberattaque seulement quelques jours après celle contre Viamedis, dont le site est toujours inaccessible. Ces intrusions coup sur coup dans les systèmes des entreprises expose les données privées — état civil, date de naissance, numéro de sécurité sociale, nom de l’assureur, entre autres — de plus de 20 millions de citoyens, soit 1 français sur 3, et fait donc craindre un risque systémique pour les autres fournisseurs de l’industrie des assurances en France, dont les niveaux de protection cyber restent parfois relativement bas.

Proofpoint rappelle qu’avec de telles données en main, les cybercriminels pourraient désormais procéder à des campagnes d’hameçonnage visant les clients Viamedis et sa société mère, en rédigeant des courriels frauduleux usurpant le nom de domaine de leur mutuelle. Technique éprouvée par les acteurs de la menace, en témoigne l’attaque visant Pôle Emploi l’automne dernier, par le biais de son fournisseur Majorel, entraînant la fuite des données personnelles d’environ 10 millions de demandeurs d’emploi en France.

Loïc Guézo, Directeur Senior en Stratégie Cybersécurité SEMEA chez Proofpoint explique : « les cybercriminels gagnent la confiance de leur victime en usurpant le nom de domaine d’une entité de confiance. Cela leur permet alors d’envoyer un courriel invitant à cliquer sur une URL malveillante, qui elle-même renvoie par exemple vers un faux portail web sur lequel la victime devra renseigner ses identifiants de connexion. Une fois ces informations d’accès obtenues, les cybercriminels peuvent s’infiltrer dans les systèmes de l’entreprise, modifier les privilèges d’accès, se déplacer latéralement, et compromettre les serveurs et les terminaux afin d’exfiltrer les données sensibles de l’organisation. »

Schéma de la chaîne d’attaque par hameçonnage — Proofpoint

Le courrier électronique est le premier vecteur d’attaque

Pour atteindre leur cible finale, les cybercriminels passent de plus en plus par les fournisseurs et tiers de confiance grâce notamment à la compromission de messagerie électronique (BEC en anglais, pour Business Email Compromise). Leur objectif : obtenir les informations d’accès des employés pour pénétrer dans les systèmes de l’organisation.

De nombreuses attaques récentes exploitent ces compromissions d’identités, y compris dans les attaques de rançongiciels. Les données de Proofpoint indiquent ainsi que 86 % des organisations françaises qui ont été ciblées par des tentatives d’hameçonnage, ont été compromises. Parmi ces attaques réussies, 31 % des attaques ont entraîné un vol d’informations d’identification et/ou une compromission de compte, où les employés divulguent volontairement, mais sans avoir conscience d’être face à un criminel, leurs informations d’identification. Et pour cause, un tiers (34 %) des employés français interrogés estiment qu’un courriel est sûr lorsqu’il contient le nom d’une marque connue dans l’adresse, et 63 % considèrent qu’une adresse de courriel correspond toujours au site web de la marque à laquelle il est rattaché

Les citoyens français assurés doivent donc redoubler de vigilance à la réception d’un courriel, SMS ou même d’un appel de leur mutuelle. « On ne le rappellera jamais assez, mais il est primordial de toujours rester prudents face aux sollicitations entrantes. L’idéal dans un tel contexte est de passer uniquement par le site internet de votre mutuelle plutôt que de répondre directement aux notifications par courriel, notamment si elle inclut une pièce jointe ou un lien vers un site tierce. Dans tous les cas, il convient évidemment de ne pas partager ses mots de passe et ses identifiants de compte, et de changer régulièrement ses codes d’accès pour éviter toutes intrusions malveillantes », conseille Loïc Guézo.

Comment mieux se protéger ?

Face à la croissance exponentielle de telles attaques, les éditeurs de plateformes transactionnelles entreprises doivent se mettre en ordre de marche pour protéger leurs clients. En mettant en place de solides contrôles techniques, elles peuvent empêcher l’usurpation d’identité initiale et la compromission de comptes utilisateurs en commençant par la protection des systèmes de messagerie, capable d’analyser et de filtrer le contenu des messages malveillants avant qu’ils n’arrivent dans la boîte de réception.

Pour Loïc Guézo « le protocole DMARC est ici indispensable pour éviter la compromission de compte de messagerie électronique. En authentifiant les domaines légitimes, DMARC contribue à empêcher les courriels usurpés d’atteindre leur cible et aura également un effet dissuasif, car de nombreux cybercriminels s’en prennent aux organisations qui ne disposent pas de cette couche de protection ».


Voir les articles précédents

    

Voir les articles suivants