Dans la peau d’une infiltration informatique

Caché dans un dossier de votre serveur, un pirate informatique commence à mettre en place une attaque numérique à l’encontre de vos employés.

Voici, par l’exemple, comment les employés de la Banque Populaire auraient pu se faire piéger à partir d’un site web d’un des syndicats de l’entreprise bancaire. L’ensemble des faits évoqués dans cet article sont vrais, sauf l’attaque à l’encontre des employés… enfin, nous l’espérons.

Jeudi 7 août, la rédaction de zataz.com apprenait que plusieurs sites Internet Français étaient tombés sous les coups numériques d’un pirate prénommé xConsole. Au tableau de chasse de ce présumé algérien, des espaces tels que celui appartenant à l’aviation civile (www.dac-s.aviation-civile.gouv.fr) ; au commissariat à l’égalité du territoire (http://territoires2040.datar.gouv.fr) ; à la paroisse catholique de Versailles ou encore au site Internet du syndicat CGT de la Banque Populaire. Notre cas d’école va se pencher sur cette dernière attaque.

L’infiltration

Dans le piratage ayant visé le site cgt-banquepopulaire.fr, pas de grand dégât, sauf peut-être, pour l’amour propre du concepteur du site Internet. Le pirate xConsole ne s’est contenté que d’afficher une image et quelques salutations pour des potes 2.0.

Imaginons, maintenant, un pirate informatique aux intentions largement moins avouables. Ce dernier souhaite infiltrer la Banque Populaire, les machines des employés (au bureau ou à au domicile, NDLR). Son idée, tout savoir sur le système interne de la Banque, pour viser l’argent et le moyen de le détourner. Je vois déjà les RSSI de l’institution financière faire des bons de 15 mètres expliquant que cela n’est pas possible.

Imaginons que notre pirate professionnel se soit penché sur les sections « intéressantes » du site de la CGT Banque Populaire : « contactez les élus« , en modifiant les adresses mails personnelles proposées. Les employés ayant besoin de communiquer avec le syndicat tomberait dans le piège monté par l’espion. Lentement, surement, une fois dans la place, l’espionnage et l’infiltration feront leurs petits bonhommes de chemin.

Imaginez, de vrais/faux documents numériques signés CGT Banque Populaire. Comme par exemple ce PDF du 27 mai 2014 concernant une déclaration d’après l’Assemblée Générale de l’IPBP. Notre pirate espion aurait pu le modifier, en y incluant un code malveillant. Un logiciel espion directement dans l’ordinateur des employés lecteurs. Sans parler de la modification de l’adresse mail « officielle » du syndicat : [email protected] Bref, de quoi remplir les dossiers des pirates escrocs adeptes de l’escroquerie au Président (Faux ordres de virement).

Bref, les syndiqués (ou non, NDLR) de la CGT Banque Populaire ont-ils été infiltrés ? ou le site n’a-t-il été que  barbouillé ?

Mise à jour

A noter que l'équipe sécurité informatique de la banque a été très rapide à réagir en contactant la rédaction afin de corriger la faille, et les modifications faites par le barbouilleur.

  1. BoraBora Reply

    Je pense que cet article sors un peut de nul part et n’as pas vraiment de sens.
    Je suis zataz depuis longtemps, et ce genre d’article,je n’en vois pas l’utilitée.
    Pourquoi parler d’infiltration, d’éspionnage,de pièges ?
    Un pirate comme xConsole , ne fait que « planter son drapeau » sans jamais causer aucun dégât sur les sites.
    Je l’ai vu sur vôtre propre site, il a piraté plus d’un site et jamais aucun ne s’est plein d’une fuite de base de donnée, vol de donnée, »espionnage », etc. de sa part.
    Si vous voulez vous inventer des films( pardonnez moi de mon langage) faite le sur un russe qui pirate des données bancaire pour les voler, et non sur un defaceur qui semble faire ça seulement comme un défi personnel.
    Un pirate qui veut voler, infiltrer,faire des fuite de base de données, etc , ne montrera pas une deface en grand sur le site, mais le fera discretement sans se faire remarquer. Et ça, pas besoin d’être informaticien pour le deviner.
    Voilà, c’était mon avis personnel.

    Michel C.

    • Damien Bancal Reply

      Bonjour Michel,
      Le sujet n’est pas là. Il concerne les entreprises qui ne contrôlent pas l’ensemble des sites web gravitant autour d’elles: du CE en passant par les syndicats. L’article est un exemple de ce que pourrait faire un pirate « espion » à partir d’une faille toute bête. Une attaque de type « l’escroquerie au Président » via un portail satellite. Une infiltration afin de se rapprocher des employés et d’informations sensibles que pourrait convoiter le pirate « espion ». Cette banque a eu, entre guillemet, de la chance de ne tomber que sur xConsole. Je vous invite à lire notre reportage sur le Social Engineering et les arnaques « l’escroquerie au Président » pour mieux comprendre.

  2. Pingback: ZATAZ Magazine » Le Social Engineering : quand le pirate ne compte que sur la ruse

Poster un commentaire