Publicité en cours de chargement...

Publicité en cours de chargement...

Quand le niveau technique monte, les attaquants se recentrent sur les utilisateurs !

16 août 2022 - 11:59,
Tribune - Charles Blanc-Rolin
Lorsqu’il s’agit d’atteindre leurs objectifs : s’introduire dans les systèmes d’informations de leurs victimes, exfiltrer les données et les chiffrer avant de partir, les acteurs du rançongiciels ne se posent pas vraiment de questions, si techniquement ce n’est pas facile de rentrer, autant demander à un bon samaritain d’ouvrir la porte !  

Dans un récent article publié par la société ADV Intel [1], on peut (re)découvrir une technique réutilisée il y a quelques mois par le groupe d’attaquants derrière le rançongiciel Conti, qui repose entièrement sur la manipulation et la crédulité de la victime. On peut d’ailleurs lire que la technique de BazarCall, devenu apparemment un groupe indépendant regroupant d’anciens membres de l’alliance Conti/TrickBot/Bazar, était déjà utilisée en 2020 par ce même groupe, du temps de Ryuk.
La technique est simple et efficace :

1. La victime reçoit un massage de phishing lui disant que sa souscription à un abonnement avec prélèvement automatique a bien été prise en compte, en indiquant que la résiliation peut se faire par téléphone.

2. La victime appelle le numéro indiqué dans le courriel pour résilier son abonnement.

3. Un attaquant du « faux » support téléphonique arrive à convaincre la victime de lui donner la main sur son poste via une solution de télémaintenance, ici Zoho Assist et passe le relai à un complice disposant de plus de compétences techniques.

4. Ce deuxième attaquant utilise cet accès pour prendre le contrôle et compromettre l’ensemble du système d’information.

La semaine passée, la société Cisco, leader mondial du réseau, opérant également dans le domaine de la sécurité, revenait via son équipe de recherche Talos [2], sur l’incident dont elle a été victime fin mai, suite à la publication sur le dark web, le 10 août, de 2,8Go de données dérobées à l’entreprise par une autre alliance d’acteurs du monde du rançongiciel (UNC2447/Lapsus$/Yanluowang).

Le scénario d’attaque repose là encore sur l’utilisateur, mais un petit peu les droits qu’on lui a octroyés également, il faut l’avouer… Accrochez-vous, ça vaut le détour !

1. Un employé se fait pirater son compte personnel Google.
2. L’employé en question avait enregistré ses informations d’authentification dans son navigateur Google Chrome, dont celles lui permettant d’accéder au VPN de Cisco.
3. La synchronisation des identifiants / mots de passe stockés dans le navigateur vers son compte personnel Google était activée.
4. L’attaquant ayant compromis le compte de l’employé disposait donc de l’identifiant et du mot de passe VPN de l’employé. L’accès au VPN Cisco ne se limite pas à un simple mot de passe, mais dispose bien d’un mécanisme d’authentification à deux facteurs.
5. Il manque donc à l’attaquant ce second facteur pour entrer. L’attaquant usera de plusieurs techniques pour trouver un employé qui lui ouvrira gentiment la porte. Parmi les techniques utilisées, le « vishing » pour « voice phishing », comprenez une tromperie téléphonique, mais aussi la technique du « MFA fatigue » dont je ne connaissais pas le terme, mais bien le principe.

La technique consiste à envoyer un grand nombre de demandes d’authentification à l’application mobile servant de second facteur, dans l’espoir que la victime « clique », sans vraiment savoir qu’elle donne un accès à une autre personne, par inadvertance ou tout simplement pour que son téléphone arrête de biper toutes les 30 secondes...

C’est la technique qui semble avoir été utilisée par les attaquants ayant compromis les comptes Amelipro de 19 professionnels de santé pour exfiltrer les données de plus de 500 000 français en mars dernier [3]. Nous pouvons également supposer que c’est cette technique qui aura motivé l’ajout du code aléatoire à sélectionner lors de chaque authentification, apparu fin juin dans l’application e-CPS [4].

Difficile de choisir entre solution technique et sensibilisation des utilisateurs, alors ne choisissons pas, faisons les deux !


[1] https://www.advintel.io/post/bazarcall-advisory-the-essential-guide-to-call-back-phishing-attacks-that-revolutionized-the-data 

[2] https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html 

[3] https://www.ladepeche.fr/2022/03/29/fuite-massive-de-donnees-de-lassurance-maladie-que-faire-si-vous-etes-concerne-10201638.php 

[4] https://esante.gouv.fr/actualites/du-nouveau-pour-la-e-cps


L'auteur

Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS(Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,

Tribune

- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés

Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration L’arnaque à l’arrêt de travail comme source de réflexion

L’arnaque à l’arrêt de travail comme source de réflexion

14 avril 2025 - 21:57,

Tribune

-
Cédric Cartau

Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.