+41 22 552 23 99 info@comtechnique.ch

Pour ceux qui travaillent dans le secteur de la sécurité informatique, la bataille est constante: maintenir l’intégrité des systèmes et la vigilance de ses utilisateurs. La propagation des menaces repose en grande partie sur les utilisateurs des systèmes informatiques pour effectuer certaines actions basiques, comme cliquer sur un lien ou ouvrir un simple document.  Avec la diffusion de courriels de plus en plus sophistiqués semblant provenir de véritables entreprises ou administations  les utilisateurs sont rapidement convaincus, ou ne remarquent plus les incohérences.

Bien sûr ce n’est pas nouveau. Afin de démontrer l’importance de la prudence et de la vérification nécessaires lorsqu’il s’agit de courriers électroniques provenant de sources inconnues, cet article se concentre sur une nouvelle menace récemment apparue. Il a été découvert par l’un de nos clients et a été transmis à ComTechnique pour vérification.

La menace est arrivée par un banal courrier électronique, semblant avoir été envoyé par la police du canton de Vaud en Suisse, avec les logos officiels et un texte convaincant, accompagné d’un fichier de type Microsoft Word. Le logiciel antivirus installé n’ayant détecté aucun problème, il a donc pu arriver dans la boîte mails.

La description et le contenu semblaient indiquer que le destinataire avait enfreint le code de la route, dont la preuve était fournie en pièce jointe.

En bref, la pièce jointe contenait une macro VBA cachée, avec une structure compliquée pour masquer ses intentions. Après le long décodage dans les locaux de ComTechnique, il est apparu que le script était destiné à lancer un script Powershell permettant de télécharger un fichier exécutable à partir d’un site Web en Allemagne, de le lancer immédiatement après, afin de faire tout ce qu’il était censé faire. Le tout s’exécutant de manière invisible et sans le consentement de l’utilisateur.

Le code actif ressemble à une sorte de cheval de Troie. Au début, seuls quelques agents antivirus détectaient le contenu malveillant, mais 24 heures plus tard après avoir donner l’alerte, la plupart des fabricants étaient en mesure d’écrire des filtres pour cette menace spécifique afin de l’éliminer.

L’essentiel de l’histoire est que le piratage informatique devient très facile sans une constante vigilance. Nous devons tous être conscients de la menace que représentent ces types d’attaques, en particulier lorsque celles-ci sont reçues avant que le logiciel de protection ne puisse réagir avec les défenses adéquates.

Soyez toujours prudents et méfiants, vérifiez TOUJOURS avant de cliquer sur les liens ou d’ouvrir les pièces jointes. En cas de doute, alertez votre Service IT.