Depuis probablement le 17 janvier dernier, les sites de la Snecma, motoriste aéronautique et spatial français filiale de Safran, est victime d'une attaque. Les hackers exploiteraient une faille 0-day dans Microsoft Internet Explorer pour faire tourner un logiciel malicieux dont le code permettrait l'identification des domaines internet de la Snecma, et renvérait vers des sites pirates (phishing).
Le modèle de l'attaque est devenu classique. Le malware employé par les hackers infecterait les appareils des employés de l'entreprise, de ses partenaires et de ses distributeurs afin de pouvoir se connecter aux sites. Une fois le code activé, il change les fichiers host des postes infectés, selon la technique du pharming par laquelle les attaquants modifient l'adresse IP de domaines spécifiques afin de renvoyer l'internaute vers leurs serveurs de phishing. Et il afficherait une fausse page au contenu en partie extrait du site original.
L'attaque est confirmée
Il s'agirait de la même faille dans le navigateur Internet Explorer versions 9 et 10 que celle qui a permis l'attaque récente du site américain Veterans of Foreign Wars découverte par le spécialiste de la cyber sécurité FireEye, et confirmée par Websense. Le code au coeur des logiciels malveillants est identique, attestant d'une source commune, mais les malwares sont en revanche différents, attestant d'un marché des codes malicieux.
L'attaque que subit Safran et son agenda ont été confirmés par un autre spécialiste de la cyber sécurité, la firme israélienne Seculert, qui en revanche n'a pas souhaité nommer ouvertement l'entreprise française (elle a en revache oublmié de flouter le logo de Snecma dans les copies d'écrans !). Seculert a en revanche indiqué que des différences dans les modules du logiciel d'attaque indiqueraient qu'il ne s'agirait pas des mêmes hackers à l'origine des deux attaques.
La loi du silence
Si la concordance des sources vient valider l'information, la porte-parole de Safran n'a pas souhaité confirmer l'attaque. Plus en France que dans d'autres pays, la culture du secret est de mise, plus particulièrement lorsque l'entreprise victime de l'attaque appartient à des domaines comme l'aéronautique, le spatial et le militaire. L'environnement règlementaire ango-saxon impose aux entreprises victimes d'une attaque plus de transparence et de communication.
Il apparait pourtant que ces entreprises figurent parmi les cibles privilégiées des hackers, ce qui peut sous entendre une stratégie construite provenant d'organisations intéressées, parfois étatiques, qui cherchent soit à dérober de l'informtion, soit à destabiliser les entreprises, soit les deux d'ailleurs.
Mais surtout cette affaire vient rappeler que les entreprises devraient être plus attentives dans leurs stratégies de sécurité – ici, la mise à jour du navigateur Internet Explorer vers la version 11 corrige la faille -, et que nous sommes ou serons tous victimes d'attaques.