Des pirates informatiques utilisent l'ingénierie sociale pour cibler un expert des opérations russes
Une nouvelle cyberattaque hautement sophistiquée, vraisemblablement menée par un groupe lié à l'État russe, a été révélée. Cette méthode innovante incite les utilisateurs à créer et à transmettre des mots de passe spécifiques à une application (ASP), contournant ainsi les mesures de sécurité courantes comme l'authentification multifacteur ( AMF ).
Cette attaque sophistiquée a été révélée conjointement par le Citizen Lab (un groupe de recherche de l'Université de Toronto) et le Threat Intelligence Group (GTIG) de Google. Leur enquête a débuté après que Keir Giles, expert reconnu des opérations d'information russes et associé principal à Chatham House, a contacté le Citizen Lab pour obtenir de l'aide après avoir été ciblé.
Cette nouvelle attaque était différente des tentatives d'hameçonnage classiques. Elle était lente et très convaincante. Elle a débuté le 22 mai 2025, lorsque M. Giles a reçu un courriel d'une certaine Claudie S. Weber se faisant passer pour un fonctionnaire du Département d'État américain. Le courriel semblait authentique, même avec d'autres adresses officielles en copie. Les attaquants ont pris leur temps, envoyant plus de dix courriels en quelques semaines pour établir la confiance. Les experts pensent qu'ils ont peut-être utilisé des outils sophistiqués pour rendre leurs messages très naturels.
L'astuce principale consistait à convaincre M. Giles de s'inscrire sur une fausse plateforme MS DoS Guest Tenant. Ils lui ont envoyé un PDF professionnel contenant des instructions. Ce PDF l'a guidé pour créer un mot de passe spécifique à l'application (ASP) pour son compte Google.
Pour information, un ASP est un code spécial à 16 chiffres destiné aux anciennes applications qui ne sont pas compatibles avec les sécurités modernes. Les pirates ont fait croire que cet ASP leur permettrait d'accéder à un système gouvernemental sécurisé, mais il leur a en réalité donné le contrôle total de ses comptes.
Le GTIG a identifié le groupe à l'origine de ces attaques comme étant UNC6293. Il est convaincu que ce dernier est lié à APT29 (alias Cozy Bear ), un groupe de cyberespionnage lié au Service de renseignement extérieur russe (SVR). Google a ensuite détecté l'attaque sur les comptes de M. Giles, a pris des mesures pour les sécuriser et a désactivé l'adresse e-mail de l'attaquant.
Cet incident met en lumière une préoccupation croissante : à mesure que les sécurités standard comme l'authentification multifacteur (AMF) se généralisent, les attaquants trouvent de nouveaux moyens de les contourner. Les experts s'attendent à une augmentation des attaques d'ingénierie sociale ciblant les mots de passe spécifiques aux applications.
Il est désormais recommandé aux équipes de cybersécurité d'être vigilantes quant à l'utilisation des ASP au sein de leurs organisations et de sensibiliser les utilisateurs à ces nouveaux risques. Google travaille déjà à la suppression progressive des ASP pour les utilisateurs professionnels dans Google Workspaces, tout en veillant à concilier sécurité et besoins des utilisateurs pour les comptes Gmail personnels.
HackRead
