4 minutes de lecture 18 mars 2020
Femme en train de programmer des codes
informatiques

Protéger votre organisation lors d’une pandémie

Par

Chandra Majumdar

Leader, Gestion des cybermenaces, EY Canada

Offrir aux clients une protection de prochaine génération pour ce qui compte le plus pour eux.

4 minutes de lecture 18 mars 2020

En pleine pandémie de COVID-19, les organisations doivent repérer les cyberarnaques rapidement pour garder une longueur d’avance dans cette situation sans précédent.

Partout dans le monde, des pirates informatiques exploitent la pandémie de la COVID‑19 pour piéger d’innocentes victimes au moyen de logiciels malveillants, au point où nous assistons déjà à une véritable flambée de tentatives d’hameçonnage et de campagnes d’harponnage ciblées. Les pirates utilisent essentiellement la COVID-19 comme un piège à clics pour accéder à nos données personnelles. Vous pourrez mieux traverser cette période turbulente si vous savez reconnaître les pièges et évitez de mordre à l’hameçon.

Que recherchent les pirates?

En somme, tout ce dont ils peuvent se servir pour accéder à des renseignements.

Les justificatifs d’identité sont des cibles prisées. Les pirates informatiques utilisent des domaines qui ont l’apparence de sites Web légitimes très fréquentés – et emploient de surcroît des adresses de courriel qui s’apparentent aux véritables adresses – pour inciter les victimes potentielles à cliquer sur des liens, à saisir des données ou à malencontreusement ouvrir un logiciel malveillant qui puisera à même leurs données.

Les pirates se font passer pour des organisations légitimes

Aux États-Unis, des pirates informatiques ont usurpé la personnalité des e-mails des Centers for Disease Control and Prevention (CDC) pour poursuivre leurs activités de fraude. Les pirates informatiques créent une adresse de courriel qui imite celle des CDC pour duper les destinataires, en espérant qu’ils cliqueront sur les liens qui semblent en l’occurrence provenir d’une source digne de confiance.

Il en va de même pour les sites Web. Le nombre de faux domaines qui imitent pour ainsi dire à la perfection le site Web officiel des CDC (www.cdc.gov) augmente à vue d’œil. Les e-mails contenant des liens comme cdc.org ou cdcgov.org apparaissent et redirigent les utilisateurs vers de fausses pages de connexion pour Microsoft, Facebook et Google où les attaquants peuvent voler les informations d'identification des utilisateurs.

Les sites vérolés qui sont des copies presque exactes du site des CDC invitent également les internautes à faire un don en cryptomonnaie pour financer la recherche sur les vaccins, autre volet de la cybercriminalité qui prend de l’ampleur. Ce type d'activité échappe au contrôle d'organisations comme le CDC et ne suggère aucun problème de sécurité sous-jacent avec les organisations usurpées.

De quoi votre organisation devrait-elle se méfier?

Il faut savoir d’emblée que les courriels d’hameçonnage se présentent habituellement sous deux formes : ceux qui dissimulent un logiciel malveillant dans une pièce jointe sous forme de document Microsoft Office et ceux qui prétendent provenir d’une organisation réputée (comme les CDC). Quoi qu’il en soit, le but est le même, soit de vous faire cliquer sur un lien pour obtenir vos justificatifs d’identité à votre insu.

Le maliciel AZORult, qui semble provenir de la Russie ou de l’Europe de l’Est, est un exemple concret de ce stratagème. Cette campagne d’hameçonnage cible les entreprises des secteurs industriel et pharmaceutique et ceux du transport, de la fabrication et des services financiers par l’envoi de documents malveillants. Elle exploite une faille connue de Microsoft Office qui permet l’exécution arbitraire d’un code sur l’appareil de la victime. Cela signifie qu’une fois exécuté, le logiciel malveillant subtilise les renseignements logés dans l’appareil de la victime et les achemine au pirate.

Le logiciel AZORult prend aussi la forme d’un site Web qui affiche une soi-disant carte de l’évolution de la pandémie. Le site Web Corona-Virus-Map[.]com a une allure soignée et recherchée. Il prétend fournir des renseignements en direct, mais il s’agit bel et bien d’une arnaque. Il génère une autre forme du logiciel malveillant AZORult au moyen d’un fichier d’exécution intitulé corona.exe. Une fois téléchargé et exécuté, ce fichier peut tour à tour effectuer des saisies d’écran, recueillir vos renseignements et voler vos justificatifs d’identité.

Carte de la propagation du coronavirus cachant un logiciel malveillant

Carte de la propagation du coronavirus cachant un logiciel malveillant

On trouve également des exemples de campagnes d'hameçonnage qui exploitent le nom d’une personne de bonne réputation pour attirer des victimes potentielles. Par exemple, les pirates utilisent le nom de médecins éminents issus d’organisations reconnues, comme l’Organisation mondiale de la Santé, pour asseoir leur crédibilité et ainsi déployer une variante de TrickBot, un logiciel malveillant.

TrickBot est un logiciel malveillant modulaire qui peut être utilisé pour voler des informations et installer d’autres maliciels sur l’ordinateur de la victime. La campagne utilise des documents Microsoft Office malveillants pour déclencher la charge de virus et inciter les utilisateurs à ouvrir le document en prétendant offrir des mises à jour importantes sur la COVID-19.

Le maliciel Emotet a également été utilisé dans le cadre de tentatives d’hameçonnage liées à la COVID-19. Initialement utilisé comme cheval de Troie bancaire, il avait été conçu pour voler les renseignements relatifs aux cartes de crédit, mais a évolué depuis. Aujourd’hui, il sert souvent de tremplin au déploiement d’autres maliciels, notamment les rançongiciels. Les pirates informatiques qui exploitent la pandémie de COVID-19 envoient des courriels auxquels sont joints des documents Microsoft Office malicieux contenant des macros. Ces macros permettent ensuite de télécharger le maliciel Emotet au moyen de l’exécution d’un script PowerShell.

Les enregistreurs de frappe sont également populaires en ce moment. Ces espions du clavier peuvent enregistrer chacune des touches frappées par l’utilisateur. Les pirates informatiques ont ainsi accès aux noms d’utilisateurs, mots de passe, comptes bancaires et toutes autres informations entrées par l’utilisateur. Ils tirent profit de cette technologie en envoyant par courriel des documents Microsoft Excel malicieux. L’enregistreur de frappe Agent Tesla est ensuite installé si les utilisateurs sont convaincus de l’authenticité de la liste d’entreprises touchées par la COVID-19 fournie et ouvrent le fichier joint.

Comment vous protéger, vous et votre organisation?

Les pirates ne laisseront passer aucune occasion et vous devez vous préparer en conséquence. Pour être en mesure de protéger vos réseaux et vos données, il importe avant tout de comprendre la manière dont ces activités malveillantes sont menées.

Voici des conseils utiles pour vous aider à prévenir les cyberattaques :

  • Obtenir des renseignements sur la COVID-19 directement auprès de sources fiables.
  • Simuler des exercices de hameçonnage et sensibiliser les employés aux dangers de l’hameçonnage.
  • Faire preuve de prudence au moment d’afficher un courriel provenant d’un expéditeur inconnu. Vérifier l’en-tête du courriel afin de repérer toute adresse suspecte. Si quelque chose semble louche, vous avez sans doute raison de vous méfier.
  • Ouvrir les pièces jointes provenant d’expéditeurs fiables dont l’adresse a été vérifiée et– surtout – celles provenant de courriels que vous vous attendez à recevoir.
  • Se méfier des liens inclus dans les courriels et cliquer sur ceux qui peuvent être vérifiés et qui sont fiables.
  • S’assurer que tous les correctifs ont été apportés à vos systèmes et que les mises à jour les plus récentes ont été installées.

Pandémie ou pas, les cyberattaques ne montrent pas de signes de ralentissement. Visitez le site ey.com/ca/cyber  pour savoir comment EY peut vous aider à atténuer les menaces et à protéger votre entreprise.

Articles de référence :

EY désigne l’organisation mondiale des sociétés membres d’Ernst & Young Global Limited, lesquelles sont toutes des entités juridiques distinctes, et peut désigner une ou plusieurs de ces sociétés membres.

Résumé

Les pirates exploitent déjà la COVID-19 pour lancer de nouvelles attaques dévastatrices partout dans le monde. En sachant reconnaître ces arnaques, et en gardant à l’esprit nos conseils, vous serez mieux outillé pour renforcer vos défenses.

À propos de cet article

Par

Chandra Majumdar

Leader, Gestion des cybermenaces, EY Canada

Offrir aux clients une protection de prochaine génération pour ce qui compte le plus pour eux.