Le business rentable des campagnes humanitaires frauduleuses autour de la tragédie marocaine

Vendredi 8 septembre, un tremblement de terre s’abat sur le Maroc et cause une catastrophe sans précédent. Face à ce drame, les organisations internationales ont appelé à la solidarité internationale. Les cybercriminels n’ont pas manqué de tirer profit du drame pour mettre en œuvre une campagne destinée à détourner les fonds d’aide en s’attaquant notamment à la Croix Rouge Rouge.

Une stratégie bien rodée

Ces sont les experts de Trend Micro qui ont repéré la cyberattaque et ont identifié la stratégie opérée par les pirates.¹ Ces derniers ont détourné le domaine de croixrougefrancaise.fr pour rediriger les internautes vers un autre domaine appelé : alerteseisme.fr. Le site usurpateur en a trompé plus d’un, et pour cause, il a tout du site classique. Domicilié à une adresse parisienne existante, le site passe par le biais du bien connu Shopify, une plateforme permettant aux utilisateurs de gérer leur propre boutique en ligne. Si l’adresse postale renseignée est authentique, elle n’est pas la seule fournie par ces acteurs.

Une fois redirigés sur le site, les internautes peuvent acheter des produits, destinés aux marocains dans le besoin. Toutes droit sorties du site Aliexpress, les photos montrent des produits de premières nécessité aux titres, appelant à la compassion. La « tente fraternelle »telle que définie sur alerteseisme.fr, vendue pour la modique somme de 29 euros promet d’offrir « un refuge » afin que les « familles puissent commencer à guérir ».² Des détecteurs de tremblement de terre sont également proposés à la vente. Le filon est donc simple : les internautes, sensibilisés à la cause marocaine, règlent leur commande, fournissent leur empreinte bancaire, leur adresse mail et leur adresse de livraison. Ils deviennent ainsi des cibles vulnérables au détournement de leurs données personnelles et bancaires.

La mise en péril du travail des humanitaires

Si cette cyberattaque contrevient à la sécurité bancaire et personnelle des piégés, elle représente également un frein au bon fonctionnement du réseau du Comité international de la Croix-Rouge (CICR). Pourtant, ce n’est pas la première fois qu’elle se retrouve dans le viseur des cybercriminels. En janvier 2022, ils étaient alors parvenus à dérober les données personnelles de 515 000 personnes. Détectant l’intrusion 70 jours après la violation, la Croix- Rouge a pu établir un premier état des lieux dans un rapport publié le 16 février 2022 : « les pirates étaient parvenus à exploiter une vulnérabilité critique non corrigée dans un module d’authentification (CVE-2021-40539). Par ce biais, les cyberattaquants ont pu introduire un shell web et exécuter des activités de post-exploitation. Elles ont été le déplacement latéral et l’exfiltration des ruches de registre et des fichiers Active Directory. Par le biais d’outils de sécurité offensive, ils ont pu accéder aux données en se faisant passer pour des utilisateurs autorisés ».³ Après identification, les serveurs impactés ont donc tous été mis à l’arrêt par une équipe de cybersécurité engagée pour la Croix-Rouge. Une cyberattaque qui a fait l’effet d’une déflagration pour l’ensemble des Organisations Non Gouvernementales (ONG), étant donné les moyens techniques colossaux de la Croix-Rouge. Dans un communiqué de presse en janvier 2022, l’ONG indiquait « prendre la cybersécurité très au sérieux » et investir « considérablement » dans le domaine.⁴ Pour autant, CartONG, en 2022, estimait que les ONG ont de façon générale un « manque significatif de maturité sur les questions de données et de numérique ».⁵ Cela s’explique en partie par les contraintes financières très lourdes auxquelles elles doivent faire face. Les fonds recueillis sont en effet alloués à des programmes concrets lors des levées de fonds. Le financement des réseaux cyber repose donc sur leurs fonds propres de fonctionnement.

Renforcer la résilience des systèmes informatiques

En réaction aux attaques de 2022, la Croix-Rouge a affirmé vouloir « renforcer son système de protection des données afin de faire face à l’avenir à ce type de cyberattaques sophistiquées. Pour lutter face à ces manœuvres fallacieuses, l’apprentissage des bonnes pratiques est inévitable. » La Croix Rouge avait envisagé la création d’un emblème numérique selon trois techniques possibles⁶ : un emblème fondé sur un système DNS, un emblème fondé sur les adresses IP ou encore un système d’« emblème numérique authentifié » (ADEM) utilisant des chaînes de certificat pour signaler la protection. Des acteurs en cybersécurité se sont mobilisés pour renforcer les systèmes informatiques de l’ONG, à l’instar du Centre for Cyber Trust, un programme de recherche universitaire. Reste encore aux Etats « la nécessité de s’accorder sur son utilisation et à l’intégrer dans le droit international humanitaires aux côtés de trois emblèmes actuellement utilisés que sont la croix, le croissant et le cristal rouge. » ⁷

Mais les volontés et les investissements ne sont pas toujours suffisants face à la virulence et l’ingéniosité des cybercriminels. « Dans le cas de cette nouvelle cyberattaque, la problématique des noms de domaine est centrale » démontre Nicolas Pawlak de Red Flag Domains. Cédric Pernet, chercheur en sécurité informatique pour Trend Micro, ajoute « pour sécuriser le domaine et son attribution à l’organisation, il aurait fallu enregistrer le domaine, en spécifiant des informations essentielles dans les données « Whois» pouvant être demandées par n’importe quel utilisateur afin d’authentifier avec certitude son propriétaire légitime. Étant donné le nom de marque complet, « la Croix Rouge Française » l’organisation devra veiller à conserver ces noms et à ne jamais les abandonner. » Redoubler de vigilance face aux alertes relatives à l’expiration du domaine reste également l’un des moyens pour éviter ces fraudes. Veiller à ce que le domaine soit correctement paramétré afin d’empêcher les fraudeurs d’en abuser est un autre élément de réponse.

Si la Croix-Rouge ne s’est pas encore exprimé sur le sujet, aucune information ne nous permet de relater des victimes avérées de cette cyberarnaque pour le moment. Le 19 septembre, l’organisme la Fondation de France, dans le cadre de sa levée de fond pour le Maroc, a également été visée par les cybercriminels. Un porte-parole de la Fondation a spécifié que la cyberattaque n’aurait aucun impact sur la sécurité des dons grâce à la mobilisation des experts certifiés par l’Agence Nationale de la sécurité des systèmes d’information (Anssi).⁸ Par ailleurs, dans un communiqué adressé à ses partenaires, elle a indiqué avoir mis à l’arrêt l’ensemble de ses systèmes « le temps d’établir un diagnostic approfondi. » ⁹

À l’heure où l’attaque des ONG est de plus en plus fréquente, ces dernières devront se préparer à l’avenir à sécuriser leur système informatique pour faire face à des pirates n’ayant désormais plus aucune limite éthique à accaparer des ressources financières à visée humanitaire. La fiabilité des systèmes informatiques des ONG est primordiale pour la continuité des dons. Par aversion aux risques, les donateurs actuels et les celles et ceux qui souhaiteraient s’engager pourraient devenir plus frileux à confier leurs données bancaires aux organismes concernés, alors même qu’elles font déjà face pour beaucoup à des difficultés sans précédents.

1^ Article de Blog Trend Micro, rédigé par Cédric Pernet, Senior Threat Researcher

2^ Ibid.

3^ Cyberattaque contre le CICR : le point sur ce que nous savons. CICR.

4^ Ibid.

5^ Rapport CartONG de septembre 2020

6^ Le CICR propose de créer un emblème numérique croix rouge / croissant rouge pour signaler la protection dans le cyberespace – CICR

7^ Ibid.

8^ Extrait du mail de la Fondation de France envoyé à ses partenaires l

Le 19 septembre 2023

9^ Ibid.