Signé, scellé, escroqué : comment les cybercriminels ont utilisé des signatures électroniques de confiance pour pirater des milliers d’organisations

Tout a commencé par un simple e-mail : une notification pour consulter un document, aussi banale que le café du matin. Mais derrière les logos familiers et le ton professionnel se cachait une opération de phishing sophistiquée, qui a balayé continents et secteurs avec une efficacité alarmante. En seulement quatorze jours, des cybercriminels ont envoyé la somme ahurissante de 40 000 e-mails de phishing liés à la signature électronique, visant plus de 6 000 organisations, des géants bancaires aux administrations publiques. L’attaque, révélée par Check Point Research, montre comment l’ingéniosité criminelle peut transformer des outils professionnels de confiance en armes de tromperie.

Anatomie d’un e-mail trompeur

Pour de nombreux lieux de travail modernes, les plateformes de signature électronique et de partage de fichiers sont le moteur des opérations quotidiennes. Les escrocs l’ont bien compris et ont conçu des e-mails pratiquement impossibles à distinguer des véritables alertes. Les objets, la mise en page et même les logos d’entreprise étaient copiés avec minutie, exploitant la confiance et la routine de professionnels débordés.

Les chercheurs de Check Point ont suivi la campagne alors qu’elle se propageait aux États-Unis, en Europe, au Canada, en Asie, en Australie et au Moyen-Orient. Si les cabinets de conseil, les entreprises technologiques et l’immobilier ont été les plus touchés, des secteurs comme la santé, l’énergie et le gouvernement n’ont pas été épargnés. Les attaquants misaient sur le volume élevé d’échanges de documents légitimes dans ces domaines - sachant que l’urgence et la familiarité pouvaient faire baisser la vigilance.

Quand la sécurité se retourne contre elle-même

L’élément sans doute le plus rusé de cette campagne fut l’utilisation du « redirect cloaking ». Au lieu d’envoyer les utilisateurs directement vers des sites malveillants, les attaquants faisaient transiter les liens de phishing par des plateformes de sécurité réputées comme Mimecast, Bitdefender et Intercom. Ces plateformes réécrivent normalement les URL pour analyser et bloquer les contenus dangereux, mais ici, leur légitimité a été détournée. Les liens ainsi générés paraissaient fiables, tant pour les filtres automatiques que pour les destinataires humains, permettant aux messages de phishing de passer inaperçus.

Mimecast, dont la fonctionnalité de redirection a été détournée, a confirmé que ses systèmes centraux n’avaient pas été compromis. Les attaquants n’ont pas exploité de faille : ils ont manipulé un outil conçu pour protéger les utilisateurs, masquant leurs intentions malveillantes derrière une façade familière.

Pourquoi cela a fonctionné - et comment réagir

Le soin apporté à l’apparence de ces e-mails - jusqu’aux noms d’affichage comme « X via SharePoint (Online) » - les rendait dangereusement convaincants. D’un simple clic imprudent, les destinataires risquaient de livrer identifiants et informations sensibles à des criminels invisibles.

Cette campagne rappelle crûment que même les outils de sécurité les plus robustes peuvent être retournés contre nous si la vigilance fait défaut. À mesure que les techniques de phishing évoluent, notre scepticisme et nos réflexes de vérification doivent suivre, surtout lorsque des communications professionnelles de routine arrivent dans notre boîte de réception.