Contact constant

Leçons tirées du compromis entre l'USAID et Constant Contact

Version imprimable, PDF et e-mail

Plus de 3 000 comptes de messagerie ont reçu des e-mails de phishing par le biais d'un compte Constant Contact compromis appartenant à l'Agence américaine pour le développement international (USAID). Constant Contact est une plateforme de marketing qui permet aux entreprises de toucher plus facilement un public plus large par e-mail. En compromettant le compte de l'USAID, les pirates informatiques ont pu atteindre toutes les personnes abonnées aux e-mails de l'USAID. Il ont ainsi exploité un expéditeur et un format de confiance afin de renforcer la crédibilité des e-mails lors de l'attaque de phishing qui a suivi.

L'e-mail de phishing en lui-même n'était pas particulièrement sophistiqué : il s'agissait d'une escroquerie classique du type « cliquer pour afficher les documents » aboutissant au téléchargement d'un malware. Cependant, en utilisant Constant Contact pour envoyer ces données, les pirates ont sans doute contourné certaines protections contre le spam et le phishing susceptibles de comporter des règles spéciales pour les services de marketing de masse légitimes tels que Constant Contact, tout en s'appuyant sur la notoriété de l'expéditeur et sur le format pour berner les destinataires. Il est possible que ces derniers recevaient régulièrement des e-mails contenant des liens vers des documents, un facteur augmentant l'efficacité de cette attaque.

Les techniques de phishing se perfectionnent

L'organisation de la lutte a contraint les pirates à affiner les techniques de phishing de masse, en empruntant souvent celles couramment utilisées par le spear phishing telles que le typosquattage, le piratage de compte ou l'usurpation d'identité. Les pirates informatiques ciblent également davantage leurs attaques en récupérant des informations publiques sur des cibles potentielles et en adaptant les campagnes de phishing à des marchés ou des postes particuliers. La simplification et l'automatisation du ciblage réduit l'écart de sophistication entre le phishing de masse, qui cible de nombreux destinataires en tentant de jouer sur les chances qu'un certain pourcentage d'entre eux mordent à l'hameçon, et le spear phishing, qui est entièrement adapté à l'individu ciblé et nécessite donc beaucoup plus d'efforts, mais dont les gains sont généralement plus élevés en cas de réussite.

La compromission de compte dans le cadre du phishing n'est pas nouvelle. Les escroqueries du type « À l'aide, je suis bloqué dans un pays étranger sans mon passeport » sont monnaie courante dans la sphère personnelle, tandis que les variantes professionnelles ciblent des personnes au sein de l'entreprise à laquelle appartient le compte compromis. En revanche, la compromission de comptes situés plus haut dans la « chaîne logistique » de messagerie est nouvelle et probablement influencée par la réussite de l'attaque contre SolarWinds, qui aurait été menée par le même groupe à l'origine de celle contre l'USAID.

La faiblesse et la réutilisation des mots de passe, l'absence d'authentification multifacteur, l'augmentation de la vitesse de calcul et l'apparition de nouvelles techniques pour déchiffrer les mots de passe ont certainement augmenté la prépondérance des comptes compromis ainsi que leur utilisation dans le déroulement d'attaques de plus grande envergure. Les outils permettant de rechercher des mots de passe réutilisés dans des listes complètes de combinaisons nom d'utilisateur-mot de passe compromises se sont également généralisés et facilitent la compromission d'un grand nombre de comptes au cours d'une même violation. Cette tendance est appelée à s'accentuer tant que la MFA ne sera pas suffisamment répandue pour la limiter. Il est donc essentiel de privilégier les mots de passe complexes et d'activer la MFA lorsque cela est possible afin de protéger les comptes.

Découvrez les dernières tendances et menaces en matière de spear phishing dans ce rapport gratuit

Remonter en haut de page
Tweeter
Partager
Partager