Mercredi 15 juillet 2015 au matin, les prestataires de messagerie électroniques (email) ont constaté un phénomène inhabituel : leurs serveurs ont montré des signes de faiblesse, ou tout du moins d’activité anormale.
Pour les internautes et les professionnels qui dépendent de l’email, cela s’est traduit par une apparente « panne » des emails. En réalité, les emails envoyés (et à recevoir) ont été retardés de plusieurs heures.
La cause de tout cela ? une vague de spam sans précédent (certains prestataires ont parlé de « tsunami numérique »). Le sujet et le contenu du spam en question n’était pas pour autant nouveau, les premiers échantillons avaient été rencontrés début juin 2015.
Un virus diffusé à grande échelle
Pic de connexion observé sur l'un des serveurs frontaux smtp (source: protectmail.com)
Il est probable d’ailleurs que ces premiers envois aient servi de test, pour ajuster le message afin de réussir à traverser un maximum de filtres antispam, et de tromper un maximum d’utilisateurs, en les convaincant d’ouvrir la pièce jointe.
La date de cette énorme vague de spam ne doit rien au hasard : le mercredi 15 juillet est le premier jour travaillé après le pont du 14 juillet : les administrations et entreprises sont de nouveau ouvertes, mais en effectifs réduit. Les services informatiques de certains services sont même fermés.
Les entreprises et administrations sont clairement visées, si l’on se réfère aux objets des emails envoyés :
- Facture juillet xxx
- Facture decadaire xxx
- Retards des paiements facture xxx
- Votre facture Importance xxx
- DUPLICATA FAC xxx
- Releve du mois de juillet
- Commande – CDXXXX
- Nouveau fax du XX XX XX XX XX
Ainsi qu’au contenu de la pièce jointe : un document de type « word », qui lui-même contient un Virus. Lors de cette vague d’envoi, le virus n’a pas été détecté par l’essentiel des anti-virus, et ce pendant près de 48hrs. Cela signifie que les antivirus qui équipent les services de filtrage « Cloud » n’ont rien vu, et que seuls les services de filtrage « Cloud » qui intègrent un filtre antispam performant ont bloqués ces messages infectés (car avant d’être un mail avec virus, c’est un…spam).
Pour les autres, les destinataires étaient donc uniquement protégés par leur vigilance dans un premier temps, et par l’antivirus éventuellement installé sur leur poste, une fois celui-ci mis à jour avec les dernières signatures de virus, après plusieurs heures voir jours.
L’arbre qui cache la forêt
Quelle que soit la virulence de cette vague de spam en vu de diffuser un virus, nous craignons que ce ne soit rien par rapport à ce qui nous attend. En effet, cette vague de spam a clairement visé la France (choix de la date, objet des emails). Il y a sans nul doute désormais des (centaines de) milliers d’ordinateurs infestés par un virus, qui s’est confortablement installé dans les entrailles informatiques. Et qui se manifestera plus tard, probablement au beau milieu du mois d’Aout, période sans activité industrielle en France, et où de nombreux comptes bancaires, serveurs et autres données sensibles seront sans surveillance..
Impossible de savoir ce qu’il va se passer, mais on peut essayer d’imaginer :
L’attaque est trop ciblée et professionnelle pour être simplement en vue de lancer du phishing de banque ou de ecommerce. Par contre, le fait d’avoir visé des entreprises est révélateur : il peut s’agir d’un attaque planifiée de ransomware (à leur retour de congés, les chefs d’entreprises retrouveraient toutes leurs données cryptées, restituées contre paiement d’une rançon), ou d’une escroquerie financière à grande échelle (envoi de factures fictives aux clients de l’entreprise victime, avec injonction de payer sans délai), ou tout simplement voler les informations de connexions bancaires, puisque finalement, les destinataires étaient les services comptables des entreprises.
A défaut de savoir ce qu’il va se passer, il est possible d’effectuer des actions simples pour se protéger et protéger son entreprise :
- Vérifier ses sauvegardes, et s’assurer qu’il en existe une copie « hors ligne ». C’est-à-dire qui ne soit pas connectée à un ordinateur (DVD, DAT, Disque dur externe dans un coffre, …)
- En cas de fermeture de l’entreprise, et si cela ne gène pas le fonctionnement de l’infrastructure, couper les connexions réseau entrantes et sortantes ; cette disposition peut être prise même les week-ends.
- Et bien sûr, rappeler à tout son personnel l’importance de ne pas ouvrir une pièce jointe suspecte (non attendue ou incongrue).
Werner KLINGER
Ingénieur Conseil Web & NTIC.