Les bons articles consacrés à la SSI par des médias généralistes sont suffisamment rares pour que l’on ne boude pas son plaisir à la lecture de USA Today aujourd’hui.

Le quotidien revient ce matin, et à la Une pour ceux qui ont la chance de l’avoir en main plutôt qu’à l’écran, sur une attaque ciblée particulièrement intéressante contre une entreprise américaine du domaine de la finance. L’article relate comment les criminels prennent désormais le temps d’éplucher individuellement les profils Facebook de leurs victimes afin de créer un appât personnalisé tout à fait plausible afin de compromettre plus facilement les amis de ces premières victimes.

Ainsi après s’être emparés du compte Facebook d’un employé travaillant pour une société financière américaine, les pirates ont compris que celui-ci avait participé à un pique-nique en présence notamment d’une autre collègue. Ils ont alors envoyé à celle-ci un message – sous l’identité de son confrère – lui offrant un lien pour aller voir les photos d’elle « durant notre dernier pique-nique ». Bien entendu, le lien était piégé et tentait d’installer un intercepteur de frappes clavier sur la machine.

Toujours présents à l’autre bout de l’hameçon, les attaquants surveillaient les interceptions clavier jusqu’à ce que la victime se connecte à son VPN d’entreprise. Ils ont alors exploités ces informations afin d’explorer le réseau interne de la société pendant deux semaines, procédant à des scans de ports, des scans de vulnérabilités et exploitant des serveurs Windows vulnérables pour se maintenir dans la place. Et ils n’ont été découverts que par hasard, non pas à cause de leur activité sur le réseau mais lorsqu’un contact de la victime initiale a mentionné que les photos ne s’affichaient pas et qu’un technicien un peu curieux s’est penché sur la question – et sur les journaux du trafic réseau.

Et là où l’affaire prend une toute autre envergure, c’est qu’il ne s’agit pas d’une attaque aussi ciblée que l’on pourrait le croire : les pirates ont pris le temps d’étudier de la sorte les profils d’une soixantaine d’amis de la victime initiale et d’inventer à chaque fois une histoire plausible dans l’espoir que leurs contacts cliquent eux aussi sur le lien piégé.

L’article original de USA Today couvre plus largement l’usage des réseaux sociaux dans les attaques ciblées. Une lecture particulièrement intéressante.