Le géant de l’automobile a été la victime d’une cyberattaque massive. Et les données personnelles de près de 870 000 de ses employés, passés et actuels, sont maintenant dans la nature.
L’attaque par la bande : le maillon faible, c’est le fournisseur
Le plus ironique dans cette histoire ? Ce ne sont pas les serveurs de Volvo qui ont été directement piratés. L’attaque a visé l’un de leurs fournisseurs, une boîte qui gérait une partie de leurs données de ressources humaines. Il s’agit de l’attaque classique de la « chaîne d’approvisionnement« . Pourquoi s’attaquer de front à la forteresse quand on peut viser ses alliés, qui sont moins bien protégés ?
Une fois qu’ils ont réussi à entrer chez le fournisseur, les hackers ont eu un accès direct à un véritable trésor de données.
Le butin : une mine d’or pour les usurpateurs d’identité
Et ce qui a été volé, n’était pas rien. C’est tout ce dont un usurpateur d’identité peut rêver : noms complets, adresses postales, adresses e-mail, numéros de téléphone, dates de naissance… Et même, dans beaucoup de cas, les numéros de sécurité sociale.
C’est le « kit complet » de l’identité numérique : une collection d’infos qui vaut de l’or sur le dark web. Et qui est l’arme parfaite pour monter des arnaques d’une crédibilité redoutable.
La deuxième vague : le risque de phishing chirurgical
Pour les 870 000 employés concernés, le premier danger, le plus immédiat, c’est le « spear phishing ». Avec ces infos, les pirates ne vont plus envoyer des e-mails bidons. Ils vont créer des messages ultra-personnalisés.
Imaginez : vous recevez un e-mail. Il vous appelle par votre nom, et mentionne votre ancienneté chez Volvo. Puis, il vous demande de « mettre à jour votre dossier de pension » en cliquant sur un lien. La crédibilité est telle que même les plus vigilants pourraient tomber dans le piège.
Le cauchemar ultime : l’usurpation d’identité
Et le risque à long terme est encore plus terrifiant. Avec un nom, une date de naissance et un numéro de sécurité sociale, un criminel peut faire bien plus que pirater un compte. Il peut ouvrir un compte en banque à votre nom, souscrire à des crédits. Et même commettre des délits en utilisant votre identité. C’est un cauchemar administratif et financier qui peut prendre des années à résoudre.
Alors, que doivent faire les employés ?
Pour les personnes concernées, une période de vigilance extrême commence. Il faut surveiller attentivement ses comptes en banque. Chaque e-mail, et chaque SMS qui se présente comme venant de Volvo ou d’une administration, doit être traité avec la plus grande méfiance.
Il est fortement recommandé de changer les mots de passe de vos comptes les plus importants. Et surtout, d’activer l’authentification à deux facteurs partout où il est possible.
