En décembre, l'Agence européenne du médicament se déclarait victime d'une cyberattaque. Les hackers auraient réussi une campagne de phishing, avant d'abuser d'un défaut dans la protection des emails de l'entreprise.

En décembre 2020, l’Agence européenne du médicament (EMA) annonçait qu’elle était victime d’un piratage. Dès le mois suivant, une partie des documents volés apparaissaient en téléchargement gratuit sur des forums de hackers. Mais avant d’être publiés, ces fichiers avaient reçu des modifications, expliquait l’agence. Elle mettait en garde contre la désinformation insérée dans les documents, qui paraissait avoir comme objectif de miner la confiance accordée aux vaccins.

Les ajouts frauduleux laissent entendre que les effets secondaires des vaccins étaient bien plus importants que ce qu’affirmait l’institution.  L’Agence européenne du médicament a pour mission l’évaluation de nouveaux médicaments, et était donc au centre de l’autorisation des vaccins contre le covid-19, à commencer par ceux de Pfizer et Moderna.

Après cet épisode marquant, de nombreuses questions restaient en suspens, en majorité résolues le 6 mars par le journal néerlandais De Volskrant.  D’après ses sources, l’opération d’espionnage aurait été orchestrée par un groupe de hackers russes. Ils auraient fait du phishing ciblé, aussi appelé « spearphishing », contre les employés de l’Agence. Si le phishing classique s’apparente plus à la pêche à la ligne — un appât est mis devant plusieurs victimes susceptibles de mordre –, le spearphishing se rapproche quant à lui de la pêche au harpon — le malfaiteur vise une victime en particulier avec une arme lourde taillée sur mesure.

Les hackers ont notamment eu accès à des documents techniques sur les vaccins de Pfizer et Moderna. // Source : CCO/pixnio

Cette fois, le harpon des hackers prenait l’apparence d’un email de travail envoyé par un autre employé de l’EMA. Un email banal entre collègues, inoffensif. Sauf que derrière cette apparence, la pièce jointe attachée à l’email contenait un malware. Si la cible ouvrait le fichier, le malware se déployait sur son poste. De Volksrant explique que le logiciel malveillant « permettait d’intercepter le trafic d’email », autrement dit d’espionner tout ce que l’employé envoyait et recevait, en plus de permettre le vol d’identifiant.

Les hackers ont contourné la double authentification

En revanche, le malware ne suffisait pas à prendre le contrôle de l’adresse de la victime, un accès essentiel aux hackers pour propager l’attaque depuis l’intérieur. Et pour cause : s’il est possible de déjouer un email malveillant qui imite l’adresse email d’un certain expéditeur, il est bien plus difficile de le détecter s’il a vraiment été envoyé depuis l’adresse email de la personne.

Les attaquants de l’EMA se sont confrontés à la double authentification (ou l’authentification à doubles facteurs, A2F) installée sur le réseau interne de l’agence. Pour se connecter à un compte protégé par l’A2F, il faut non seulement les deux identifiants habituels (nom de compte et mot de passe), mais aussi un troisième code généré par l’organisation. Le plus souvent, ce code est envoyé à l’utilisateur par SMS ou via une app. Pour passer cette protection, les hackers ont deux issues possibles  : soit ils parviennent à intercepter le code supplémentaire, soit ils réussissent à le faire envoyer sur un appareil qu’ils contrôlent. C’est cette seconde solution qu’ils sont parvenus à mettre en place.

Comment ? Ils ont remarqué dans les emails envoyés par leurs victimes un fichier .zip, qui contenait un précieux jeton. Ce jeton — sorte de badge affiché par votre navigateur — permet aux nouveaux utilisateurs du service d’email de l’Agence d’entamer la procédure d’activation de la double authentification. Concrètement, il ouvre une procédure d’identification qui permet de lier l’adresse email à une app d’authentification.

Plus qu’un vol de données, une compromission d’adresses email

Les hackers ont pu relancer cette procédure d’association comme s’ils étaient un nouvel utilisateur du compte email de leurs victimes. Résultat : ils ont réussi à lier le compte à une app en leur contrôle. Ils pouvaient ainsi générer et recevoir eux-mêmes le code nécessaire pour se connecter à la boîte de messagerie de leur victime.

Ce défaut de sécurité soulève plusieurs questions : pourquoi ce jeton était-il accessible ? Pourquoi, une fois que le jeton a été utilisé une fois,  le système ne bloque-t-il pas toute autre tentative de liaison ? Pourquoi aucune protection automatique n’a-t-elle détecté que plusieurs appareils se connectaient au même compte d’email ? Finalement, c’est au cours d’un audit de sécurité manuel que l’Agence aurait découvert des connexions suspectes au réseau de l’entreprise. Les comptes compromis se connectaient très régulièrement à des horaires étranges, en dehors des horaires de bureaux.

Ces révélations de De Volksrank suggèrent que l’Agence n’a pas subi un simple vol de données, mais bien une compromission de plusieurs comptes au sein de son réseau informatique. Comme souvent, les motivations exactes des hackers ne sont pas claires entre le vol des fichiers techniques relatifs aux vaccins, la compromission des comptes et la publication de la désinformation sur les forums de vente de données. Mais d’après le journal néerlandais, les attaquants étaient avant tout à la recherche de deux informations : quels pays voulaient acheter des vaccins, et en quelles quantités. Une information qu’ils pourraient avoir obtenu, vu leur niveau de pénétration au sein de l’organisation.

Crédit photo de la une : CCO/Bicanski-Pixnio

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux