N'acceptez pas n'importe quelle invitation Zoom ou Teams, des pirates s'en servent pour vous infecter

N'acceptez pas n'importe quelle invitation Zoom ou Teams, des pirates s'en servent pour vous infecter
Maurine Briantais

Méfiez-vous des invitations pour des réunions urgentes sur les plateformes de visioconférence comme Zoom, Teams ou Google Meet. Une campagne de phishing exploite actuellement ces logiciels pour infecter vos appareils.

Avec la pandémie et la démocratisation du télétravail, les plateformes de visioconférence comme Zoom, Google Meet ou Microsoft Teams ont vu leur popularité exploser au point de devenir des outils indispensables au quotidien. Et ça, les cybercriminels l'ont bien compris ! Les chercheurs en cybersécurité de Netskope alertent sur plusieurs campagnes de phishing qui se servent d'invitations à des visioconférences pour pousser des utilisateurs à installer des logiciels dangereux sur leurs ordinateurs ou leurs serveurs d'entreprise. Ces attaques exploitent la confiance des professionnels dans des outils de communication qu'ils utilisent quotidiennement. Et elles font de sacrés dégâts !

Arnaque à la visio : Google Meet, Zoom et Teams en ligne de mire

Tout commence avec un e-mail ou une notification de réunion falsifiée qui imite à la perfection l'apparence d'une invitation légitime. Ces messages semblent provenir d'un collègue ou d'un service informatique interne et invitent la victime à rejoindre une visioconférence urgente. Une fois que celle-ci a cliqué sur le lien, elle est redirigée vers une page qui reproduit fidèlement l'interface de la plateforme de réunion ciblée, avec une liste des participants, des boutons interactifs et des indicateurs que l'appel se déroule "en direct".

© Netskope

Le piège se referme au moment où la fausse page se met à indiquer que le logiciel de visioconférence doit être mis à jour ou qu'il y a un problème de compatibilité empêchant la victime de rejoindre la réunion. Un message invite alors à télécharger un "correctif" ou une "mise à jour obligatoire". Ces fichiers sont en réalité des outils de gestion à distance (RMM) tels que Datto RMM, LogMeIn ou ScreenConnect, qui, s'ils sont bien légitimes et signés numériquement – ce qui leur permet de passer au travers des protections habituelles –, sont en réalité détournés à des fins malveillantes.

Une fois installés, ces outils donnent à l'attaquant un accès administratif complet à l'appareil compromis. Le pirate a alors tout le loisir de voler des données sensibles comme des documents, des identifiants ou des informations stratégiques, mais aussi d'étendre sa présence dans le réseau de l'entreprise, d'installer d'autres logiciels malveillants, de chiffrer des fichiers ou d'installer des ransomwares – des logiciels malveillants qui prennent en otage les données stockées sur l'appareil infecté, moyennant une rançon.

© Netskope

Pour réussir, ces attaques s'appuient sur le nombre important d'utilisateurs de ces plateformes de réunion, la dépendance croissante des travailleurs à distance envers elles et le manque de vigilance face à ces messages en apparence tout ce qu'il y a de plus banal. Face à cette menace, il est recommandé de prendre le temps de vérifier l'adresse complète de l'expéditeur, de ne jamais télécharger de fichiers à partir de liens externes, et de toujours confirmer les invitations auprès de l'expéditeur par un canal de communication distinct.