Piratage de France Travail: «Piéger un humain est la priorité chez les pirates informatiques»

RFI : S’agit-il d’une escroquerie bien préparée ?

Damien Bancal : On peut se dire qu’il y a deux possibilités. La première, c'est effectivement un groupe organisé, qui connaît sa cible, qui va prendre le temps de pouvoir l'infiltrer, la convaincre par des messages, ou en tout cas des courriers électroniques piégés. Ou alors, clairement, des pirates informatiques qui ont l'occasion qui fait le larron. Ils ont trouvé une cible et ils ont vu qu'ils pouvaient accéder à son ordinateur. À partir de cet ordinateur, ils ont vu des données, ils se sont dits : « comme nous, on est dans un business de la malveillance, on va exfiltrer parce que tout ça, c'est de l'argent pour nous ».

Est-ce que l'on peut se dire qu’il y a un manque de vigilance par rapport à un service public, comme France Travail ?

On ne peut pas vraiment dire qu'il y a un manque de vigilance. Je pense par contre qu’il y a un véritable manque d'éducation et de rétention de l'information dédiée à la cybersécurité. On sait qu’il y a des formations, de l'éducation, des rappels. On sait qu'il existe aussi des entités comme l'ANSSI, qui rappelle les dangers de la cybercriminalité aussi aux entités publiques. Le problème, c'est que derrière, on a des humains qui ne retiennent pas obligatoirement ce qu'on leur explique face aux cybercriminels, qui ne retiennent pas que quand je reçois un mail, je ne clique pas sur n'importe quel fichier joint ou lien qui me promet telle ou telle promesse. Donc, piéger un humain est la priorité chez les pirates informatiques. Et si un pirate réussit une victime sur mille, lui, il s'en moque, il a réussi son coup.

Là, on ne sait rien des motivations de ces cyberattaquants ?

Parmi les motivations – d'ailleurs, celle qui a été expliquée par le parquet de Paris – le phishing, le fameux hameçonnage. Donc, ce sont des gens qui collectent de la donnée. Cette donnée, ils vont la trier, ils vont l'analyser et ensuite, ils vont la réutiliser pour usurper des identités et surtout piéger les personnes derrière le numéro de téléphone ou le mail qu'ils ont pu exfiltrer. Et à partir de là, ils peuvent se faire passer pour une banque, pour l'administration fiscale, pour un médecin, pour un internaute… Et l'important pour eux, c'est de continuer leur infiltration. 

L'idée qu’il y ait éventuellement des commanditaires derrière cette cyberattaque et ce vol de données, est-ce crédible ? 

Il est crédible qu'il y ait eu des commanditaires. Alors, ces commanditaires, par exemple, dans ce que je peux en vivre, ce sont des acheteurs de données, parce que ces acheteurs vont savoir comment faire fructifier des informations volées. Comme, envoyer des courriers d'hameçonnage et ensuite intercepter des données bancaires. Ça peut être aussi des numéros de téléphone, et là, ils vont appeler les victimes pour se faire passer pour une banque. Il existe énormément de commanditaires, parce qu'il existe énormément de données. Et toutes les données se vendent et s'achètent. 

Est-ce qu’on pourrait identifier un réseau de revendeurs de ces données ?

Il est très clair que les autorités ont mis la main sur trois internautes qui font partie, semble-t-il, de cette cyberattaque et de ce vol de données. Maintenant, il faut tirer des ficelles, et il va être très facile, je pense, pour les autorités de remonter aux potentiels acheteurs, aux potentiels commanditaires, parce qu’il faut bien faire de la publicité. Aujourd'hui, ces pirates informatiques sont dans l'environnement du marketing de la malveillance. C'est un mot que j'ai inventé il y a une vingtaine d'années. Ils ont volé des données, mais il faut pouvoir les faire fructifier en les revendant et donc, faire de la communication. Et cette communication, c'est faire appel à des nouveaux acheteurs et des nouveaux vendeurs.

Si on estime que l'on est victime de ce piratage, que faut-il faire exactement ?

Alors aujourd'hui, si des malveillants ont mis la main sur vos données, la meilleure des protections est d'abord de vérifier chaque courriel que vous allez recevoir, ne pas cliquer sur n'importe quoi, que ce soit un lien ou une pièce jointe. Pareil pour les appels téléphoniques, on ne fournit aucune information sensible. Si une personne au téléphone vous dit : « Je suis votre banquier, donnez-moi votre carte bancaire ». Non, il a déjà cette information. Vous avez l'administration fiscale qui vous demande un accès à votre compte en banque ? Non, ne vous inquiétez pas, ils l'ont déjà. Bref, il faut se dire que toute personne qui vous demandera une information sensible au téléphone ou par mail, répondez-lui, « je ne suis habilité à vous répondre ». 

À écouter aussiDébat du jour - Emploi : à quel âge sommes-nous trop vieux ?