print preview Retour Page d'accueil

Dès aujourd’hui, la méfiance est de mise !

Le recrutement de spécialistes est un défi pour la Base d’aide au commandement (BAC). Un grand nombre d’entreprise technologiques renommées se disputent les meilleurs talents sur un marché de l’emploi asséché. Cet état d’urgence est à l’origine d’une cyberattaque menée contre le chef du personnel de la BAC. Elle a marché, du moins en partie.

23.09.2020 | Communication Défense, Anna Muser

DSC03109_eh
Diego Schmidlin, chef du domaine Cyber Security (à droite sur l’image), explique avec précision à Marc Lauener, chef du personnel de la BAC, comment l’attaque s’est déroulée. (Photos: VBS/DDPS)

Le domaine Exploitation fournit des services informatiques performants et hautement sécurisés à l’Armée suisse. C’est en son sein que les tâches essentielles de la BAC sont exécutées. À partir de janvier de cette année, Marc Lauener, chef du personnel de la BAC, a cherché durant quelques semaines une personne apte à occuper le poste de chef de ce domaine. Or, un candidat s’est adressé directement à lui par courriel, affirmant que la première fenêtre consacrée à la mise au concours de ce poste, outil de postulation en ligne compris, ne cessait de se fermer.

Une attaque raffinée

Le présumé candidat écrit avoir voulu postuler par la voie officielle, mais l’outil de postulation en ligne n’était pas activé. « Le texte avait tout d’une lettre de motivation. Le candidat semblait prometteur. Il avait fourni son numéro de portable et son profil LinkedIn. Mais quelque chose m’avait quand même intrigué » ; c’est ainsi que Marc Lauener résume ses premières impressions. Le postulant prétendait travailler pour la Banque nationale du Liechtenstein. M. Lauener n’en ayant encore jamais entendu parler, il a fait une recherche en ligne. Il a trouvé la Liechtensteinische Landesbank, mais pas de banque nationale liechtensteinoise.

Un moment d’incertitude

Au départ, M. Lauener n’a pas remarqué cette infime différence et était alors convaincu que la candidature était bien réelle. Sensibilisé par plusieurs campagnes, il a décidé de recourir à une deuxième méthode de vérification et a consulté le profil LinkedIn du candidat. Ce dernier est apparu et son contenu correspondait à celui de la lettre de motivation. « Après ce deuxième contrôle, je me sentais suffisamment rassuré et j’ai ouvert le PDF annexé. »

Tombé dans le piège

Le contenu du PDF a tout de suite alarmé notre chef du personnel. « Le CV était bien trop peu détaillé pour le profil requis. C’est alors que j’ai eu un mauvais pressentiment. J’ai fermé le document et j’ai cliqué sur le bouton Spam », explique-t-il. Il ne lui restait plus qu’à espérer que les collègues du domaine Sécurité avaient bien fait leur travail. Et c’était le cas. « L’ouverture du PDF a activé des macros manipulées qui auraient permis aux cybercriminels de s’introduire dans le système. Nos systèmes sont toutefois bien protégés contre de telles attaques, et celle-ci a fait long feu », déclare Diego Schmidlin, Chief Information Security Officer à la BAC.

Procédé typique

Le procédé est typique d’un harponnage (voir encadré) : un profil plausible est créé ; dans le cas présent, il aurait même été possible d’appeler le téléphone mobile du postulant. La personne abusée va ainsi ouvrir des documents d’un expéditeur inconnu. « Notre tâche, au domaine Cyber Security, est de rattraper cette première faute d’inattention de la personne ciblée », précise M. Schmidlin, et d’ajouter : « Avec nos diverses mesures de sécurité et de surveillance, nous instaurons une ligne de défense à plusieurs échelons. »

On en apprend tous les jours

« Après l’incident, toute notre équipe s’est creusé la tête pour savoir comment il fallait se comporter face à des postulations envoyées par courriel », dit aujourd’hui M. Lauener. « Elles sont importantes pour nous, bien qu’elles puissent être une source de risques pour la sécurité ». Depuis cette affaire, son équipe est bien plus attentive. « Je tiens beaucoup à parler de cette expérience. Ce que j’en retiens, c’est que nous sommes tous des cibles potentielles ».

Le coupable était parmi nous

Diego Schmidlin est satisfait : « Nous optimisons sans cesse nos mécanismes de défense. Le fait que le chef du personnel se soit montré aussi sceptique et ait appuyé sur le bouton Spam montre que nos mesures de sensibilisation sont efficaces ». Et il ne peut s’empêcher de sourire lorsqu’il annonce finalement que cette attaque directe contre le chef du personnel faisait partie des mesures périodiques de sensibilisation. L’attaque venait de la BAC elle-même. Dans le domaine de la cybersécurité, les exercices de sensibilisation fonctionnent comme ceux des sapeurs-pompiers où tout un immeuble doit être évacué. M. Schmidlin en est sûr : « Les personnes qui les ont vécus restent prudentes à l’avenir. Il est précieux de pouvoir obtenir ces effets même dans le cas d’une attaque simulée. Nous augmentons ainsi la cybersécurité de l’armée ».

Qu’est-ce que le harponnage (spear phishing) ?

Contrairement aux courriels d’hameçonnage, plus généraux, les harponnages ciblent certaines personnes en particulier. Souvent, ces dernières occupent des fonctions exposées, travaillent dans un service du personnel ou reçoivent régulièrement des renseignements provenant de sources externes à l’organisation. Les offres d’emploi spontanées font partie de leur quotidien. Les agresseurs veulent avoir accès à l’ordinateur de leurs victimes. Ils l’obtiennent par le biais de macros qui activent de nombreux programmes lorsqu’un document est ouvert. De là, ils essaient d’accéder à des comptes ou d’utiliser à leur profit les droits des personnes ciblées. Les agresseurs avisés évitent que leur malware soit identifié par les programmes de protection et contournent ainsi les cloisons de sécurité. Pour pouvoir déceler et se défendre rapidement contre les nouvelles techniques des agresseurs, il est important que des accords soient conclus entre diverses organisations.