Ce qu’il faut retenir de #MacronLeaks

Qui n’a pas entendu parler sur les médias sociaux de la fuite de milliers de documents internes du parti politique français fondé par Emmanuel Macron, En Marche!, révélé le 6 mai dernier ?

Une fuite d’informations à 48h du scrutin
Lors du communiqué de presse, les représentants du mouvement ont affirmé qu’il s’agissait du résultat d’une « action de piratage massive et coordonnée » menée plusieurs semaines auparavant sur les « boîtes mail personnelles et professionnelles de plusieurs responsables du mouvement ». Ils affirment que les pirates ont fait circuler des documents authentiques en y ajoutant des « faux » et ont trafiqué des métadonnées dans le but « de semer le doute et la désinformation ». Les auteurs de cette fuite, de même que leurs motivations, demeurent inconnues à ce jour.

Nous avons également appris que l’équipe d’En Marche! aurait elle-même créé de faux comptes servant à diffuser de fausses informations en guise de “contre-attaque”. En outre, cette tactique d’obfuscation vise à rendre l’exploitation des données plus compliquée pour les pirates et leur faire perdre du temps.

Cette affaire met en lumière les risques de failles de sécurité informatique qui peuvent toucher tout type d’individu ou organisation et menacer ses informations confidentielles et sensibles.

Qu’est-ce que le harponnage?
Même si rien pour l’instant ne permet de déterminer avec certitude la méthode qui a été employée dans le cas #MacronLeaks, les représentants du parti En Marche! affirment qu’il s’agirait de méthodes de harponnage, plus communément « spear phishing ».

Le harponnage consiste à envoyer un ou des courriels à des individus spécifiques pour les inciter à ouvrir une pièce jointe ou un lien URL malveillant, dans le but d’obtenir les accès aux boîtes de courriel, sachant que les courriels sont une porte d’entrée vers divers autres accès, données critiques et documents, et ce, même s’ils ont été protégés par un mot de passe.

Contrairement à l’hameçonnage, tel qu’employé dans la récente fraude “Google Docs”, qui balaye les failles de manière aléatoire, le harponnage va cibler des organisations ou des individus en particulier. Ceux-ci peuvent être ciblés en raison de leur position stratégique ou névralgique au sein d’une organisation ou de la vulnérabilité potentielle qu’ils peuvent représenter.

Dans le cas #MacronLeaks, Mounir Majhoubi, chargé de la campagne numérique d’En Marche!, spécifie qu’environ 5 boîtes de courriel de personnes importantes au sein de l’équipe politique ont été ciblées plus particulièrement, dont le responsable financier.

Protéger les données par une bonne gestion de l’accès
Cette affaire démontre, encore une fois, à quel point la protection des accès et des données demeurent d’une importance sous-estimée, non seulement du côté de la population en général, mais aussi du côté des organisations. Cette situation a même été récupérée par des entreprises de sécurité pour tenter de vendre des solutions de cybersécurité “offensives”, telles que des services de contre-renseignement. Par contre, ce ne sont pas nécessairement des solutions efficaces ou adaptées pour prévenir ce genre d’incident.

Pour ces raisons, Crypto.Québec vous rappelle l’importance de bien contrôler, superviser et gérer les accès aux comptes qui sont plus privilégiés au sein de votre organisation, ne jamais accorder d’accès libre sans restriction, de surveiller ce que les membres font de leur autorisation d’accès et de vous servir d’un bon gestionnaire de mot de passe pour y stocker et gérer la rotation des identifiants.

Campagne de hameçonnage par courriel via « Google Docs »

Depuis mercredi après-midi, plusieurs utilisateurs de Google rapportent avoir reçu un courriel contenant un lien vers un fichier « Google Docs » de la part d’une connaissance… du moins en apparence. Ces courriels se sont avérés malicieux et ont permis à l’émetteur d’avoir accès aux comptes Gmail des utilisateurs, incluant tous leurs messages dans les dossiers classés, envoyés et supprimés, ainsi qu’à leur liste de contacts. Tout cela dans l’objectif de se servir de ces accès afin d’infecter d’autres comptes.

En cliquant sur ce lien, l’adresse vous redirige vers une page légitime appartenant à Google (apps.googleusercontent.com), mais vous demande l’autorisation d’accéder à une application nommée « Google Docs », qui elle, est d’origine frauduleuse (l’application légitime étant Google Drive).

Un des points communs de ces courriels est la présence de l’adresse hhhhhhhhhhhhhhhh@mailinator.com dans la liste d’envoi. Cette attaque semble cibler particulièrement le milieu des journalistes, mais peut potentiellement toucher divers milieux et individus.

Que faire si vous recevez ce type de courriel ?

En premier lieu, il importe de ne pas cliquer sur les liens provenant d’adresses inconnues ou de fichiers qui vous semblent suspects (un fichier sans titre, par exemple).

Si vous recevez ce type de lien vers un fichier de la part d’une personne que vous connaissez, vérifiez la validité du courriel avec cette personne au préalable (par téléphone, par exemple).

Que faire si vous avez cliqué sur le lien ?

Avoir cliqué sur le lien ne suffit pas à la propagation du ver; il faut avoir autorisé le fonctionnement  de l’application malicieuse « Google Docs ». Si c’est le cas, on vous invite à suivre les démarches suivantes pour retirer l’autorisation à l’application « Google Docs » dans « Applications connectées à mon compte »:

  1. Rendez-vous sur la page des autorisations votre compte Google.
  2. Localisez la section concernant l’application « Google Docs »: bien que tout semble légitime, ce n’est pas le cas, il s’agit de l’application frauduleuse. Il suffit alors de simplement retirer l’autorisation pour cette application.

Google aurait prit les initiatives nécessaires pour limiter la propagation du ver en supprimant la page frauduleuse et en bloquant le compte de l’émetteur, mais nous invite tout de même à signaler les courriels frauduleux à cette adresse de support.

Crypto.Québec vous rappelle qu’en tout temps, il est préférable de redoubler de prudence avant de cliquer sur un lien suspect ou provenant de personnes inconnues.

Une rançon pour vos photos?

À première vue, le courriel ne détonne pas. Une connaissance vous envoie un message comprenant une présentation PowerPoint, à en juger par le nom du fichier. Un diaporama de photos de voyage, peut-être. Vous tentez de l’ouvrir, mais ça ne fonctionne pas. Puis soudain…

Sur votre écran, un message pour le moins hostile s’affiche, qui ne vient manifestement pas de votre connaissance: vos fichiers importants ont été cryptés ou, pire encore, vous ne pouvez plus accéder au contenu de votre appareil. Vous êtes victime d’une attaque de type rançongiciel!

La suite à lire sur le site de L’actualité.

Pokémon Go bouffe vos données… personnelles

Nous sommes très fiers de vous annoncer et de vous présenter le premier article de Crypto.Québec en tant que collaborateurs à L’Actualité. Nous écrirons sur la sécurité informatique, la vie privée (ce qu’il en reste) et la surveillance de masse pour ce journal.

Pour mon premier article, j’ai épluché les termes d’utilisation de Pokémon Go pour savoir ce que Niantic récolte comme données privées sur ses joueurs et ce qu’elle en fait. Un extrait:

« Force est de constater que l’utilisation de Pokémon Go contribue à la société de surveillance, en plus de créer une couche supplémentaire d’espionnage orwellien. Le pistage d’informations devient non seulement socialement acceptable, mais attrayant, puisqu’il s’accompagne d’une récompense instantanée. L’ensemble des déplacements d’un joueur, son âge, ses habitudes Web valent leur pesant d’or dans l’univers de la publicité ciblée.

Pas étonnant que Pokémon Go soit gratuit. Le produit, ici, n’est pas le jeu. C’est le joueur. »

Lisez la suite sur le site web de l’Actualité.