ZATAZ

Plusieurs médias Français face à des phishing très ciblés

Le site pirate où a été acquis les pages de phishing. Ici, Office 360 et Adobe cloud.

Depuis plusieurs semaines, un mystérieux pirate vise les médias français et plus précisément les chaînes de télévision et leurs partenaires. Simple phishing ou préparation d’une attaque informatique d’envergure ?

Tout commence par un courriel ! Simple, efficace, aux couleurs de la société Harmonic Inc. Harmonic Inc. est une société américaine, spécialisée dans le routage, les serveurs et le stockage vidéo à destination des entreprises qui produisent, traitent et distribuent du contenu vidéo, que ce soit pour la télévision et Internet.

A noter que d’autres courriels malveillants, aux couleurs de plusieurs autres professionnels de ce secteur, ont été diffusés : Dalet, VideoMenthe … Cette dernière est une entreprise française. Elle propose une plateforme collaborative de workflow média (serveurs, cloud, IA, transcodage, sous-titres …)

Bref, des entités qui travaillent avec la majeure partie des chaînes de télévision.

Phishing ciblé à l’encontre des médias français = efficacité ?

Quel est donc l’intérêt du pirate ? Parmi les cibles, TF1, France Télévision, ARTE. Je vous en parlais d’ailleurs très brièvement, en février, sur Twitter et Linkedin.

Pour réussir sa cyberattaque, le pirate a d’abord dû collecter des adresses mails très ciblées, d’employés de chez Harmonic, VideoMenthe, TF1, LCI, Arte, FTV … Pas si simple que ça à collecter.

Cela démontre une motivation hors norme de l’assaillant. Nous ne sommes clairement pas dans un hameçonnage de masse dont les cibles sont inconnues du pirate.

Ensuite, les pages phishing elles-mêmes. J’ai pu en constater deux. Il y en a peut-être beaucoup plus. La première usurpe la plateforme Office 365 de Microsoft. La seconde, Adobe Document Cloud. Deux kits achetés dans un espace du black market du nom de Boomerang [capture en haut de cette page]. Les kits sont commercialisés 20 dollars pièce. Ils sont très efficaces.

Par exemple, dans le cas de Office 360, si vous proposiez un faux identifiant (mail ou téléphone) dans la page phishing, cette dernière vous précise que vous n’avez pas de compte officiel sur la plateforme de Microsoft. De quoi faire tomber quelques réticences chez l’internaute hameçonné. Le phishing est capable de confirmer votre présence dans le site usurpé !

Son nom est James !

Dans son phishing, le pirate a aussi enregistré des noms de domaine. Des .cf (Centre Afrique). Heureusement, il n’a pas eu l’idée d’une usurpation plus fine. Pour le cas de la société Harmonicinc.com, un harmonicinc.co aurait été dès plus efficace. A noter que le domaine harmonicinc.co existe ! Je vous explique le danger du suffixe Colombien pour les sites en .COM dans un article dédié.

« Heureusement », le pirate a fait des erreurs. Erreurs volontaires ? Ce n’est pas impossible non plus !

Je ne vous expliquerais pas comment, mais j’ai pu accéder au code source de la page pirate. Dans les habituels codes d’interceptions, deux adresses mails ayant pour mission de réceptionner les données : jamestanner229* et jsm63*. Pour la petite histoire, James Stanner est un chef cuisinier britannique, vedette de la télévision locale.

Toujours dans le code source, mais cette fois, il suffit de récupérer le phishing vendu sur Boomerang, un lien renvoyant sur un fichier texte sauvegardé dans chaque phishing. Un document permettant de collecter des données hameçonnées.

James (il s’agit ici bien évidement d’un pseudonyme) m’a permis de constater la réussite de son attaque. 69 personnes ont répondu à l’un des courriel. Comprenez qu’il a pu collecter le mot de passe des accès Office 360/Adobe Cloud d’employés.

Sachant qu’il y a eu plusieurs vagues de phishing, difficile de connaître le nombre exact de personnes piégées.

Médias français : opération « Enormous » 2.0 ?

Quel est donc l’intérêt final de cette tentative d’infiltration pirate ? La mise en place d’une fraude au faux virement à grande échelle visant l’ensemble de ces entités télévisuelles ?

Politique ? Avec les échéances électorales à venir, une ambition de malmener des vidéos, reportages, réseaux sociaux … ?

Espionnage ? Connaitre les sujets en cours de réalisation ? Il faut dire aussi que des reportages comme celui diffusés, par exemple sur ARTE, sur l’histoire du KGB/FSB « Le sabre et le bouclier » [excellent] pourraient en énerver plus d’un du côté du Kremlin.

Les chaînes de télévision impactées ont été promptes à agir. Tf1, d’ailleurs, avait déjà alerté ses salariés en février 2019.

Des RSSI de medias français au taquet face à des assaillants de plus en plus pointus. Les souvenirs du « piratage » de TV5 monde est encore dans certains esprits.

Pour conclure, un phishing très ciblé, dont les ambitions cachées restent encore à découvrir. Et je doute que cela soit pour regarder les anciens épisodes du Capitaine Marleau.