in

Les réseaux sociaux ? Une cible comme une autre pour les pirates ! Par Patrick Patrick Wheeler, directeur du marketing produit de Proofpoint

Récemment ciblé par une attaque de type phishing et victime d’un bref piratage de son compte Twitter, Le Monde n’est qu’une cible parmi d’autres

Les pirates étatiques et para-etatiques représentent un grand risque non seulement pour les agences gouvernementales, mais aussi pour les sociétés privées de toutes industries. Qu’elles soient publiques ou privées, les entreprises, grandes ou petites, doivent prendre conscience qu’elles sont des cibles, et que le phishing reste toujours le moyen d’attaque préféré des cybercriminels.

Le Monde est un exemple classique de technique d’attaque et de technique défensive. Les pirates se sont servis d’emails de phishing – d’ailleurs l’un des moyens les plus efficaces – pour tenter d’obtenir des codes d’accès aux réseaux sociaux, et plus spécifiquement, au compte Twitter du journal Le Monde. Heureusement pour le quotidien national, les équipes ne sont pas tombées dans le piège de ces faux emails. Il est néanmoins primordial pour une entreprise de ne surtout pas compter uniquement sur la perspicacité de ses employés : les chercheurs de Proofpoint ont d’ailleurs démontré qu’au sein de toute organisation, il y aura toujours au moins une personne qui clique, et que les défenses les plus efficaces sont celles qui détectent et bloquent ce type d’attaques, avant que l’employé ciblé ne puisse cliquer.

La nature ciblée des emails de cette attaque, souligne les techniques utilisées par les pirates pour faire du phishing le moyen d’attaque le plus performant. Il est évident qu’avant de mener leur attaque, les pirates ont effectué des recherches sur l’organisation hiérarchique du Monde afin d’identifier les rédacteurs et les journalistes, susceptibles de posséder les codes d’accès aux comptes des réseaux sociaux, tels que Twitter. Envoyer l’email de phishing aux journalistes en faisant en sorte que ce dernier semble venir d’un rédacteur en chef, cela donnait au faux email un air légitime. Cette technique de « social engineering » est l’un des principes fondamentaux du phishing tel qu’il est pratiqué par les pirates modernes. C’est pour cette raison qu’il est difficile et risqué de se fier uniquement à la méfiance des employés comme première ligne de défense.

L’attaque sur Le Monde souligne que les comptes de réseaux sociaux tels que Twitter sont une cible de première importance pour les pirates, et en particulier pour les attaques de phishing. Bien que Le Monde ait mis en place des procédés et des moyens techniques pour protéger son compte Twitter contre le hijacking, la plupart des entreprises n’ont rien de cela et sont donc non seulement vulnérables au hijacking de leurs comptes de réseaux sociaux, mais sont aussi incapables de détecter ce hijacking de leurs propres comptes. Dans une récente étude, les chercheurs de Proofpoint révélaient qu’au moins deux comptes de réseaux sociaux des sociétés du Fortune 100 montraient des signes de hijacking. Un compte compromis fournit aux pirates une plateforme idéale pour la distribution d’emails de « spam », des liens malicieux, et d’autres contenus pouvant nuire à l’image de marque de l’entreprise touchée.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.