Seagate piraté : il suffira d’une faille

FiscalitéRégulationsRisquesSécurité
piratage-seagate

La faille est humaine pour Seagate : un employé a mordu à l’hameçon dans le cadre d’une opération de phishing ultra-ciblée.

Quel est le point commun entre Seagate et Snapchat ?

Les deux sociétés ont été victimes, à quelques jours d’intervalle, d’une campagne de phishing ultra-ciblée qui a entraîné la fuite d’informations personnelles associées à des salariés.

Dans l’un et l’autre cas, un employé a répondu à un e-mail qu’il croyait provenir d’un de ses supérieurs.

Chez Snapchat, c’est l’un des responsables de la paye qui est tombé dans le panneau, persuadé d’exécuter un ordre envoyé par son CEO Evan Spiegel.

Même mode opératoire chez Seagate, sauf qu’on ignore, en l’état actuel, pour qui les pirates se sont fait passer.

Quant au nombre de victimes, il faut se contenter d’un fourchette : au bilan officiel, plusieurs milliers de salariés travaillant ou ayant travaillé pour la firme aux États-Unis sont concernés. Ils sont toutefois « bien moins de 10 000 », selon un porte-parole qui a répondu à l’alerte lancée par Brian Krebs.

Ce blogueur spécialisé en sécurité informatique avait prévenu, la semaine passée, d’une opération de phishing orientée sur les DAF et les directeurs RH avec, comme levier, un e-mail semblant provenir du DG.

Oui, chef

Il semble que ce soit cette campagne qui ait touché Seagate, à partir du 1er mars, les pirates s’appuyant vraisemblablement sur un serveur mail détourné, hébergé chez GoDaddy.

Leur butin est précieux : des formulaires W-2 associés aux déclarations de revenus (voir la version 2016 du document au format PDF). Y figurent non seulement des noms et des adresses postales, mais aussi des salaires et des numéros de Sécurité sociale.

Assez d’informations pour permettre à des cybercriminels de solliciter, auprès de l’administration et des États fédéraux, un remboursement du trop-perçu au nom d’employés dont ils usurpent l’identité.

Les victimes s’en aperçoivent généralement trop tard, lorsque l’IRS refuse leurs demandes. Il faut dire que l’organisme américain chargé de la collecte des impôts est tenu, comme l’a imposé le Congrès, de procéder rapidement aux remboursements, ce qui laisse peu de marge de manœuvre pour détecter une supercherie.

Des mesures ont tout de même été prises pour améliorer la détection des comportements suspects : examen de l’empreinte du navigateur, utilisation de cookie, évaluation du temps pris pour déposer les demandes de remboursement (les pirates vont souvent très vite, par copier-coller), requêtes répétées émanant de la même adresse IP…

Pour autant, les statistiques 2013 de l’IRS font état d’au moins 5,8 milliards de dollars de versements liés à des demandes frauduleuses. Du côté de la Federal Trade Commission, gendarme des marchés financiers outre-Atlantique, on estime que ces pratiques ont entraîné une hausse de près de 50 % des plaintes concernant le vol d’identité.

Crédit photo : Ai825 – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur