Proofpoint rappelle qu’avec de telles données en main, les cybercriminels pourraient désormais procéder à des campagnes d’hameçonnage visant les clients Viamedis et sa société mère, en rédigeant des courriels frauduleux usurpant le nom de domaine de leur mutuelle. Technique éprouvée par les acteurs de la menace, en témoigne l’attaque visant Pôle Emploi l’automne dernier, par le biais de son fournisseur Majorel, entraînant la fuite des données personnelles d’environ 10 millions de demandeurs d’emploi en France.

Loïc Guézo, Directeur Senior en Stratégie Cybersécurité SEMEA chez Proofpoint explique : « les cybercriminels gagnent la confiance de leur victime en usurpant le nom de domaine d’une entité de confiance. Cela leur permet alors d’envoyer un courriel invitant à cliquer sur une URL malveillante, qui elle-même renvoie par exemple vers un faux portail web sur lequel la victime devra renseigner ses identifiants de connexion. Une fois ces informations d’accès obtenues, les cybercriminels peuvent s’infiltrer dans les systèmes de l’entreprise, modifier les privilèges d’accès, se déplacer latéralement, et compromettre les serveurs et les terminaux afin d’exfiltrer les données sensibles de l’organisation. »

Schéma de la chaîne d’attaque par hameçonnage — Proofpoint

Le courrier électronique est le premier vecteur d’attaque

Pour atteindre leur cible finale, les cybercriminels passent de plus en plus par les fournisseurs et tiers de confiance grâce notamment à la compromission de messagerie électronique (BEC en anglais, pour Business Email Compromise). Leur objectif : obtenir les informations d’accès des employés pour pénétrer dans les systèmes de l’organisation.

De nombreuses attaques récentes exploitent ces compromissions d’identités, y compris dans les attaques de rançongiciels. Les données de Proofpoint indiquent ainsi que 86 % des organisations françaises qui ont été ciblées par des tentatives d’hameçonnage, ont été compromises. Parmi ces attaques réussies, 31 % des attaques ont entraîné un vol d’informations d’identification et/ou une compromission de compte, où les employés divulguent volontairement, mais sans avoir conscience d’être face à un criminel, leurs informations d’identification. Et pour cause, un tiers (34 %) des employés français interrogés estiment qu’un courriel est sûr lorsqu’il contient le nom d’une marque connue dans l’adresse, et 63 % considèrent qu’une adresse de courriel correspond toujours au site web de la marque à laquelle il est rattaché

Les citoyens français assurés doivent donc redoubler de vigilance à la réception d’un courriel, SMS ou même d’un appel de leur mutuelle. « On ne le rappellera jamais assez, mais il est primordial de toujours rester prudents face aux sollicitations entrantes. L’idéal dans un tel contexte est de passer uniquement par le site internet de votre mutuelle plutôt que de répondre directement aux notifications par courriel, notamment si elle inclut une pièce jointe ou un lien vers un site tierce. Dans tous les cas, il convient évidemment de ne pas partager ses mots de passe et ses identifiants de compte, et de changer régulièrement ses codes d’accès pour éviter toutes intrusions malveillantes », conseille Loïc Guézo.

Comment mieux se protéger ?

Face à la croissance exponentielle de telles attaques, les éditeurs de plateformes transactionnelles entreprises doivent se mettre en ordre de marche pour protéger leurs clients. En mettant en place de solides contrôles techniques, elles peuvent empêcher l’usurpation d’identité initiale et la compromission de comptes utilisateurs en commençant par la protection des systèmes de messagerie, capable d’analyser et de filtrer le contenu des messages malveillants avant qu’ils n’arrivent dans la boîte de réception.

Pour Loïc Guézo « le protocole DMARC est ici indispensable pour éviter la compromission de compte de messagerie électronique. En authentifiant les domaines légitimes, DMARC contribue à empêcher les courriels usurpés d’atteindre leur cible et aura également un effet dissuasif, car de nombreux cybercriminels s’en prennent aux organisations qui ne disposent pas de cette couche de protection ».