Des cybercriminels internationaux attaquent une entreprise via un simple fichier Word

Les membres de la bande organisée ont procédé de manière très minutieuse. Ils ont ouvert une fausse adresse postale aux Émirats arabes unis, ils ont créé une adresse e-mail non traçable sur Darknet et ils ont enregistré de nombreux noms de domaine .nl liés au transport.

La méthode appliquée ensuite était aussi astucieuse que sournoise. Les criminels se sont fait passer pour une société de livraison et avaient parfaitement repéré les collaborateurs de notre client qui étaient en charge de la livraison des colis. Il s’agissait d’assistants de direction et de collaborateurs du service postal. Ces personnes ont ensuite reçu un e-mail – dans un néerlandais irréprochable – à partir de la fausse adresse e-mail, qui indiquait que l’on avait tenté de leur livrer un colis, mais qu’ils étaient absents à ce moment. L’e-mail leur proposait de cliquer sur un lien web pour fixer un nouveau rendez-vous pour la livraison.

Bien entendu, il s’agissait d’un astucieux piège. En cliquant sur le lien, les collaborateurs ont ouvert un fichier Word. Il contenait un fragment de code exécutable qui lançait à son tour un programme .exe. Le tout de manière très discrète, afin que les collaborateurs ne se doutent de rien et referment le fichier Word. Les logiciels antivirus sophistiqués de notre client n’ont rien remarqué de suspect non plus.

Jusque-là, le plan des cybercriminels se déroulait comme prévu. Les choses se sont toutefois compliquées lorsque la bande organisée a essayé d’établir une connexion Internet avec des serveurs russes externes à partir du fichier .exe. Leur objectif était de télécharger, via ces serveurs, des programmes malveillants ainsi que des clés. Cela leur aurait permis de verrouiller de nombreux fichiers de notre client, puis de demander une importante somme d’argent liquide (en général entre 15 000 et 20 000 euros) pour « déverrouiller » les fichiers.

Ce plan a toutefois échoué car le pare-feu de notre client a détecté à temps que les serveurs russes étaient sur liste noire. Dès la détection, tout le système a été mis à l’arrêt. Cela a permis d’éviter beaucoup de dégâts ainsi que le paiement d’une importante somme d’argent.

Mais pour notre client, l’affaire n’était pas close pour autant. À la suite de l’attaque, le système IT a été minutieusement analysé et réparé là où cela s’avérait nécessaire. Cette tâche a été réalisée par les collaborateurs IT de l’entreprise ainsi que par une société spécialisée. Au total, les frais de réparation IT se chiffrent à environ 12 000 euros.

Des affaires comme celle-ci démontrent que nul n’est à l’abri de la cybercriminalité. Et bon nombre de dirigeants d’entreprise n’en sont simplement pas conscients. Car bien entendu, notre client n’était pas la seule cible de cette bande criminelle. Ce type de « campagnes » est organisé à grande échelle, sur des dizaines d’entreprises simultanément.

Et si l’une de ces entreprises n’avait pas détecté que les serveurs russes étaient sur liste noire? Ou si un autre type de virus avait été introduit afin de voler les données, les mots de passe ou de permettre aux hackers d’accéder au réseau d’entreprise? Les conséquences auraient pu être désastreuses.

Pour ceux qui en douteraient encore: ce genre d’histoires ne se rencontrent hélas plus seulement dans les scénarios hollywoodiens. Un nombre croissant de bandes virtuelles internationales s’organisent pour perpétrer des cyberattaques ciblées sur des entreprises qui ne se doutent de rien.

Le plus inquiétant avec ce phénomène, c’est que même les meilleures mesures préventives ne peuvent exclure tous les risques. Une bonne cyberpolice n’est donc pas un luxe, mais une nécessité. Pour clarifier: le client victime de cette affaire a pu bénéficier, grâce à cette assurance, d’une indemnisation d’environ 13 000 euros. Si la tentative de chantage avait fonctionné, ce montant aurait été – heureusement pour le client – beaucoup plus élevé.