Semaine 19 : Logiciel malveillant diffusé par un prétendu courriel des CFF

Service navigation

Recherche

Navigation

Semaine 19 : Logiciel malveillant diffusé par un prétendu courriel des CFF

13.05.2025 - De prétendus courriels de SwissPass ou des CFF sont régulièrement en circulation. La plupart de ceux qui sont signalés à l’Office fédéral de la cybersécurité (OFCS) sont des tentatives d’hameçonnage. La variante actuelle, particulièrement bien conçue, cherche à diffuser un maliciel sur les appareils sous Android.

L’OFCS reçoit des signalements de prétendus courriels des CFF depuis la semaine dernière. Ces courriels dénoncent un achat de billet suspect d’un montant de 224 francs. Le courriel, rédigé en français, dénonce un achat louche effectué à partir d’un appareil inconnu. Si l’on n’a pas effectué cet achat, on est invité à cliquer sur le bouton « Ce n’était pas moi ».

Prétendu courriel des CFF.
Prétendu courriel des CFF.

En cliquant sur ce bouton, une page s’ouvre avec les détails d’un billet de train Paris-Strasbourg. Un faux code QR s’affiche également pour donner un aspect plus officiel à l’ensemble. Un numéro de réservation est aussi mentionné. Des signaux et des avertissements renforcent le sentiment d’urgence. Cette présentation est typique d’un courriel frauduleux. La victime est incitée à agir rapidement, sans prendre le temps de chercher des incohérences.

Page web affichant le prétendu billet de train Paris-Strasbourg.
Page web affichant le prétendu billet de train Paris-Strasbourg.

Pour modifier ou annuler l’achat, il faut fournir des informations personnelles sur la page suivante. Outre le nom et l’adresse, il faut également indiquer le mode de paiement et la banque. C’est au plus tard à cette étape que chaque destinataire devrait se montrer sceptique, car les coordonnées bancaires ne sont ni pertinentes ni nécessaires dans ce contexte.

Pour annuler le prétendu achat, il faut fournir ses données personnelles avec le mode de paiement et le nom de la banque.
Pour annuler le prétendu achat, il faut fournir ses données personnelles avec le mode de paiement et le nom de la banque.

Cette manière de faire ressemble à une tentative d’hameçonnage. Mais dans un hameçonnage classique, l’étape suivante consiste à demander un mot de passe ou les données de carte de crédit.

Or, ici, la tentative se développe autrement : si l’on clique sur le bouton, l’étape suivante consiste à télécharger ce que l’on appelle un fichier APK. Les utilisateurs d’Android connaissent ce type de fichier puisqu’il s’agit d’un paquet d’installation pour les applications Android. Le fichier téléchargé est en réalité un logiciel malveillant dont le but est de voler des données sensibles. Le simple téléchargement du fichier ne suffit pas à infecter le téléphone portable, il faut encore l’installer, ce qui nécessite une intervention de la victime. Les pirates tentent donc, dans la dernière étape, d’expliquer en détail à la victime comment installer ce fichier APK sur son téléphone portable. Ce faisant, il s’agit de déjouer les mécanismes de sécurité. Normalement, seules les applications du store officiel peuvent être installées sur les téléphones portables. Mais comme le fichier proposé par les pirates ne se trouve pas dans un store officiel, il faut d’abord modifier l’option correspondante pour activer l’installation à partir d’une source inconnue. Si l’on suit ces instructions, le logiciel malveillant s’installe sur l’appareil.

Instructions détaillées pour l’installation du maliciel sur le téléphone Android.
Instructions détaillées pour l’installation du maliciel sur le téléphone Android.

Enfin, il est possible d’indiquer si l’on a réussi à installer le logiciel malveillant ou si l’on a rencontré des problèmes et que l’on a besoin d’aide. L’OFCS n’a pas pu vérifier ce qui se passe si l’on clique sur le bouton « J’ai besoin d’aide ». Il se pourrait que les escrocs appellent vraiment la victime pour lui fournir l’aide demandée puisqu’ils disposent de son numéro de téléphone, indiqué auparavant dans le formulaire.

Avec les données fournies, comme les coordonnées bancaires et le numéro de téléphone, les malfaiteurs ont toute une gamme d’attaques à disposition. Ils peuvent utiliser ces informations pour mener des attaques ciblées contre des données d’accès, manipuler des transactions financières ou abuser de données personnelles.

Recommandations

  • N’installez jamais un logiciel à partir d’un site web que vous avez ouvert à travers un lien dans un courriel ou un SMS.
  • Installez uniquement les logiciels et les applications dont vous avez besoin et veillez à les télécharger depuis le site web de l’éditeur ou un store officiel.
  • N’utilisez un autre store que si, en toute connaissance de cause, vous avez pleinement confiance dans cette source.
  • Si vous avez installé malgré tout un logiciel malveillant, donnez votre appareil à nettoyer à un spécialiste sans effectuer auparavant la moindre opération bancaire ni aucun achat en ligne. Ne saisissez surtout aucun mot de passe.
  • La réinitialisation de l’appareil infecté pour rétablir les paramètres d’usine est pratiquement la seule option pour supprimer un logiciel malveillant d’un appareil.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 12.05.2025

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2025/wochenrueckblick_19.html