L'e-mail semble inoffensif. Un numéro de facture, une note succincte, et en pièce jointe un fichier ZIP. Lorsqu'on le décompresse, un fichier HTML apparaît, affichant un historique d'e-mails antérieurs. Aucun lien, aucun formulaire, rien de suspect. Pourtant, c'est précisément ce qui rend l'attaque dangereuse.
L'Office fédéral de la cybersécurité (OFCS) alerte: derrière cette apparence banale se cache une cyberattaque complexe à plusieurs niveaux. Ces dernières semaines, plusieurs entreprises ont signalé des e-mails similaires à la Confédération. Mais aucune de ces factures n'a pu être reliée à des commandes en particulier.
Code caché en arrière-plan
Lorsque l'on ouvre le fichier HTML, il présente un historique d'échanges, créant une illusion de légitimité. Cependant, en arrière-plan, le fichier établit discrètement une connexion avec un site web externe.
A partir de là, un Javascript est téléchargé... mais pas systématiquement. Les cybercriminels vérifient d'abord le système d'exploitation de l'utilisateur et ne déclenchent le code que si certaines conditions sont remplies. De plus, cette connexion n'opère que lors des premiers accès, avant de laisser une page vide.
Selon l'OFCS, cette stratégie montre l'ingéniosité des hackers pour masquer leurs actions et instaurer la confiance. Cela complique également le travail des autorités: si aucun code malveillant n'est immédiatement téléchargé, il est difficile de bloquer l'attaque de façon proactive.
Comment se déroule l'attaque?
Dans certains cas, l'OFCS a pu analyser le code malveillant avant qu'il ne fasse des dégâts. Si la victime ouvre le fichier HTML, une page web frauduleuse apparaît, prétendant afficher une facture PDF.
Un captcha doit d'abord être résolu avant qu'un lien de téléchargement ne soit proposé. En cliquant dessus, un nouveau fichier ZIP est téléchargé, contenant un script malveillant qui installe un logiciel nuisible sur l'appareil.
Il reste un facteur de protection
Malgré cette technique de camouflage très élaborée, il existe un élément de protection important: le fait que les destinataires doivent d'abord ouvrir un fichier ZIP. Cela dissuade déjà un grand nombre d'utilisateurs, selon la Confédération.
Pourquoi un tel détour? Parce que les programmes de messagerie bloquent souvent les fichiers Javascript. Toutefois, si l'on ouvre le fichier HTML directement dans le navigateur, ce dernier applique ses règles, permettant au code malveillant d'être exécuté.
Comment se protéger?
La Confédération propose des recommandations: une facture légitime arrive toujours sous format PDF. Un fichier ZIP contenant un fichier HTML ne doit jamais être ouvert.
Il faut aussi se méfier des fichiers aux doubles extensions, telles que «facture.pdf.html», qui ne sont en réalité pas des PDF mais des fichiers HTML déguisés. Les extensions de fichiers peuvent être activées dans l'Explorateur Windows pour mieux les identifier.
Si, après avoir ouvert une pièce jointe, le navigateur demande un téléchargement supplémentaire, il faut immédiatement l'interrompre. Les entreprises devraient bloquer les types de fichiers dangereux à la porte d'entrée de leur messagerie: au-delà des .exe et .js, des archives comme .zip, .7z, .rar, .iso ou .cab, ainsi que des macros Office comme .docm, .xlsm et .pptm.
La Confédération maintient une liste d'extensions potentiellement dangereuses sur Github. En cas d'ouverture accidentelle d'un fichier malveillant, il est crucial de déconnecter immédiatement l'appareil du réseau pour éviter toute propagation du malware.
