Lorsqu’on traite d’attaque contre les entreprises, l’accent est généralement mis sur quatre aspects : la finance, la propriété intellectuelle, les données personnelles et l’infrastructure informatique. Cependant, n’oublions pas que les cybercriminels peuvent également cibler les ressources de l’entreprise gérées par les relations publiques et le marketing, notamment l’emailing, les plateformes publicitaires, les réseaux sociaux et les sites promotionnels. À première vue, ces activités peuvent sembler peu attrayantes pour les acteurs malveillants (« quels sont les revenus à en tirer ? »), mais dans la pratique, chacune d’entre elles peut servir aux cybercriminels pour leurs propres « activités marketing ».
Publicité malveillante
À la grande surprise de beaucoup (même des experts des départements de la sécurité informatique), les cybercriminels utilisent activement la publicité payante légitime depuis plusieurs années. D’une manière ou d’une autre, ils paient pour des bannières publicitaires et du positionnement dans les résultats de recherche, et se servent d’outils de promotion destinés aux entreprises. Il existe de nombreux exemples illustrant ce phénomène, connu sous le nom de malvertising (publicité malveillante). En règle générale, les cybercriminels font la publicité de fausses pages d’applications populaires, lancent de fausses campagnes promotionnelles de marques célèbres, et emploient d’autres stratagèmes frauduleux destinés à un large public. Il arrive que les acteurs malveillants créent leur propre compte publicitaire et paient leurs frais de publicité, mais cette méthode laisse trop de traces (comme les informations de paiement). Ils font donc appel à une autre méthode plus alléchante : voler des identifiants de connexion et pirater le compte publicitaire d’une entreprise honnête, puis promouvoir leurs sites par ce biais. Les cybercriminels y gagnent doublement : ils peuvent dépenser l’argent des autres sans laisser de traces inutiles. Mais l’entreprise victime, en plus de voir son compte publicitaire vidé, rencontre un problème après l’autre, allant potentiellement jusqu’au blocage par la plateforme publicitaire pour diffusion de contenu malveillant.
Notation plombée et perte d’abonnés
Une variante du stratagème décrit ci-dessus consiste à prendre le contrôle des comptes d’annonceurs payants des réseaux sociaux. Les particularités des plateformes de réseaux sociaux occasionnent des problèmes supplémentaires pour l’entreprise ciblée.
Tout d’abord, l’accès aux comptes des réseaux sociaux des entreprises est généralement lié aux comptes personnels des employés. Il suffit souvent à un pirate informatique de compromettre l’ordinateur personnel d’un annonceur ou de voler les mots de passe de ses réseaux sociaux pour accéder non seulement à ses mentions j’aime et aux photos de son chat, mais également au périmètre d’action conféré par l’entreprise pour laquelle il travaille. Il s’agit notamment de la publication de messages sur la page du réseau social de l’entreprise, l’envoi d’emails aux clients via le mécanisme de communication intégré ou encore la diffusion d’annonces payantes. Il est facile de révoquer ces fonctions pour un employé dont le compte a été compromis, tant qu’il ne s’agit pas de l’administrateur principal de la page de l’entreprise. Dans ce cas, restaurer l’accès sera extrêmement laborieux.
Deuxièmement, la plupart des annonces sur les réseaux sociaux prennent la forme de « publications sponsorisées » créées au nom d’une entreprise en particulier. Si un pirate informatique publie et sponsorise une offre frauduleuse, le public voit immédiatement qui l’a publiée et peut exprimer ses réclamations directement sous la publication. Dans ce cas, l’entreprise en souffrira non seulement sur le plan financier, mais également par l’atteinte visible à sa réputation.
Troisièmement, de nombreuses entreprises enregistrent sur les réseaux sociaux des « audiences personnalisées », autrement dit des groupes prêts à l’emploi de clients intéressés par divers produits et services ou qui ont déjà visité le site Internet de l’entreprise. Bien qu’elles ne puissent généralement pas être extraites (c’est-à-dire volées) d’un réseau social, il est malheureusement possible de créer des publicités malveillantes orientées vers un public particulier, et donc plus efficaces.
Campagne d’emailing non programmée
Un autre moyen efficace pour les cybercriminels de diffuser des annonces gratuitement est de pirater le compte utilisateur d’un fournisseur de services de messagerie. Si l’entreprise attaquée est assez grande, sa liste de diffusion peut compter des millions d’abonnés.
Cet accès peut être exploité de plusieurs façons : en diffusant une offre truquée et irrésistible aux adresses email figurant dans la base de données des abonnés, en substituant secrètement les liens dans des envois publicitaires planifiés, ou tout simplement en téléchargeant la base de données des abonnés pour leur envoyer ultérieurement du phishing par d’autres moyens.
Là encore, le préjudice subi est d’ordre financier, réputationnel et technique. Par « technique », nous entendons le blocage des emails ultérieurs par les serveurs de messagerie. Autrement dit, après les envois malveillants, l’entreprise victime devra résoudre des problèmes non seulement avec la plateforme d’envoi, mais aussi potentiellement avec certains fournisseurs de messagerie qui l’auront identifiée comme source d’emails frauduleux et bloquée.
Un effet secondaire très désagréable d’une telle attaque est la fuite des données personnelles des clients. Il s’agit d’un incident à part entière, capable non seulement d’endommager votre réputation, mais également de vous valoir une amende de la part des autorités de protection des données.
Cinquante nuances de sites
Le piratage d’un site Internet peut passer inaperçu pendant longtemps, surtout pour une petite entreprise qui exerce ses activités principalement sur les réseaux sociaux ou hors ligne. Du point de vue des cybercriminels, les objectifs du piratage d’un site Internet varient en fonction du type de site et de la nature de l’activité de l’entreprise. En laissant de côté les cas où la compromission d’un site Internet s’inscrit dans le cadre d’une cyberattaque plus complexe, nous pouvons généralement distinguer les cas suivants.
Tout d’abord, les acteurs malveillants peuvent installer un e-skimmer sur un site d’e-commerce. Il s’agit d’un petit code JavaScript bien déguisé, intégré directement dans le code du site Internet, qui vole les données de sa carte bancaire lorsqu’un client règle un achat. Le client n’a rien besoin de télécharger ni d’exécuter : il se contente d’acheter des biens ou des services sur le site, et les pirates informatiques récupèrent son argent.
Ensuite, les pirates informatiques peuvent créer des sous-sections masquées sur le site et y ajouter le contenu malveillant de leur choix. Ces pages peuvent être utilisées pour un large éventail d’activités criminelles, qu’il s’agisse de cadeaux publicitaires truqués, de ventes truquées ou de la diffusion de chevaux de Troie. Utiliser un site Internet légitime à ces fins est idéal, tant que les propriétaires ne remarquent pas qu’ils ont des « invités ». Il y a, en fait, toute une industrie centrée autour de cette pratique. Les sites sans surveillance créés pour une campagne marketing ou un événement ponctuel, mais qui ont ensuite été oubliés, sont particulièrement populaires.
Les dommages causés à une entreprise par le piratage d’un site Internet sont vastes et incluent : l’augmentation des coûts liés au site en raison du trafic malveillant ; une baisse du nombre de visiteurs réels à cause du déclassement du référencement du site ; des litiges potentiels avec les clients ou les forces de l’ordre au sujet de débits imprévus sur la carte des clients.
Formulaires Internet détournés
Même sans pirater le site Internet de l’entreprise, les acteurs malveillants peuvent l’utiliser à leurs propres fins. Il leur suffit d’une fonctionnalité sur le site Internet qui génère un email de confirmation : un formulaire pour partager des commentaires, un formulaire de rendez-vous, etc. Les cybercriminels utilisent des systèmes automatisés pour exploiter ces formulaires à des fins de spam ou de phishing.
Le fonctionnement est simple : l’adresse de la cible est saisie dans le formulaire en tant qu’email de contact, tandis que le texte de l’email frauduleux s’affiche dans le champ Nom ou Objet. Par exemple, « Votre transfert d’argent est prêt à être émis (lien) ». La victime reçoit alors un email malveillant au format suivant : « Bonjour XXX, votre transfert d’argent est prêt à être émis (lien). Merci de nous avoir contactés. Nous vous écrirons sous peu ». Naturellement, les plateformes anti-spam finissent par arrêter de laisser passer ces emails, et le formulaire de l’entreprise victime perd une partie de son efficacité. De plus, tous les destinataires de ces emails se font une mauvaise opinion de l’entreprise et l’assimilent à un spammeur.
Comment protéger les ressources des relations publiques et du marketing contre les cyberattaques
Étant donné que les attaques décrites sont très diverses, une protection approfondie est nécessaire. Voici la procédure à suivre :
- Organiser une formation de sensibilisation à la cybersécurité pour l’ensemble du service marketing. Recommencer régulièrement ;
- S’assurer que tous les employés adhèrent aux bonnes pratiques en matière de mots de passe : mots de passe longs uniques pour chaque plateforme et utilisation obligatoire d’une authentification à deux facteurs, en particulier pour les réseaux sociaux, les outils d’emailing et les plateformes de gestion des annonces ;
- Se débarrasser de la pratique consistant à utiliser un mot de passe unique pour tous les employés ayant besoin d’accéder au réseau social de l’entreprise ou à un autre outil en ligne ;
- Demander aux employés d’accéder aux outils de diffusion/de publicité et au volet d’administration du site Internet uniquement à partir d’appareils de travail dotés d’une protection complète conforme aux normes de l’entreprise (EDR ou sécurité Internet, EMM/UEM, VPN) ;
- Inviter instamment les employés à installer une protection complète sur leur ordinateur personnel et sur leur smartphone ;
- Instaurer la pratique de la déconnexion obligatoire des plateformes de diffusion/de publicité et d’autres comptes de ce type lorsqu’ils ne sont pas utilisés ;
- Penser à révoquer l’accès aux réseaux sociaux, aux plateformes de diffusion/de publicité et à l’administration du site Internet dès qu’un employé quitte l’entreprise ;
- Examiner régulièrement les listes d’envoi et les annonces en cours de diffusion, ainsi que l’analyse détaillée du trafic Web, afin de détecter à temps toute anomalie ;
- S’assurer que tous les logiciels utilisés sur vos sites Internet (le système de gestion de contenu, ses extensions) et sur les ordinateurs de travail (comme le système d’exploitation, le navigateur et la bureautique) sont régulièrement et systématiquement mis à jour;
- Collaborer avec l’assistance en sous-traitance de votre site Internet pour mettre en œuvre la validation et le nettoyage des formulaires ; en particulier, pour vérifier qu’il n’est pas possible d’insérer des liens dans des champs non prévus à cet effet. Définissez également une « limite de débit » pour empêcher le même acteur de faire des centaines de requêtes par jour, ainsi qu’un captcha intelligent pour vous protéger des bots.