Une PME industrielle pourtant protégée par EDR, pare-feu et authentification multifacteur a failli perdre tous ses accès bancaires, en se faisant piéger par une cyberattaque dite ClickFix. Une menace cyber de plus en plus exploitée par les attaquants.
L'attaque racontée par le PDG de la société EscapeVelocity, société d'infogérance parisienne, est un véritable cas d'école pour les amateurs de sensibilisation à la cybersécurité. Mickaël Sabbah détaille dans un post LinkedIn l'alerte qui concerne le comptable d'une PME industrielle, cliente d'Escape Velocity. Alors que Google Chrome semblait avoir un problème, une fenêtre s'ouvre et demande au comptable de coller un correctif dans son terminal, pour prouver qu'il est bien un humain. Il s'exécute, sauf qu'il s'agissait d'une fausse alerte Chrome, et d'un script malveillant.
Il pensait réparer Chrome, il a ouvert la porte au hacker
La victime n'est pourtant pas une entreprise négligente. Car depuis plusieurs années, elle a tout blindé au niveau de sa sécurité informatique, avec de l'EDR (Endpoint Detection & Response), du firewall et de l'authentification à facteurs multiples. Sauf que derrière ce mur en béton, il y avait une faille humaine. Le comptable avait la qualité de « super user », qui est généralement un utilisateur avec le plus haut niveau d'accès, ce qui à tête reposée peut être étonnant ici. Mais passons.
Tôt ce lundi matin, explique Mickaël Sabbah, « notre sonde a hurlé », et l'exécution de script malveillant est détectée. « Qu'est-ce que vous venez de lancer ? » demande l'équipe technique au comptable. « Rien de grave, Chrome buggait avec une fenêtre de vérification. Ils m'ont demandé de copier un correctif dans le terminal pour prouver que j'étais humain. Je l'ai fait, c'est reparti », a-t-il expliqué. Il ne le sait pas, mais il a collé un code qui a exfiltré tous les accès bancaires de l'entreprise.
Sans attendre, le technicien coupe l'accès VPN de toute l'entreprise à distance. Car le comptable n'a pas appliqué un correctif, non. Il a en réalité contourné toutes les protections, en ouvrant la console de commande, le seul endroit où l'antivirus suppose que l'utilisateur sait ce qu'il fait. Mais il est déjà piégé à ce moment-là.
ClickFix, le piège cyber qui terrorise les experts cyber
Mais quelle est donc cette cyberattaque sournoise ? Il s'agit d'une attaque dite « ClickFix », qui fait trembler pas mal d'acteurs cyber, puisqu'elle utilise des boîtes de dialogue trompeuses. Dans le détail, elle présente à l'utilisateur un problème fictif, puis propose une solution qui semble venir du système d'exploitation ou du navigateur lui-même. L'idée derrière cette tactique est d'amener la victime à copier-coller puis à exécuter des commandes malveillantes dans son terminal (via PowerShell).
« Techniquement, ce n'est pas un piratage », a raison de préciser Mickaël Sabbah. « C'est une invitation. Le hacker vous dit : "Tu es assez grand pour réparer ça tout seul, non ? Pas besoin d'appeler le support". »
Le pirate joue sur des ressorts comme l'ego, la fierté, parfois même le besoin de reconnaissance pour mettre hors-jeu sa cible. Dans le cas raconté par Mickaël, « au lieu d'un ticket résolu en cinq minutes pour un faux positif, l'entreprise doit procéder à une restauration complète du système ». L'attaque, qui ne repose sur aucune faille technique mais bien sur un piège psychologique, est parfaitement rodée.
Voilà donc l'occasion de rappeler les bonnes pratiques. « Si une page web vous demande d'ouvrir PowerShell ou de faire un raccourci clavier Win+R, ce n'est pas un bug, c'est un cambriolage, et vous tenez la porte au voleur. Ne touchez à rien. Laissez votre fierté de côté. Appelez-nous. On est payés pour ça. », conclut l'expert. Au moindre doute, au moindre détail qui peut sembler anormal, parler et se faire aider ne doit jamais être une honte.
