Le réseau social professionnel constitue une vaste base de données publique d’informations d’entreprise. Alors faites preuve de vigilance et ne croyez pas sur parole les profils qui vous contactent.
Pourquoi LinkedIn est un terrain de chasse pour les acteurs malveillants et comment vous protéger ?
En novembre, le service de sécurité britannique a commencé à informer des membres du Parlement (MPs) et leurs équipes d’un audacieux dispositif étranger de collecte de renseignements. Deux profils LinkedIn auraient approché des personnes travaillant dans la sphère politique britannique afin d’obtenir des « informations internes ». Les révélations du MI5 ont conduit à une initiative gouvernementale de 170 millions de livres sterling (230 millions de dollars) destinée à contrer les menaces d’espionnage visant le Parlement.
Il s’agit peut-être du cas récent le plus médiatisé de malfaiteurs exploitant LinkedIn pour servir leurs objectifs malveillants. Mais ce n’est certainement pas le premier ! La plateforme peut également constituer une mine d’or d’informations d’entreprise pouvant alimenter des campagnes de fraude ou d’attaques ciblées. Il est urgent de sensibiliser les professionnels aux risques liés aux plateformes de connexion professionnelle en ligne.
Pourquoi la plateforme LinkedIn est-elle une cible ?
Depuis sa création en 2003, LinkedIn a rassemblé plus d’un milliard de « membres » dans le monde. Cela représente un nombre considérable de cibles potentielles pour des acteurs étatiques comme pour des cybercriminels motivés par des gains financiers. Mais pourquoi la plateforme est-elle si attractive ?
Plusieurs raisons se distinguent :
Une ressource d’information exceptionnelle
En explorant la plateforme, les acteurs malveillants peuvent identifier les rôles et responsabilités des personnes clés au sein d’une entreprise ciblée, y compris les nouveaux arrivants. Ils peuvent également reconstituer une image assez précise des relations entre collaborateurs et des projets sur lesquels ils travaillent. Ces renseignements sont précieux pour alimenter des campagnes de spear-phishing et de fraude de type BEC ( Business Email Compromise ).
Crédibilité et couverture
En tant que réseau professionnel, LinkedIn est fréquenté aussi bien par des dirigeants de haut niveau que par des collaborateurs plus juniors. Tous peuvent intéresser un attaquant. Les victimes sont plus enclines à ouvrir un message privé (DM ou InMail) sur LinkedIn qu’un email non sollicité. Pour les membres du comité exécutif (C-suite), cela peut même être l’un des seuls moyens de les contacter directement, leurs emails étant souvent filtrés par leurs équipes.
Contournement des mécanismes de sécurité “traditionnels”
Les messages transitent par les serveurs de LinkedIn et non par les systèmes de messagerie de l’entreprise. Les équipes IT n’ont donc aucune visibilité sur ces échanges. Bien que LinkedIn intègre certaines mesures de sécurité, rien ne garantit que des messages de phishing, des malwares ou du spam ne passent pas au travers. De plus, la crédibilité perçue de la plateforme peut inciter les cibles à cliquer plus facilement sur un contenu malveillant.
Une mise en œuvre simple et rapide
Le retour sur investissement potentiel d’attaques via LinkedIn est élevé. N’importe qui peut créer un profil et commencer à collecter des informations ou cibler des utilisateurs avec des messages de phishing ou des tentatives de BEC. Les attaques peuvent être automatisées à grande échelle. Pour renforcer leur crédibilité, les attaquants peuvent détourner des comptes existants ou créer de fausses identités, par exemple en se faisant passer pour des recruteurs ou des candidats. L’abondance d’identifiants compromis circulant sur les forums cybercriminels (notamment grâce aux infostealers, ces logiciels voleurs d’informations) facilite encore ces opérations.
Quelles sont les attaques les plus courantes ?
Les cybermalfaiteurs peuvent exploiter LinkedIn de différentes manières :
Phishing et spear-phishing
En utilisant les informations partagées sur les profils, ils personnalisent leurs campagnes pour en augmenter le taux de réussite.
Attaques directes
Les attaquants peuvent envoyer directement des liens malveillants visant à installer des malwares (comme des infostealers) ou proposer de fausses offres d’emploi destinées à collecter des identifiants. Des acteurs étatiques peuvent également chercher à recruter des « initiés », comme l’a signalé le MI5.
Fraude BEC (dite Business Email Compromise , une attaque personnalisée hautement ciblée)
LinkedIn fournit des informations précieuses pour rendre les attaques BEC plus crédibles : organigrammes, projets en cours, noms de partenaires ou de fournisseurs.
Deepfakes
Des vidéos publiées sur LinkedIn peuvent être utilisées pour créer des deepfakes (des fausses vidéos s’appuyant sur l’IA), ensuite exploités dans des campagnes de phishing, de fraude BEC ou d’arnaques sur les réseaux sociaux.
Détournement de comptes
De fausses pages LinkedIn (phishing), des infostealers, des attaques par credential stuffing et d’autres techniques peuvent permettre de prendre le contrôle de comptes légitimes, ensuite utilisés pour cibler leurs contacts.
Attaques via les fournisseurs
Les informations sur les partenaires d’une entreprise peuvent être exploitées pour lancer des attaques « en ricochet » (stepping stone attack), en ciblant d’abord un fournisseur.
Exemples de groupes exploitant LinkedIn :
- Lazarus Group (Corée du Nord) a usurpé l’identité de recruteurs sur LinkedIn afin d’installer des malwares sur les postes d’employés d’une entreprise du secteur aérospatial, selon ESET Research. Les chercheurs ont également décrit les campagnes « Wagemole », dans lesquelles des individus liés à la Corée du Nord tentent d’obtenir un emploi dans des entreprises étrangères.
- Scattered Spider a contacté le service d’assistance de MGM en se faisant passer pour un employé identifié via LinkedIn afin d’obtenir un accès interne. L’attaque par ransomware qui a suivi a entraîné 100 millions de dollars de pertes.
- Une campagne de spear-phishing baptisée “Ducktail” a ciblé des professionnels du marketing et des ressources humaines sur LinkedIn, diffusant un malware voleur d’informations via des liens envoyés en message privé. Le malware était hébergé dans le cloud.
Comment se protéger sur LinkedIn ?
La difficulté pour les équipes IT est le manque de visibilité sur l’ampleur des menaces transitant par LinkedIn et sur les tactiques utilisées pour cibler les collaborateurs.
Il est donc indispensable d’intégrer des scénarios d’attaque LinkedIn dans les programmes de sensibilisation à la cybersécurité. Les employés doivent être alertés sur les risques liés au partage excessif d’informations et formés à identifier les faux profils et les techniques classiques de phishing.
Pour éviter le détournement de leurs propres comptes, ils doivent également appliquer rigoureusement les politiques de mise à jour (patching), installer un logiciel de sécurité sur tous leurs appareils (provenant d’un éditeur de confiance), et enfin activer l’authentification multifactorielle (MFA).
Des formations spécifiques pour les dirigeants peuvent s’avérer nécessaires, ceux-ci étant fréquemment ciblés. Il est essentiel que chacun comprenne que, même sur un réseau perçu comme fiable tel que LinkedIn, tous les utilisateurs n’agissent pas avec des intentions bienveillantes.
