Une entreprise américaine de sécurité informatique a indiqué lundi avoir identifié un nouveau groupe sophistiqué de cyberpirates ayant infiltré depuis plus d'un an les courriers électroniques de dirigeants de plus de 100 entreprises, probablement en vue de manipuler la Bourse.

Cette entreprise, FireEye, a baptisé ce groupe FIN4, et assure qu'il «connaît ses cibles», dans un rapport basé sur des informations relevées auprès de ses propres clients.

Les pirates semblent avoir visé en particulier les comptes de courriels de personnes susceptibles d'être impliquées dans des fusions et acquisitions, ou d'être au courant d'informations confidentielles, détaille-t-il: des membres des équipes dirigeantes, des avocats, des consultants extérieurs, des chercheurs.

Environ les deux tiers des entreprises ciblées par FIN4 depuis mi-2013 étaient actives dans la pharmacie et la santé, un secteur où le nombre de grosses transactions s'est envolé sur l'année écoulée.

La plupart des entreprises étaient cotées en Bourse, indique encore FireEye, qui ne divulgue toutefois pas leur identité, invoquant des raisons de confidentialité.

«Nous pouvons seulement soupçonner la manière dont ils utilisent et potentiellement profitent des informations de valeur auxquelles ils peuvent accéder», indique le rapport.

«Toutefois une chose est claire: l'accès à des informations d'initiés qui peuvent faire monter ou baisser des cours pour des dizaines d'entreprises cotées en Bourse donnerait certainement un avantage considérable à FIN4 sur les marchés», ajoute-t-il.

Le groupe FIN4 a notamment eu recours au phishing, l'envoi de courriels semblant émaner d'expéditeurs valides et poussant le destinataire à une action, comme un clic sur un lien vers une page internet, qui permet aux pirates de récupérer des informations de connexion cruciales.

La tactique est répandue, mais elle marque dans le cas du FIN4 par son échelle et sa sophistication.

Les courriels incriminés étaient souvent «incroyablement difficiles à distinguer d'un courriel légitime» dans la boîte de réception des victimes, écrit FireEye.

Ils jouaient sur des inquiétudes des dirigeants quant à la sécurité des informations de leur entreprise, intégrant par exemple dans certains cas des documents volés précédemment à l'entreprise.

Les courriels s'inséraient aussi dans des fils de réception groupés, aidant les pirates à accéder à de multiples comptes.

FireEye ne précise pas d'où les pirates opèrent, mais suggère que FIN4 est plus sophistiqué que d'autres groupes de cyberattaquants déjà repérés en Chine ou en Russie.

Leurs messages de phishing en particulier «semblent écrits par des personnes ayant l'anglais comme langue maternelle, et une familiarité avec les terminologies liées aux investissements et le fonctionnement interne des entreprises cotées», juge FireEye.