Le mardi 22 novembre, le groupe Vinci a fait l’objet de fausses rumeurs, diffusées à l’aide de faux communiqués de presse, et qui ont eu des conséquences sur les marchés financiers. Il ne s’agit pas d’un cyberpiratage, mais d’un procédé relativement nouveau.
Ces allégations mensongères, provenant d’une source inconnue à ce jour, faisaient notamment état d’une révision des comptes consolidés de VINCI pour l’exercice 2015 et le premier semestre 2016 suite à de supposées malversations comptables ; celles-ci ayant entraîné le licenciement du directeur financier. Ce premier faux communiqué a été suivi par deux autres faux communiqués, l’un diffusant un démenti partiel, l’autre une « pseudo-revendication » anonyme.
Dans un communiqué, Vinci indique qu’ à “ce stade des investigations menées par Vinci, le Groupe n’a subi aucune intrusion dans ses systèmes informatiques. L’ensemble des procédures d’information à l’AMF, aux marchés financiers, et à la presse a été respecté par les équipes de Vinci. Vinci n’a donc pas été victime d’un piratage informatique, mais d’usurpation d’identité.” Avant de continuer : “Des adresses e-mail comportant la dénomination Vinciont en effet été utilisées pour tromper les médias. Les noms du directeur de la communication du Groupe et du responsable du service de presse ont également été usurpés. Enfin, un faux site web VINCI a été créé sur lequel le premier faux communiqué de presse a été publié en version téléchargeable.”
Un procédé peu fréquent
Selon François Nogaret, Associé chez Mazars, cette « attaque » présente des particularités par rapport à ce que nous connaissons régulièrement depuis plusieurs mois, et appelle plusieurs commentaires. « Ce procédé est assez nouveau et constitue une variante de la « fraude au Président » à l’envers : le hacker ne s’est pas introduit dans l’entreprise pour se faire passer pour un dirigeant, mais s’est fait passer pour l’entreprise, auprès des médias. Le moyen utilisé est donc une variante d’un procédé bien connu. Mais assez peu fréquent jusqu’alors », analyse-t-il. Cette forme d’attaque doit attirer l’attention sur un fait, enchaîne-t-il : « La sécurité liée à une information financière publiée est primordiale. Les sites qui fournissent ce type d’informations sont parfois les parents pauvres de la protection cyber, parce qu’ils n’hébergent pas de transactions commerciales, ou ne voient pas transiter de fonds. Or, communiquer une information falsifiée au marché peut être tout aussi préoccupant que faire l’objet d’un détournement de fonds. Cet épisode en est la preuve. »
Il met en garde : « On n’est jamais trop prudent ; l’adresse e-mail qui figurait sur les e-mails transmis ne reflétait pas la syntaxe des adresses du mail du Groupe Vinci qui revêtent la forme xxx@vinci.com : « vinci.group », puis « vinci-group.com » dans les deux faux mails. Ces deux anomalies auraient dû alerter l’attention du lecteur ! L’attaque en question ne constitue pas au final une « cyber attaque » au sens habituel du terme, dans la mesure où elle n’a fait appel à aucun procédé technique complexe ou particulier. Il s’est simplement agi d’une manipulation frauduleuse plus classique que cyber. »
Le maillon le plus faible est bien l’humain. Ryan Kalember, vice-président senior Cybersecurity Strategy chez Proofpoint, ne dit pas autre chose en décryptant cette “attaque” : “Les internautes ne doutent pas que l’e-mail qu’ils reçoivent vient de la personne indiquée comme expéditeur et que la représentation de la marque présente sur les sites ou e-mails n’est pas frauduleuse. Les cybercriminels savent que les internautes ont confiance dans les e-mails et les sites web d’entreprise qu’ils utilisent pour gérer leurs activités, les pirates travaillent donc sans relâche à exploiter ces différents canaux.”