Le hameçonnage (phishing) est bien connu comme étant une façon pour des criminels de s'emparer des données de connexion (login) d'une application bancaire ou d'une boîte mail par exemple. Mais il peut malheureusement aussi en être autrement, tout simplement parce que les entreprises facilitent trop la vie des personnes mal intentionnées. Le spécialiste de la sécurité Digital Shadows a découvert que dans certaines firmes, toutes les boîtes mail pouvaient être approchées via internet. Plus de 12 millions de fichiers d'archive avec des messages e-mail (.eml, .msg, .pst, .ost, .mbox) étaient publiquement accessibles suite à des services de partage de fichiers incorrectement configurés, tels rsync, FTP, SMB, S3 bucket et NAS. En raison d'un stockage erroné de ces archives e-mail, des employés exposaient des informations sensibles, personnelles et financières. Digital Shadows découvrit en tout 27.000 factures, 7.000 ordres d'achat et 21.000 fichiers de paiement qui étaient publiquement accessibles.

Aussi en Belgique

En Belgique, l'entreprise a retrouvé 53.262 archives e-mail professionnelles. Il s'agissait de fichiers appartenant entre autres à des services financiers, à des entreprises télécoms et de vente au détail ou à des acteurs technologiques, mais aussi de boîtes mail d'institutions politiques et de syndicats. "Dans ces fichiers, il y avait notamment des factures, mais aussi de nombreux documents Dimona", explique Rafael Amado, Strategy and Research Analist chez Digital Shadows, à Data News. Le Dimona (Déclaration Immédiate/Onmiddellijke Aangifte) est le message électronique avec lequel l'employeur indique à l'ONSS chaque entrée en service et chaque départ d'un employé, une obligation pour tous les employeurs.

Rafael Amado insiste sur le fait que dans le cadre de son enquête, Digital Shadows s'est surtout focalisée sur les données de ses propres clients. "Souvent, ils ne savent pas quels risques ils prennent et nous, nous les aidons à en prendre clairement conscience. Mais le fait est que dans le cadre de l'enquête, nous avons aussi rencontré des données d'autres entreprise", ajoute Amado. Les clients concernés ont été informés par l'entreprise. Tenir au courant tous les non-clients était impossible. "Nous partageons régulièrement la découverte de données sensibles avec des entreprises, mais dans de nombreux cas, nous ne recevons ensuite aucune réaction", affirme encore Rafael Amado.

Données mail en vente dans la face cachée du web

Les données de login de nombre de boîtes mail professionnelles, surtout des spécialistes de la finance, sont en vente sur des forums spécifiques, souvent dans le 'dark web' (face cachée du web). Sur des forums de cybercriminels, les chercheurs ont trouvé 33.568 adresses e-mail de départements financiers: 83 pour cent d'entre elles avec des mots de passe. Il s'agit dans ce cas souvent d'adresses e-mail professionnelles comportant des préfixes récurrents comme "accounting@," "accountpayable@" et "invoice@."

Certains cybercriminels externalisent même le travail. Cela s'appelle alors du 'Business E-mail Compromise (BEC) as a Service': un service qui est proposé à grande échelle moyennent paiement de 150 dollars minimum. Les données sont fournies dans la semaine. Certains cybercriminels offrent un pourcentage du chiffre d'affaires en échange d'un accès aux boîtes mail. L'enquête démontre une fois encore qu'en matière de cybercriminalité, une véritable économie s'est développée.