Le 10 mai dernier, dans un communiqué de presse, la société Pacers Sports & Entertainment (PSE), propriétaire de l’équipe de basketball des Pacers de l’Indiana, franchise de la NBA (National Basketball Association), a révélé avoir été victime d’une attaque sophistiquée de phishing fin 2018.
Pour rappel, le phishing est une technique utilisée par des fraudeurs pour obtenir des informations personnelles dans le but de perpétrer une usurpation d’identité. Il s’agit d’une technique d’« ingénierie sociale » qui consiste à exploiter non pas une faille informatique, mais la « faille humaine » en dupant les internautes par le biais d’un email semblant provenir d’une entreprise de confiance, typiquement une banque ou un site de commerce.
Pacers Sports & Entertainment victime d’une attaque de phishing
Fin 2018, la société PSE a ainsi été la cible d’une campagne d’emails de phishing permettant l’accès non autorisé à des emails contenant des informations personnelles d’un certain nombre de personnes.
Cette cyberattaque a touché un nombre limité de personnes, cependant la quantité d’informations volées reste importante : nom, adresse, date de naissance, numéro de passeport, permis de conduire, numéro d’identification d’état, numéro de compte bancaire, numéro de carte de crédit, signature numérique, nom d’utilisateur et mot de passe, et pour certains le numéro de sécurité sociale.
La société américaine a alors rapidement mis en place des mesures pour sécuriser les comptes de messagerie touchés et a lancé une enquête avec l’aide d’experts judiciaires. Cette enquête a ainsi révélé que les pirates ont eu accès aux comptes d’un nombre limité de personnes, entre le 15 octobre et le 4 décembre 2018. Le communiqué ne donne cependant aucun détail sur l’identité des personnes visées.
PSE a informé individuellement chaque victime quelles informations les concernant ont été dérobées et rassure en affirmant qu’ « à ce jour, elle n’a reçu aucun rapport concernant une utilisation abusive ou une tentative d’utilisation abusive des informations personnelles ». La société a offert aux victimes de cette attaque, un accès gratuit à des services de surveillance de crédit et de protection d’identité.
Quelques règles simples face au phishing
Les attaques de phishing deviennent de plus en plus fréquentes mais surtout de plus en plus sophistiquées et visent tout type de secteurs. Chacun doit donc redoubler de vigilance.
Pour conclure, rappelons quelques règles simples pour vous protéger face à des tentatives de phishing :
- Ne pas répondre à une demande d’informations confidentielles par mail (code d’accès et mots de passe, code de carte bleue…) ;
- Ne jamais ouvrir une pièce jointe dont l’expéditeur est soit inconnu soit d’une confiance relative ;
- Vérifier les liens en passant la souris au-dessus (sans cliquer) pour s’assurer qu’ils renvoient vers des sites de confiance ;
- Être attentif à la qualité du langage utilisé par l’expéditeur du mail ;
- Ne pas faire confiance au nom de l’expéditeur du mail. En cas de doute, contacter l’expéditeur par un autre biais.
