Semaine 18: un loup déguisé en agneau, ou lorsqu'une prétendue mise à jour cache un logiciel malveillant

09.05.2023 - Si les mises à jour de logiciels sont une composante essentielle de la sécurité informatique, elles peuvent aussi être une porte d'entrée pour les cybercriminels, qui s'en servent pour installer des maliciels. C'est ce que montre un cas signalé au NCSC la semaine dernière, dans lequel les cybercriminels se sont servis de données volées pour convaincre leurs victimes de cliquer sur un lien frauduleux.

La plupart des internautes savent qu'il est important d'effectuer les mises à jour relevant de la sécurité le plus rapidement possible et ils prennent ces mesures très au sérieux. Malheureusement, comme le montre un cas signalé la semaine dernière, les cybercriminels profitent de la vigilance qui existe dans ce domaine pour essayer de convaincre leurs potentielles victimes d'installer des logiciels malveillants qui se présentent sous l'apparence de mises à jour de sécurité.

Courriel signalant une faille de sécurité

Dans le cas rapporté au NCSC, la victime a reçu un courriel de la part d'une prétendue entreprise, qui l'informait qu'une faille de sécurité avait été détectée et que plusieurs serveurs de son entreprise étaient infectés par un maliciel. Le courriel précisait que la faille touchait aussi les informations de paiement et le patrimoine, qui étaient donc exposés à un risque de vol. Pour protéger les biens de l'entreprise, la victime devait installer la version la plus récente du logiciel financier, qu'elle pouvait télécharger directement en cliquant sur le lien fourni dans le courriel.

Courriel adressé directement au destinataire l'informant d'une faille de sécurité et l'invitant à télécharger la dernière version du logiciel
Courriel adressé directement au destinataire l'informant d'une faille de sécurité et l'invitant à télécharger la dernière version du logiciel

Au premier abord, le courriel, qui mentionnait le nom du destinataire, semblait digne de confiance. Très habilement choisi, le lien qu'il contenait était semblable, à une lettre près, à celui de la page originale. Il fallait donc l'examiner très attentivement pour reconnaître qu'il s'agissait d'une fraude. L'histoire de faille de sécurité était toutefois inventée de toutes pièces. Il n'y avait jamais eu de problème de sécurité au sein de l'entreprise, et ce n'est que lorsque la victime a installé la mise à jour que le logiciel a été manipulé de sorte à détourner le trafic réseau vers les cybercriminels, qui ont alors pu accéder aux données transmises sur Internet par la victime et les modifier.

Le courriel a-t-il été envoyé de manière ciblée ou au hasard?

Les cybercriminels n'ont pas envoyé leur courriel au hasard, mais ont ciblé spécifiquement les utilisateurs du logiciel. Il reste toutefois à comprendre comment ils ont pu savoir quelles personnes l'employaient. La mention du prénom et du nom dans la formule de politesse laisse penser que les cybercriminels ont pu accéder aux données clients. Un regard en arrière permet de confirmer cette hypothèse. En effet, l'entreprise a subi il y a quelque temps une fuite de données, lors de laquelle des données de connexion associées à une newsletter ont été dérobées. À cette occasion, seuls des noms et des adresses électroniques ont été volés, et non des données sensibles telles que des mots de passe. Cet exemple montre bien que même lorsque les données volées sont à première vue sans valeur, elles peuvent être utilisées plus tard dans le cadre d'autres d'escroqueries. Après avoir dérobé des données de cette façon, les cybercriminels les épluchent à la recherche d'informations utiles, puis les combinent avec d'autres données avant de les mettre en vente. Il leur est ainsi possible de lancer des attaques très ciblées dans certains cas.

Les entreprises qui ont connaissance d'une fuite de données doivent donc en informer au plus vite leurs clients, même si les données volées ne sont pas particulièrement sensibles.

Les internautes devraient également penser à vérifier de temps à autre si les données de leurs adresses électroniques ont été publiées sur Internet. Un service de ce type est proposé sur le site Internet iBarry, une initiative de l'économie suisse en collaboration avec la police cantonale et le NCSC:
https://www.ibarry.ch/fr/controles-de-securite/

Recommandations:

  • Même si les mises à jour de sécurité sont importantes, il ne faut pas se laisser manipuler. Prenez votre temps et vérifiez le lien du site Internet à partir duquel la mise à jour doit être téléchargée.
  • N'installez pas un logiciel auquel vous avez accédé en cliquant sur un lien contenu dans un courriel. Saisissez manuellement l'adresse (URL) du fournisseur officiel dans la barre d'adresse de votre navigateur. En cas de doute, prenez contact avec le fournisseur.
  • Téléchargez les mises à jour uniquement à partir du site du fabricant.
  • Même les courriels personnalisés peuvent être malveillants. En cas de doute, prenez contact avec le fournisseur.
  • Si elle est disponible, activez la fonction de mise à jour automatique.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 09.05.2023

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2023/wochenrueckblick_18.html