A qui profite le crime ? D'où est partie l'attaque ? Quel est le degré de raffinement du stratagème ? Au lendemain de l'usurpation d'identité dont Vinci a été la victime, qui a coûté des dizaines de millions d'euros à ses actionnaires, les interrogations restent nombreuses. Batiactu fait le point avec Guillaume Garvanese, spécialisé dans les questions de sécurité numérique.
L'Autorité des marchés financiers, le "gendarme" de la Bourse, parle d'un "grave dysfonctionnement du marché" nécessitant des investigations. L'affaire du piratage de l'identité de Vinci a fait grand bruit et les conséquences sont encore loin d'être évaluées : aujourd'hui encore, le cours de l'action du groupe de BTP a été fortement chahuté. Alors que le titre s'échangeait à 61,54 € ce mardi 22 novembre, il restait cantonné aux alentours de 59,30 € ce mercredi 23, après avoir plongé à 58,88 € au pire de la crise.
Tout est donc parti d'un faux communiqué de presse relayé très rapidement par l'agence Bloomberg. Guillaume Garvanese, journaliste spécialisé pour Numerama* et formateur en protection des sources et cybersécurité, nous explique : "C'est à la fois extrêmement simple et terriblement efficace. C'était une attaque indirecte contre Vinci. Tout a été fait pour imiter le groupe : le faux communiqué ne contient pas de fautes, l'adresse retour du mail est en vinci.group qui donne un aspect légitime, et le numéro de téléphone menait même à un faux attaché de presse". La manœuvre, qui s'apparente à une opération de "phishing" a donc été élaborée. Et c'est Bloomberg qui a servi de "réflecteur" à cette attaque en lui donnant une caisse de résonnance. Il n'y a eu aucune effraction de la sécurité informatique de Vinci à proprement parler.
Etre attentif à chaque instant sur la provenance des mails
"Il faut être vigilant en permanence", rappelle le spécialiste. "Les pirates ont bien fait leur coup, et les fautifs sont les journalistes qui veulent aller trop vite". Concernant l'origine de cette usurpation, Guillaume Garvanese refuse de s'avancer. Une étude du registre des noms de domaines utilisés "vinci.group" et "vinci-group" révèlent qu'ils ont été déposés récemment, au mois de mai pour le premier, par un certain Thomas Moulaert d'Anvers, et au début du mois de novembre pour le second, par un Matthias Barbier. Là encore, ces identités ont peut-être été usurpées afin de cacher les traces des commanditaires. "Ils seraient bêtes de laisser leur vrai nom pour une telle opération !", nous confie le spécialiste en sécurité qui poursuit : "C'est peut-être parti d'une boîte webmail paramétrée pour usurper une adresse de Vinci. Ils sont passés par des opérateurs courants et pas par le réseau international Tor", souligne-t-il. En jouant sur l'urgence de l'information et sur la proximité orthographique des adresses mail, les hackers ont donc monté une attaque low cost mais qui a fonctionné à merveille. Rien de comparable, en termes de technique, à l'attaque subie par le ministère de l'Economie en mars 2011, où les pirates avaient identifié une personne précise au cœur de l'organigramme et avaient forgé des faux documents à son intention exclusive, qui ont répandu un virus au cœur du système.
Reste à savoir à qui profite le crime ? L'Autorité des marchés financiers affirme que "la diffusion de fausses informations" le conduit à "vérifier qui pourrait avoir tiré profit via une possible manipulation des cours". Le courriel de revendication n'était pas de la même qualité que le faux communiqué de presse, faisant douter d'une origine commune des deux documents. Du côté de Vinci, qui n'a pas réagi autrement que par un très bref communiqué, c'est le délégué syndical central Rolland Sabatier (CFTC) qui a le premier prit la parole : "La fédération BATI-MAT-TP CFTC estime que cette attaque contre notre groupe et contre ses salariés est simplement ignoble. En effet, si les 'hackeurs' tentent de justifier leur action de façon plutôt hasardeuse, nous ne permettrons jamais de remettre en cause la probité du groupe, ainsi que l'intégrité de ses dirigeants (…) Nous ne manquerons pas de nous porter 'partie civile' dans cette affaire". Le syndicaliste, qui considère que l'attaque n'était pas dirigée seulement contre Vinci mais contre l'ensemble de ses salariés, fait valoir que "l'empressement de certains a mis en péril l'équilibre financier du groupe et par extension, l'emploi de milliers de salariés".
Manipulation du cours de l'action pour un coup de bourse, vengeance personnelle d'un salarié déçu, action coup de poing d'hacktivistes anti-Notre Dame des Landes ou attaque diligentée par un concurrent ? Toutes les pistes restent ouvertes... Reste qu'à l'été 2014, le groupe avait déjà été ciblé par une tentative similaire, restée infructueuse à l'époque. Vinci annonce, sur son site officiel, déposer plainte contre X et précise dans ce même communiqué que selon des investigations menées en interne, il n'a "pas été victime d'un piratage informatique mais d'usurpation d'identité", avec la création de fausses adresses mail au nom de responsables du groupe ainsi que d'un faux site internet.
*media spécialisé sur la société numérique et l'innovation technologique
"Arrêtons de durcir constamment les contraintes réglementaires", B. de Ruffray (Eiffage)
