{"id":15615,"date":"2020-09-10T07:35:01","date_gmt":"2020-09-10T07:35:01","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15615"},"modified":"2020-09-10T07:35:01","modified_gmt":"2020-09-10T07:35:01","slug":"tracking-pixel-bec","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/tracking-pixel-bec\/15615\/","title":{"rendered":"Pixel espion au service de la cybercriminalit\u00e9"},"content":{"rendered":"

Les pirates informatiques ont tendance \u00e0 faire un travail pr\u00e9paratoire minutieux lorsqu\u2019ils con\u00e7oivent des attaques de compromission de la messagerie en entreprise (BEC). Lorsqu\u2019ils se font passer pour quelqu\u2019un ayant le droit de faire des virements ou d\u2019envoyer des informations confidentielles, leurs messages doivent sembler aussi l\u00e9gitimes que possible. Chaque d\u00e9tail compte.<\/p>\n

Nous avons r\u00e9cemment analys\u00e9 un exemple tr\u00e8s int\u00e9ressant d\u2019e-mail envoy\u00e9 \u00e0 un employ\u00e9 pour entamer la conversation.<\/p>\n

\"\"<\/p>\n

Le texte est assez court et direct pour ce genre de message Le cybercriminel indique clairement que l\u2019exp\u00e9diteur a une r\u00e9union et qu\u2019il est injoignable. Cette technique lui permet de d\u00e9courager le destinataire de v\u00e9rifier s\u2019il \u00e9change vraiment avec la personne dont le nom appara\u00eet dans la signature. Nous pouvons constater que le cybercriminel n\u2019a pas pris la peine de cacher l\u2019information indiquant que l\u2019e-mail a \u00e9t\u00e9 envoy\u00e9 depuis un service de messagerie public, ce qui laisse entendre qu\u2019il sait que la personne pour laquelle il se fait passer utilise ce service ou consid\u00e8re qu\u2019il est normal que l\u2019entreprise utilise un service tiers de messagerie pour ses correspondances professionnelles.<\/p>\n

Un autre d\u00e9tail a pourtant attir\u00e9 notre attention : la signature \u00ab\u00a0Sent from my iPhone\u00a0\u00bb (Envoy\u00e9 de mon iPhone). Cette signature est celle qu\u2019utilise l\u2019application Mail d\u2019iOS par d\u00e9faut pour les messages envoy\u00e9s alors que les en-t\u00eates techniques montrent que le message a \u00e9t\u00e9 envoy\u00e9 depuis une interface Web, et plus pr\u00e9cis\u00e9ment depuis le navigateur Mozilla.<\/p>\n

Pourquoi les cybercriminels essaient-ils de nous faire croire que le message a \u00e9t\u00e9 envoy\u00e9 depuis un smartphone Apple ? La signature automatique a peut-\u00eatre \u00e9t\u00e9 ajout\u00e9e au message pour lui donner plus de poids. Ce n\u2019est pas l\u2019approche la plus classe. Les attaques BEC sont souvent envoy\u00e9es depuis l\u2019adresse d\u2019un coll\u00e8gue et il est fort probable que dans ce cas le destinataire savait quel dispositif la personne dont l\u2019identit\u00e9 a \u00e9t\u00e9 usurp\u00e9e utilise.<\/p>\n

L\u2019escroc savait ce qu\u2019il se faisait, mais comment est-ce possible\u00a0? En r\u00e9alit\u00e9, ce n\u2019est pas si difficile. Il suffit de savoir comment utiliser un pixel espion, aussi connu sous le nom de balise Web.<\/p>\n

Qu\u2019est-ce qu\u2019un pixel espion et pourquoi est-il utilis\u00e9\u00a0?<\/h2>\n

En g\u00e9n\u00e9ral, les entreprises (autrement dit presque toutes) qui envoient des e-mails en nombre aux clients, associ\u00e9s, lecteurs ou autres veulent savoir le niveau d\u2019engagement atteint. En th\u00e9orie, les services de messagerie disposent d\u2019une option qui permet d\u2019envoyer un accus\u00e9 de lecture mais les destinataires doivent l\u2019accepter et la plupart refuse. C\u2019est pourquoi les personnes habiles qui travaillent dans le marketing ont invent\u00e9es le pixel espion.<\/p>\n

Un pixel espion est une image minuscule. Elle ne contient qu\u2019un seul pixel, est invisible \u00e0 l\u2019\u0153il nu et vit sur un site Internet. Lorsque l\u2019application de messagerie d\u2019un client demande l\u2019image, l\u2019exp\u00e9diteur qui contr\u00f4le le site sait que le message et l\u2019adresse IP du dispositif receveur ont \u00e9t\u00e9 ouverts, \u00e0 quelle heure le message a \u00e9t\u00e9 lu et re\u00e7oit les informations relatives au programme utilis\u00e9 pour l\u2019ouvrir. Vous \u00eates-vous d\u00e9j\u00e0 rendu compte qu\u2019un e-mail n\u2019affichait pas les images jusqu\u2019\u00e0 ce que vous ayez cliqu\u00e9 sur un lien pour les t\u00e9l\u00e9charger\u00a0? Ce n\u2019est pas pour am\u00e9liorer les performances ou pour limiter le trafic. En g\u00e9n\u00e9ral, le t\u00e9l\u00e9chargement automatique d\u2019images est d\u00e9sactiv\u00e9 par d\u00e9faut pour des raisons de s\u00e9curit\u00e9.<\/p>\n

Comment un cybercriminel peut-il exploiter le pixel espion ?<\/h2>\n

Nous allons vous donner un exemple. Alors que vous \u00eates en d\u00e9placement \u00e0 l\u2019\u00e9tranger, vous recevez un message dans votre bo\u00eete de r\u00e9ception professionnelle qui semble important pour votre entreprise. Vous fermez et supprimez l\u2019e-mail d\u00e8s que vous vous rendez compte qu\u2019il ne vous int\u00e9resse mais, pendant ce temps, les cybercriminels ont d\u00e9couvert que\u00a0:<\/p>\n