Les commerciaux des entreprises exportatrices et les techniciens envoyés à l’étranger peuvent mettre en péril les données de leur entreprise et ouvrir une porte aux fraudeurs. Le WiFi des hôtels est particulièrement visé. Selon l’éditeur de logiciels de sécurité FireEye, une campagne d’attaques visant la clientèle des hôtels depuis cet été émane du groupe de hackers russe APT28. Sa cible privilégiée : les voyageurs d’affaires, dans toute l’Europe et au Moyen-Orient.

Un sentiment de sécurité trompeur

En déplacement, les commerciaux et les techniciens ont l’habitude de se connecter au réseau WiFi de l’hôtel qui les héberge. Les avertissements de sécurité, que la plupart des établissements affichent au moment de la connexion, sont bien souvent négligés par ces voyageurs d’affaires. Le fait de travailler depuis son terminal habituel (PC portable, tablette, Smartphone) contribue à créer un sentiment de sécurité qui n’existait pas quand il fallait utiliser les services d’un cybercafé voici dix ou quinze ans. Le confort des établissements, de leur lounge ou de leur business center, et la présence du WiFi du lobby jusqu’à la piscine, contribuent aussi à faire tomber les précautions.

Menaces sur les voyageurs d’affaires

L’activité d’espionnage des voyageurs d’affaires n’est pas nouvelle ; elle pouvait passer par les écoutes téléphoniques, la fouille discrète des documents laissés dans les chambres, par un traducteur local ou un guide suivant pas à pas les rencontres et les propositions commerciales. Mais le développement de la cybercriminalité entraîne un nouveau risque : celui de permettre aux fraudeurs de pénétrer dans la messagerie de l’entreprise cible, ou d’implanter un malware qui leur donnera accès aux données. Leur porte d’entrée : la connexion depuis des hôtels ou des réseaux publics mal protégés.

Le maillon faible de la connexion hôtelière

FireEye a découvert un document malicieux envoyé début juillet dans des emails de spear phishing à de multiples entreprises de l’industrie hôtelière, dont des hôtels dans au moins sept pays européens et un pays du Moyen Orient. Le clic malencontreux sur le lien ou la pièce jointe entraîne l’installation du malware GAMEFISH sur le serveur de l’établissement. Une fois que l’attaquant a eu accès aux machines connectées aux réseaux WiFi internes, il peut voler des noms d’utilisateur et des mots de passe cryptés utilisés par les voyageurs d’affaires pour travailler – avec les conséquences que l’on imagine facilement : vol de données et ingénierie sociale…

Une menace polymorphe

APT28 n’est pas le seul groupe qui cible les voyageurs. Le Fallout Team (connu aussi sous le nom Darkhotel) a utilisé des mises à jour frauduleuses de logiciels sur des réseaux WiFi infectés dans des hôtels en Asie, et le malware Duqu 2.0 a été trouvé sur les réseaux d’hôtels européens utilisés par les participants aux négociations sur le nucléaire iranien. Diverses sources non révélées par FireEye font état depuis plusieurs années qu’en Russie et en Chine, les représentants d’entreprises importantes peuvent s’attendre à voir leurs ordinateurs et d’autres équipements électroniques accédés à leur insu dans leurs chambres d’hôtel.

Des précautions qui s’imposent

Les voyageurs d’affaires doivent être conscients des menaces auxquelles ils exposent leur entreprise lors de leurs déplacements, et prendre des précautions supplémentaires pour protéger leurs systèmes et leurs données. Les réseaux WiFi ouverts au public présentent une menace significative et doivent être évités dans la mesure du possible. Des solutions de sécurité informatique durcie devront être mises en place… mais elles ne pourront rien sans une politique suivie de sensibilisation des collaborateurs.