lundi 26 janvier 2015

Cybermanipulation d'opérations financières : un cas relevé en décembre 2014


Que les pirates s'intéressent à la finance, ce n'est ni surprenant ni nouveau : je me permets de vous renvoyer à mon ouvrage où j'établis une chronologie des faits les plus marquants survenus depuis les années 2000. 

Cependant si j'évoque le cas qui a été révélé fin 2014, c'est pour l'intérêt de comprendre la combinaison de moyens techniques et d'ingénierie sociale aux fins d'action de certains individus sur les circuits des marchés financiers.

Mon propos va se focaliser sur l'affaire attribuée au groupe nommé FIN4, découverte par la firme de sécurité américaine FireEye. Laquelle a expliqué comment ont procédé les délinquants.

Fondamentalement, l'on est en face d'une association de malfaiteurs n'ayant pas une maîtrise pointue de l'informatique ou n'éprouvant pas le besoin de s'en servir puisque sur le plan purement technique nous sommes en face d'une méthode relativement conventionnelle. Cela ne signifie pas qu'elle soit inoffensive, une arme (même cybernétique) est toujours nuisible lorsqu'on l'applique sur la partie la plus faible du dispositif. En l'espèce, c'est du spear phising (jeu de mots avec spear fishing, pêche sous-marine en français) qui consiste à faire mordre à l'hameçon, en l'occurrence un courriel piégé avec en son sein une macro VBA* vérolée, une personne bien précise d'une société ou d'un cabinet. De sorte à ce que le maliciel puisse faire son oeuvre et fournir identifiants comme mots de passe. Là où le procédé est plus abouti, ce n'est pas par l'emploi du programme malveillant mais par la précision extrêmement aboutie des messages envoyés, loin des simili-documents officiels qu'un coup d'oeil averti peut repérer et éviter d'ouvrir. D'autant que ceux-ci sont aussi spécifiquement pour une personne en particulier, et la société américaine le remarque avec intérêt, avec une grande connaissance ayant nécessité de l'ingénierie sociale. C'est à dire des recherches approfondies préalables sur l'individu choisi : sa personnalité, ses contacts professionnels (ses clients, ses fournisseurs, ses interlocuteurs financiers etc.) et même son agenda.

Malgré cette personnalisation, l'équipe FIN4 aurait tenté depuis mi-2013 (date supposée de leurs premières activités) à infiltrer une bonne centaine de comptes : un nombre finalement peu conséquent et qui pourrait s'apparenter à de l'artisanal. Avec un intérêt particulièrement prononcé, et cela semble être peu le fruit du hasard car totalisant près de 68% des tentatives, pour les groupes pharmaceutiques et les organismes publics du même secteur. 

L'utilisation en certaines circonstances d'une liste de contacts groupés en copie carbone invisible (CCI) lors des envois a rendu la détection encore plus compliquée pour les destinataires. La qualité des courriels et l'emploi d'un jargon spécifique propre au milieu a souvent dissipé les doutes et la méfiance élémentaire. Notamment le sigle de la SEC américaine (Securities and Exchange Commission), l'organisme de contrôle des opérations financières liées à la bourse.

Le point crucial et central : dans quel but? Réponse : celui de prévoir plus que de prédire les futurs changements majeurs au sein de sociétés cotées. Un délit d'initiés en apparence sauf que les coupables sont à l'écoute à chaque extrémité du processus et connaissent comme influencent les décisions à venir. Idéal pour jouer sur les cours et/ou revendre ces informations capitales à des acteurs intéressés du monde boursier. Une fois encore, cette redoutable machinerie visait expressément un secteur d'activité précis et dynamique. Dernier élément qui ne manque pas d'accréditer une approche techniquement simple mais efficace : les fautifs avaient prévu la reconfiguration des règles du service de message Outlook pour éviter que toute erreur repérée ou alerte signalée par une cible ne soit répercutée vers les autres contacts.

FIN4 ne manque pas de nous interroger, moins sur les failles techniques que sur les failles humaines. Et de constater qu'un montage judicieux et bien structuré avec des outils datés peut très bien faire son office.


* Une macro VBA est un code inséré dans un document du pack Microsoft Office et qui se déclenche à l'ouverture de celui-ci. VBA signifie Visual Basic for Applications.

Le rapport de FireEye complet (anglais uniquement) : https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-fin4.pdf

Aucun commentaire: