BFM Tech

Comment des hackers ont piégé Vinci

-

- - -

Personne ne s'est introduit hier dans les systèmes informatiques de Vinci. Le groupe a été victime d'un cybersquattage.

L'opération a été rondement menée. Ce mardi 22 novembre, deux faux communiqués de presse envoyés au nom du groupe Vinci ont provoqué un véritable crash sur le titre en bourse. Dans le démenti qui a suivi, la société affirme avoir été "victime d'un piratage". Pourtant, personne ne s'est introduit dans les systèmes informatiques. Il s’agit ni plus ni moins d’un cybersquattage ou « domain squatting ».

Les hackers ont déposé de faux noms de domaine

Les hackers ont agi en plusieurs temps. Le 25 mai 2016, ils ont déposé le nom Vinci-group.com chez l’hébergeur OVH (un signalement d’usage abusif de ce nom a d’ailleurs été émis). Le 7 novembre, c’est sur la plateforme d’enregistrement de noms de domaine Gandi qu’a été créé le nom Vinci.group. Ces deux adresses n’ont bien entendu rien à voir avec les véritables adresses des sites web de la galaxie du roi du béton.

Ces deux sites ont ensuite littéralement « aspiré » le contenu du vrai site de Vinci et ont donc été mis en ligne en reproduisant l’exacte copie du site Vinci.com, avec l’ensemble des liens qui s’y rattachent. Ce n’est que le 22 novembre qu’ils ont pu y poster leur faux communiqué de presse, accessible donc sur le site Vinci.group et non Vinci.com.

De l'ingénierie sociale

Propriétaire des noms vinci.group et vinci-group.com, ils ont également eu tout loisir de créer les adresses mail rattachées. Ils ont d’ailleurs réalisé en amont un peu d’ingénierie sociale afin de récupérer les noms des personnes qui travaillent effectivement au département communication du groupe Vinci, pour leur attribuer une fausse identité mail.

Ils n’avaient plus qu’à envoyer le premier faux mail à un réseau de journalistes économiques. Détail qui a son importance : ils avaient prévu sur le faux communiqué d’insérer un numéro de téléphone réel pour répondre aux journalistes qui n’allaient certainement pas manquer de se manifester auprès du service de communication. Une personne était chargée de répondre comme si elle appartenait bien au groupe Vinci.

Cette opération de Domain Squatting reprend de méthodes déjà éprouvées. Avec en premier lieu, le principe de la fraude au président, mais à l’envers. Ici, le pirate ne s’est pas fait passer pour le PDG auprès de ses collaborateurs mais pour l’entreprise auprès des journalistes. La deuxième malveillance concerne l’usurpation d’identité. À la fois pour créer les faux sites, les numéros de téléphone et pour mettre en place l’ensemble de l’attaque.

Frédéric Simottel