Publicité en cours de chargement...
Quand le niveau technique monte, les attaquants se recentrent sur les utilisateurs !
Dans un récent article publié par la société ADV Intel [1], on peut (re)découvrir une technique réutilisée il y a quelques mois par le groupe d’attaquants derrière le rançongiciel Conti, qui repose entièrement sur la manipulation et la crédulité de la victime. On peut d’ailleurs lire que la technique de BazarCall, devenu apparemment un groupe indépendant regroupant d’anciens membres de l’alliance Conti/TrickBot/Bazar, était déjà utilisée en 2020 par ce même groupe, du temps de Ryuk.
La technique est simple et efficace :
1. La victime reçoit un massage de phishing lui disant que sa souscription à un abonnement avec prélèvement automatique a bien été prise en compte, en indiquant que la résiliation peut se faire par téléphone.
2. La victime appelle le numéro indiqué dans le courriel pour résilier son abonnement.
3. Un attaquant du « faux » support téléphonique arrive à convaincre la victime de lui donner la main sur son poste via une solution de télémaintenance, ici Zoho Assist et passe le relai à un complice disposant de plus de compétences techniques.
4. Ce deuxième attaquant utilise cet accès pour prendre le contrôle et compromettre l’ensemble du système d’information.
La semaine passée, la société Cisco, leader mondial du réseau, opérant également dans le domaine de la sécurité, revenait via son équipe de recherche Talos [2], sur l’incident dont elle a été victime fin mai, suite à la publication sur le dark web, le 10 août, de 2,8Go de données dérobées à l’entreprise par une autre alliance d’acteurs du monde du rançongiciel (UNC2447/Lapsus$/Yanluowang).
Le scénario d’attaque repose là encore sur l’utilisateur, mais un petit peu les droits qu’on lui a octroyés également, il faut l’avouer… Accrochez-vous, ça vaut le détour !
1. Un employé se fait pirater son compte personnel Google.
2. L’employé en question avait enregistré ses informations d’authentification dans son navigateur Google Chrome, dont celles lui permettant d’accéder au VPN de Cisco.
3. La synchronisation des identifiants / mots de passe stockés dans le navigateur vers son compte personnel Google était activée.
4. L’attaquant ayant compromis le compte de l’employé disposait donc de l’identifiant et du mot de passe VPN de l’employé. L’accès au VPN Cisco ne se limite pas à un simple mot de passe, mais dispose bien d’un mécanisme d’authentification à deux facteurs.
5. Il manque donc à l’attaquant ce second facteur pour entrer. L’attaquant usera de plusieurs techniques pour trouver un employé qui lui ouvrira gentiment la porte. Parmi les techniques utilisées, le « vishing » pour « voice phishing », comprenez une tromperie téléphonique, mais aussi la technique du « MFA fatigue » dont je ne connaissais pas le terme, mais bien le principe.
La technique consiste à envoyer un grand nombre de demandes d’authentification à l’application mobile servant de second facteur, dans l’espoir que la victime « clique », sans vraiment savoir qu’elle donne un accès à une autre personne, par inadvertance ou tout simplement pour que son téléphone arrête de biper toutes les 30 secondes...
C’est la technique qui semble avoir été utilisée par les attaquants ayant compromis les comptes Amelipro de 19 professionnels de santé pour exfiltrer les données de plus de 500 000 français en mars dernier [3]. Nous pouvons également supposer que c’est cette technique qui aura motivé l’ajout du code aléatoire à sélectionner lors de chaque authentification, apparu fin juin dans l’application e-CPS [4].
Difficile de choisir entre solution technique et sensibilisation des utilisateurs, alors ne choisissons pas, faisons les deux !
[2] https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html
[4] https://esante.gouv.fr/actualites/du-nouveau-pour-la-e-cps
L'auteur
Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS(Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)
Avez-vous apprécié ce contenu ?
A lire également.

Vu à SantExpo 2025 : Retour d’expérience du GHT de l’Aube sur la mise en œuvre d’un PACS mutualisé optimisant les ressources et l’accès aux soins avec Dedalus
28 mai 2025 - 10:47,
Actualité
- Pauline Nicolas, DSIHRapprocher les patients des soins tout en prenant en compte les tensions RH et la nécessaire mutualisation des moyens et ressources sur un territoire élargi : telle est l’équation qu’a résolue le GHT de l’Aube par la mise en œuvre d’un PACS mutualisé. Récit, sous forme de dialogue au sein d’une nouv...

Vu à SantExpo 2025 : le CHU d’Amiens obtient l’accord officiel des archives départementales pour son Système d’Archivage Electronique avec la solution HYDMedia de Dedalus
26 mai 2025 - 15:41,
Actualité
- Pauline Nicolas, DSIHLors d’une session au sein de l’auditorium Dedalus, Jacques Delamarre, Responsable Parcours Patient au CHU d’Amiens a témoigné de la genèse qui a conduit à l’adoption de la solution SAE HYDMedia de Dedalus dans son établissement et des principaux apports de cette solution. Un SAE doit intégrer un l...

L’Académie de l’IA en santé de la FEHAP
26 mai 2025 - 11:27,
Actualité
- Damien Dubois, DSIHLe 21 mai 2025, lors de SantExpo, la FEHAP a annoncé le déploiement opérationnel de son plan d’actions pour son Académie de l’IA en santé.

CHU de Montpellier : « Pionnier de l’IA générative, notre hôpital traduit cette innovation dans toutes ses missions »
23 mai 2025 - 11:50,
Actualité
- Mathilde Debry, DSIHSantExpo 2025 – Paris. Le 22 mai, la directrice générale du CHU de Montpellier Anne Ferrer a détaillé dans une interview pourquoi et comment l’IA générative gagne progressivement toutes les strates de son établissement.