En ce début septembre 2020, les fonctionnaires français ont été victimes d’une série d’attaques par phishing, visant à installer un cheval de Troie particulièrement agressif. Un élément facilite grandement le travail des pirates : les fuites massives d’e-mail de fonctionnaires.
C’est la rentrée aussi pour les cybercriminels ! En guise de cadeau, ces derniers se sont offerts une campagne de phishing d’ampleur sur les fonctionnaires français. Ces e-mails frauduleux, envoyés à des dizaines de milliers d’adresses, contenaient tous les cheval de Troie Emotet.
Les fonctionnaires visés par le cheval de Troie Emotet
Une fois installé, ce dernier permet des attaques variées, depuis le vol d’identifiants jusqu’aux rançongiciels les plus perfectionnés. L’ampleur des attaques a poussé l’Anssi à publier le 7 septembre 2020 un bulletin d’alerte décrivant le mode opératoire des pirates et les mesures conseillées pour éviter ce phishing à grande ampleur.
Nos collègues de Numerama, dans leur rubrique Cybeguerre, ont étudié cette question. Ils ont notamment rencontré une source qui leur a fourni, sans difficulté et gratuitement, une base de données de 28 000 adresses email gouvernementales, agrégées à partir de plusieurs fuites de données bien connues. Toutes sont accompagnées d’un mot de passe.
Des bases de données d’adresses de fonctionnaires facilitent les attaques par phishing
Dès lors, rien de plus simple pour des malfaiteurs d’envoyer un mail frauduleux à un nombre élevé de fonctionnaires. Voire de se connecter à un compte en .gouv et s’en servir pour lancer leurs attaques par phishing.
Pire : si une base de données d’adresses mail devient publique, c’est qu’elle n’a plus de valeur commerciale. Cela signifie qu’elle a été utilisée, vendue, réutilisée et revendue, de groupe de cybercriminels en groupe de cybercriminels. Autant dire que ces adresses sont désormais connues d’un nombre conséquent de pirates informatiques.
De plus, d’autres bases de données d’adresse de fonctionnaires pourraient exister. Les e-mail en .gouv sont particulièrement recherchés par les pirates. Rappelons au passage qu’il ne faut jamais utiliser son adresse professionnelle pour s’inscrire sur un service tiers, quelle que soit la confiance que l’on aurait dans le service en question.