Le Wall Street Journal a révélé que plusieurs universités américaines (dont University of Hawaii, the University of Washington, Penn State and Duke University and Massachusetts Institute of Technology), asiatiques et canadiennes ont été victimes d’une cyberattaque de grande ampleur. A priori lancée par un groupe de hackers chinois, utilisant la technique du spear-phishing, cette attaque aurait eu pour but de s’approprier des technologies maritimes créées à des fins militaires.
Même si la réussite de cette attaque réside dans une accumulation d’actions conjointes, l’un des vecteurs utilisés aurait été celui de l’email au travers d’une attaque appelée « Spear-phishing ». L’occasion de rappeler que la technique du phishing est utilisée dans près de 90% des attaques informatiques, et que le spear-phishing consistant en un phishing ciblé vers une ou plusieurs personnes est une méthode très répandue chez les hackers, car très difficile à détecter ».
Le spear-phishing est l’une des attaques par email les plus complexes à détecter car l’email malveillant n’incorpore ni pièce jointe, ni adresse web. C’est l’un des mécanismes utilisés notamment dans le cadre des FOVI (faux ordres de virement international) faisant des millions d’euros de pertes chez les entreprises françaises chaque année.
Selon Sébastien Gest, Tech Evangéliste de Vade Secure, spécialiste français de la protection des emails ce type d’attaque, le spear-phishing ou phishing ciblé, commençant par un email, connait une véritable popularité auprès des hackers. Elles peuvent aussi bien cibler des particuliers que des entreprises ou des institutions, à des fins multiples, notamment l’exfiltration de données sensibles.
« Dans le cas présent, après avoir collecté de nombreuses données (hiérarchie de l’université, informations personnelles, champ lexical métier, acronyme interne métier), le groupe de hackers a très certainement mis en place un scénario crédible usurpant l’identité d’un proche ou d’un collaborateur. Ce type d’attaque permet de casser la barrière de vigilance du collaborateur ciblé, faisant ainsi de lui un complice à son insu. La finalité peut être multiple, mais dans ce cas il s’agit très clairement d’exfiltrer des données sensibles » considère-t-il.