{"id":21578,"date":"2024-03-07T11:10:56","date_gmt":"2024-03-07T09:10:56","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21578"},"modified":"2024-03-07T11:10:56","modified_gmt":"2024-03-07T09:10:56","slug":"cyberattacks-on-your-marketing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cyberattacks-on-your-marketing\/21578\/","title":{"rendered":"Cinq cyberattaques contre des services marketing"},"content":{"rendered":"

Lorsqu\u2019on traite d\u2019attaque contre les entreprises, l\u2019accent est g\u00e9n\u00e9ralement mis sur quatre aspects : la finance, la propri\u00e9t\u00e9 intellectuelle, les donn\u00e9es personnelles et l\u2019infrastructure informatique. Cependant, n\u2019oublions pas que les cybercriminels peuvent \u00e9galement cibler les ressources de l\u2019entreprise g\u00e9r\u00e9es par les relations publiques et le marketing, notamment l\u2019emailing, les plateformes publicitaires, les r\u00e9seaux sociaux et les sites promotionnels. \u00c0 premi\u00e8re vue, ces activit\u00e9s peuvent sembler peu attrayantes pour les acteurs malveillants (\u00ab\u00a0quels sont les revenus \u00e0 en tirer ?\u00a0\u00bb), mais dans la pratique, chacune d\u2019entre elles peut servir aux cybercriminels pour leurs propres \u00ab\u00a0activit\u00e9s marketing\u00a0\u00bb.<\/p>\n

Publicit\u00e9 malveillante<\/h2>\n

\u00c0 la grande surprise de beaucoup (m\u00eame des experts des d\u00e9partements de la s\u00e9curit\u00e9 informatique), les cybercriminels utilisent activement la publicit\u00e9 payante l\u00e9gitime depuis plusieurs ann\u00e9es<\/a>. D\u2019une mani\u00e8re ou d\u2019une autre, ils paient pour des banni\u00e8res publicitaires et du positionnement dans les r\u00e9sultats de recherche, et se servent d\u2019outils de promotion destin\u00e9s aux entreprises. Il existe de nombreux exemples illustrant ce ph\u00e9nom\u00e8ne, connu sous le nom de malvertising (publicit\u00e9 malveillante). En r\u00e8gle g\u00e9n\u00e9rale, les cybercriminels font la publicit\u00e9 de fausses pages<\/a> d\u2019applications populaires, lancent de fausses campagnes promotionnelles de marques c\u00e9l\u00e8bres, et emploient d\u2019autres stratag\u00e8mes frauduleux destin\u00e9s \u00e0 un large public. Il arrive que les acteurs malveillants cr\u00e9ent leur propre compte publicitaire et paient leurs frais de publicit\u00e9, mais cette m\u00e9thode laisse trop de traces (comme les informations de paiement). Ils font donc appel \u00e0 une autre m\u00e9thode plus all\u00e9chante\u00a0: voler des identifiants de connexion et pirater le compte publicitaire d\u2019une entreprise honn\u00eate, puis promouvoir leurs sites par ce biais. Les cybercriminels y gagnent doublement\u00a0: ils peuvent d\u00e9penser l\u2019argent des autres sans laisser de traces inutiles. Mais l\u2019entreprise victime, en plus de voir son compte publicitaire vid\u00e9, rencontre un probl\u00e8me apr\u00e8s l\u2019autre, allant potentiellement jusqu\u2019au blocage par la plateforme publicitaire pour diffusion de contenu malveillant.<\/p>\n

Notation plomb\u00e9e et perte d\u2019abonn\u00e9s<\/h2>\n

Une variante du stratag\u00e8me d\u00e9crit ci-dessus consiste \u00e0 prendre le contr\u00f4le des comptes d\u2019annonceurs payants<\/a> des r\u00e9seaux sociaux. Les particularit\u00e9s des plateformes de r\u00e9seaux sociaux occasionnent des probl\u00e8mes suppl\u00e9mentaires pour l\u2019entreprise cibl\u00e9e.<\/p>\n

Tout d\u2019abord, l\u2019acc\u00e8s aux comptes des r\u00e9seaux sociaux des entreprises est g\u00e9n\u00e9ralement li\u00e9 aux comptes personnels des employ\u00e9s<\/a>. Il suffit souvent \u00e0 un pirate informatique de compromettre l\u2019ordinateur personnel d\u2019un annonceur ou de voler les mots de passe de ses r\u00e9seaux sociaux pour acc\u00e9der non seulement \u00e0 ses mentions j\u2019aime et aux photos de son chat, mais \u00e9galement au p\u00e9rim\u00e8tre d\u2019action conf\u00e9r\u00e9 par l\u2019entreprise pour laquelle il travaille. Il s\u2019agit notamment de la publication de messages sur la page du r\u00e9seau social de l\u2019entreprise, l\u2019envoi d\u2019emails aux clients via le m\u00e9canisme de communication int\u00e9gr\u00e9 ou encore la diffusion d\u2019annonces payantes. Il est facile de r\u00e9voquer ces fonctions pour un employ\u00e9 dont le compte a \u00e9t\u00e9 compromis, tant qu\u2019il ne s\u2019agit pas de l\u2019administrateur principal de la page de l\u2019entreprise. Dans ce cas, restaurer l\u2019acc\u00e8s sera extr\u00eamement laborieux.<\/p>\n

Deuxi\u00e8mement, la plupart des annonces sur les r\u00e9seaux sociaux prennent la forme de \u00ab\u00a0publications sponsoris\u00e9es\u00a0\u00bb cr\u00e9\u00e9es au nom d\u2019une entreprise en particulier. Si un pirate informatique publie et sponsorise une offre frauduleuse, le public voit imm\u00e9diatement qui l\u2019a publi\u00e9e et peut exprimer ses r\u00e9clamations directement sous la publication. Dans ce cas, l\u2019entreprise en souffrira non seulement sur le plan financier, mais \u00e9galement par l\u2019atteinte visible \u00e0 sa r\u00e9putation.<\/p>\n

Troisi\u00e8mement, de nombreuses entreprises enregistrent sur les r\u00e9seaux sociaux des \u00ab\u00a0audiences personnalis\u00e9es\u00a0\u00bb, autrement dit des groupes pr\u00eats \u00e0 l\u2019emploi de clients int\u00e9ress\u00e9s par divers produits et services ou qui ont d\u00e9j\u00e0 visit\u00e9 le site Internet de l\u2019entreprise. Bien qu\u2019elles ne puissent g\u00e9n\u00e9ralement pas \u00eatre extraites (c\u2019est-\u00e0-dire vol\u00e9es) d\u2019un r\u00e9seau social, il est malheureusement possible de cr\u00e9er des publicit\u00e9s malveillantes orient\u00e9es vers un public particulier, et donc plus efficaces.<\/p>\n

Campagne d\u2019emailing non programm\u00e9e<\/h2>\n

Un autre moyen efficace pour les cybercriminels de diffuser des annonces gratuitement est de pirater le compte utilisateur d\u2019un fournisseur de services de messagerie<\/a>. Si l\u2019entreprise attaqu\u00e9e est assez grande, sa liste de diffusion peut compter des millions d\u2019abonn\u00e9s.<\/p>\n

Cet acc\u00e8s peut \u00eatre exploit\u00e9 de plusieurs fa\u00e7ons\u00a0: en diffusant une offre truqu\u00e9e et irr\u00e9sistible aux adresses email figurant dans la base de donn\u00e9es des abonn\u00e9s, en substituant secr\u00e8tement les liens dans des envois publicitaires planifi\u00e9s, ou tout simplement en t\u00e9l\u00e9chargeant la base de donn\u00e9es des abonn\u00e9s pour leur envoyer ult\u00e9rieurement du phishing par d\u2019autres moyens.<\/p>\n

L\u00e0 encore, le pr\u00e9judice subi est d\u2019ordre financier, r\u00e9putationnel et technique. Par \u00ab\u00a0technique\u00a0\u00bb, nous entendons le blocage des emails ult\u00e9rieurs par les serveurs de messagerie. Autrement dit, apr\u00e8s les envois malveillants, l\u2019entreprise victime devra r\u00e9soudre des probl\u00e8mes non seulement avec la plateforme d\u2019envoi, mais aussi potentiellement avec certains fournisseurs de messagerie qui l\u2019auront identifi\u00e9e comme source d\u2019emails frauduleux et bloqu\u00e9e.<\/p>\n

Un effet secondaire tr\u00e8s d\u00e9sagr\u00e9able d\u2019une telle attaque est la fuite des donn\u00e9es personnelles des clients. Il s\u2019agit d\u2019un incident \u00e0 part enti\u00e8re, capable non seulement d\u2019endommager votre r\u00e9putation, mais \u00e9galement de vous valoir une amende de la part des autorit\u00e9s de protection des donn\u00e9es.<\/p>\n

Cinquante nuances de sites<\/h2>\n

Le piratage d\u2019un site Internet peut passer inaper\u00e7u pendant longtemps, surtout pour une petite entreprise qui exerce ses activit\u00e9s principalement sur les r\u00e9seaux sociaux ou hors ligne. Du point de vue des cybercriminels, les objectifs du piratage d\u2019un site Internet varient en fonction du type de site et de la nature de l\u2019activit\u00e9 de l\u2019entreprise<\/a>. En laissant de c\u00f4t\u00e9 les cas o\u00f9 la compromission d\u2019un site Internet s\u2019inscrit dans le cadre d\u2019une cyberattaque plus complexe<\/a>, nous pouvons g\u00e9n\u00e9ralement distinguer les cas suivants.<\/p>\n

Tout d\u2019abord, les acteurs malveillants peuvent installer un e-skimmer<\/a> sur un site d\u2019e-commerce. Il s\u2019agit d\u2019un petit code JavaScript bien d\u00e9guis\u00e9, int\u00e9gr\u00e9 directement dans le code du site Internet, qui vole les donn\u00e9es de sa carte bancaire lorsqu\u2019un client r\u00e8gle un achat. Le client n\u2019a rien besoin de t\u00e9l\u00e9charger ni d\u2019ex\u00e9cuter\u00a0: il se contente d\u2019acheter des biens ou des services sur le site, et les pirates informatiques r\u00e9cup\u00e8rent son argent.<\/p>\n

Ensuite, les pirates informatiques peuvent cr\u00e9er des sous-sections masqu\u00e9es sur le site et y ajouter le contenu malveillant de leur choix. Ces pages peuvent \u00eatre utilis\u00e9es pour un large \u00e9ventail d\u2019activit\u00e9s criminelles, qu\u2019il s\u2019agisse de cadeaux publicitaires truqu\u00e9s, de ventes truqu\u00e9es ou de la diffusion de chevaux de Troie. Utiliser un site Internet l\u00e9gitime \u00e0 ces fins est id\u00e9al, tant que les propri\u00e9taires ne remarquent pas qu\u2019ils ont des \u00ab\u00a0invit\u00e9s\u00a0\u00bb. Il y a, en fait, toute une industrie centr\u00e9e autour de cette pratique<\/a>. Les sites sans surveillance<\/a> cr\u00e9\u00e9s pour une campagne marketing ou un \u00e9v\u00e9nement ponctuel, mais qui ont ensuite \u00e9t\u00e9 oubli\u00e9s, sont particuli\u00e8rement populaires.<\/p>\n

Les dommages caus\u00e9s \u00e0 une entreprise par le piratage d\u2019un site Internet sont vastes et incluent\u00a0: l\u2019augmentation des co\u00fbts li\u00e9s au site en raison du trafic malveillant\u00a0; une baisse du nombre de visiteurs r\u00e9els \u00e0 cause du d\u00e9classement du r\u00e9f\u00e9rencement du site\u00a0; des litiges potentiels avec les clients ou les forces de l\u2019ordre au sujet de d\u00e9bits impr\u00e9vus sur la carte des clients.<\/p>\n

Formulaires Internet d\u00e9tourn\u00e9s<\/h2>\n

M\u00eame sans pirater le site Internet de l\u2019entreprise, les acteurs malveillants peuvent l\u2019utiliser \u00e0 leurs propres fins. Il leur suffit d\u2019une fonctionnalit\u00e9 sur le site Internet qui g\u00e9n\u00e8re un email de confirmation\u00a0: un formulaire pour partager des commentaires, un formulaire de rendez-vous, etc. Les cybercriminels utilisent des syst\u00e8mes automatis\u00e9s pour exploiter ces formulaires \u00e0 des fins de spam ou de phishing.<\/p>\n

Le fonctionnement est simple : l\u2019adresse de la cible est saisie dans le formulaire en tant qu\u2019email de contact, tandis que le texte de l\u2019email frauduleux s\u2019affiche dans le champ Nom ou Objet. Par exemple, \u00ab\u00a0Votre transfert d\u2019argent est pr\u00eat \u00e0 \u00eatre \u00e9mis (lien)\u00a0\u00bb. La victime re\u00e7oit alors un email malveillant au format suivant : \u00ab\u00a0Bonjour XXX, votre transfert d\u2019argent est pr\u00eat \u00e0 \u00eatre \u00e9mis (lien). Merci de nous avoir contact\u00e9s. Nous vous \u00e9crirons sous peu\u00a0\u00bb. Naturellement, les plateformes anti-spam finissent par arr\u00eater de laisser passer ces emails, et le formulaire de l\u2019entreprise victime perd une partie de son efficacit\u00e9. De plus, tous les destinataires de ces emails se font une mauvaise opinion de l\u2019entreprise et l\u2019assimilent \u00e0 un spammeur.<\/p>\n

Comment prot\u00e9ger les ressources des relations publiques et du marketing contre les cyberattaques<\/h2>\n

\u00c9tant donn\u00e9 que les attaques d\u00e9crites sont tr\u00e8s diverses, une protection approfondie est n\u00e9cessaire. Voici la proc\u00e9dure \u00e0 suivre\u00a0:<\/p>\n