Le Wall Street Journal s'est fait pirater, mais se veut rassurant

Le Wall Street Journal s’est fait pirater, mais se veut rassurant

Je vais bien, tout va bien...

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

12/10/2015 2 minutes
8

Le Wall Street Journal s'est fait pirater, mais se veut rassurant

Le Wall Street Journal a annoncé vendredi soir qu'un « accès non autorisé » à ses serveurs avait eu lieu. La société se veut rassurante et indique qu'elle n'a pour le moment aucune preuve permettant d'affirmer que des données ont été dérobées. La prudence reste évidemment de mise.

L'année 2015 aura largement été marquée par les cyberattaques en tout genre et le vol de données personnelles, y compris des informations très sensibles comme des empreintes digitales. Cette fois-ci, c'est au tour de nos confrères du Wall Street Journal d'être la cible d'une cyberattaque ayant conduit à un « accès non autorisé » à ses serveurs. 

Une vaste campagne d'attaque

La société précise que cette attaque est probablement la conséquence d'une vaste campagne impliquant de nombreuses entreprises. L'objectif est de récupérer des informations comme les noms, prénoms, adresses, emails et numéros de téléphones afin de lancer des campagnes de phishings - c'est souvent le cas dans ce genre de situation.

Durant l'escapade dans les serveurs de la société, le WSJ indique que le ou les pirates auraient pu consulter « les cartes et les coordonnées bancaires de moins de 3 500 personnes ». Mais la société se veut rassurante : « À ce jour, notre examen approfondi n'a mis en avant aucune preuve directe indiquant que des informations auraient été dérobées, et nous avons pris des mesures pour empêcher cet accès non autorisé », sans plus de précisions sur la brèche exploitée pour y arriver.

Les personnes concernées par un possible accès à leurs coordonnées bancaires sont contactées par courrier avec de plus amples informations sur cette affaire. « Si vous ne recevez pas une telle lettre, c'est que nous n'avons aucune indication qu'il y a eu accès à vos informations financières » ajoute le Wall Street Journal.

Attention au risque de phishing

Comme toujours, si vous êtes potentiellement concernées, il convient d'être attentif aux emails que vous recevez afin d'éviter un hameçonnage dans le but de récupérer encore plus d'informations. Un conseil qui est finalement tout le temps valable et pour tous les courriels que vous recevez vous demandant des informations ou de vous identifier sur un site en suivant un lien par exemple.

 

8

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une vaste campagne d'attaque

Attention au risque de phishing

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (8)


Osef, j’ai tout placé sur des comptes offshore.


Le phishing est de plus en plus “malin”. Notre comptable à eu un mail de sois-disant notre PDG, pour autoriser un virement bancaire de 24k€….<img data-src=" />

heureusement que le “ton” du mail était trop formel du coup la comptable s’est méfié et a averti l’informatique…puis nous on a vu que l’adresse email était bidon mais que l’adresse d’affichage était la bonne (selon le client mails, on ne voit que l’adresse d’affichage et pas la “vrai” adresse)


en général le phishing te demande de l’argent ou tes coordonnées bancaires ou tes identifiants. tout mail demandant ces informations doit être considéré suspect même si en apparence il est crédible. (noms, forme, ton)


Ça fait des années que cette arnaque existe : Il y avait même eu un reportage sur France 2 si je me souviens là-dessus : Il s’agit d’un gang de quelques franco-israéliens qui ont de bonnes connaissances en social engineering et connaissent très bien les processus de prise de décisions au sein des entreprises…



Dans les cas les plus sophistiqués il vont même jusqu’à utiliser de la synthèse vocale pour reproduire la voix du pdg / cadre concerné à partir d’enregistrements pris dans les médias…


C’est pour ça que pas mal de boite demandent à ce qu’il y ait confirmation de deux responsable dont un physiquement pour faire certaines opération maintenant…


Pas forcément besoin d’en passer par le “physiquement”, mais si déjà les gens utilisaient les outils à bon escient on aurait pas ce genre de problème…



Un mail sans signature électronique, c’est un post-it. Un truc très bien pour passer l’heure de la réunion, mais rien d’autres.&nbsp;Hors, quelle entreprise chiffre/signe ses mails, au moins en interne ? Quasi aucune, même celles touchant à des choses sensibles (défense, finance…).



C’est un vieux problème dont la non résolution est désespérante ! :p


Dans “social engineering” il y a social : C’est pas forcément la partie technique qui est défaillante : Par exemple l’escroc peut appeler le standard de l’entreprise jusqu’à se faire rediriger vers le bon service, se faire passer pour le PDG et dire “Je suis en déplacement à l’étranger, j’ai pas accès au WI-FI, j’ai besoin que tu exécutes une action super importante pour moi car on est sur le point de racheter une entreprise en Chine et il faut finaliser ça au plus vite, pourra-tu tu effectuer un virement vers ce compte en Chine ?”



1/ La personne au bout du fil n’est quasi jamais experte en technologie, sécurité etc…

2/ On n’est pas sur un mail mais un coup de fil

3/ Le côté “C’est une opération stratégique, l’avenir de la boite est en question” met clairement la pression sur la personne au bout du fil qui a peur de faire tout capoter…


Hum, pour moi là aussi le problème est aussi un peu technique. Il est tout à fait possible de valider une communication téléphonique, pour être sur que ça vient bien d’une puce SIM particulière. Sauf que ça n’interesse pas vraiment les gens, donc ça n’est pas supporté par grand monde, nettement moins qu’avec les mails (et c’est aussi moins sûre, les opérateurs peuvent truquer le truc il me semble).




Mais je te rejoins sur le fait qu'il y a une partie "humaine" dans le problème. Les opérations sensibles (argents, documents, ...) ne doivent passer que par des canaux de communications sécurisés, et il faut expliquer quels sont ces canaux. Et au PDG de montrer l'exemple, en assurant chacun qu'il n'en sortira jamais.   






A la technique de s'assurer que ces canaux sont d'une part bien sécurisé, et d'autre part suffisament facile à utiliser pour devenir "la norme". Mais en général quand elle présente la facture, on lui dit d'oublier <img data-src=">