VINCI Cybersquatté, l’action s’effondre en bourse. Notre analyse.

L’information a largement été reprise dans la presse généraliste : le groupe VINCI a été victime ce mardi 22 novembre d’une manipulation de marché ayant conduit à la chute de son titre en bourse. A l’origine de cette attaque, un simple nom de domaine…

L’auteur de cette manipulation, un certain Thomas Moulaert, a enregistré le nom de domaine le 07/11/2016. Première chose étonnante : il n’a pas jugé bon de cacher son identité (si c’est la vraie…) lors de l’enregistrement du domaine.

Extrait de la fiche whois de vinci.group

Creation Date: 2016-11-07T19:18:10Z
Registry Expiry Date: 2017-11-07T19:18:10Z
Sponsoring Registrar: Gandi SAS
Sponsoring Registrar IANA ID: 81
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant ID: tm7967_gandi
Registrant Name: thomas moulaert
Registrant Organization:
Registrant Street: Slachthuisstraat 63
Registrant City: Roermond
Registrant State/Province:
Registrant Postal Code: 6041 CB
Registrant Country: NL
Registrant Phone: +31.475359638
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: 7e8029c102044b9b379ebfe2733eec8d-5199480@contact.gandi.net

A noter que les outils de surveillance & recherche de noms de domaine SafeBrands ont détecté ce nom de domaine dès le surlendemain, le 09/11/2016.

vinci_group

Hier, le 22/11/2016 à 16h10, l’attaquant à fait parvenir un communiqué de presse par courriel à plusieurs rédactions. Associé à un site web imitant celui du groupe VINCI, le courriel annonçait des irrégularités comptables et une révision à la baisse des résultats.

Les destinataires du courriel, dont Bloomberg, n’ont pas flairé le phishing et ont relayé la fausse information. Les marchés financiers ont alors été pris de panique, ce qui a provoqué en quelques minutes une chute de 18,3% du cours de l’action VINCI. Une telle chute correspond à l’effacement de 6,7 milliards d’euros de capitalisation boursière!

vinci_bourse

Chose étonnante, au lieu d’en rester là, les auteurs du premier message publiaient quelques instants plus tard un faux-vrai-démenti par courriel, par le biais d’un autre nom de domaine, enregistré depuis le 25/05/2016 ! Si on peut imaginer une tentative de manipulation de cours avec le premier message, on a du mal comprendre le sens de second.

Extrait de la fiche WHOIS de vinci-group.com

Creation Date: 2016-05-25T20:08:11.0Z
Registrar Registration Expiration Date: 2017-05-25T20:08:11.0Z
Registrar: OVH, SAS
Registrar IANA ID: 433
Registrar Abuse Contact Email: abuse@ovh.net
Registrar Abuse Contact Phone: +33.972101007
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Registry Registrant ID:
Registrant Name: Barbier Matthias
Registrant Organization:
Registrant Street: vinci-group.com, office #9471768, c/o OwO, BP80157
Registrant City: 59053
Registrant State/Province:
Registrant Postal Code: Roubaix Cedex 1
Registrant Country: FR
Registrant Phone: +33.972101007
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:Registrant Email: x2okg004xvq0ff77dp2s@g.o-w-o.info

Ainsi, en investissant dans deux noms de domaine, les attaquants ont réussi à manipuler l’action et peut-être constituer un beau pactole.

Qu’aurait pu faire Vinci pour limiter les risques ?

Plus de 20 000 noms de domaine enregistrés contenant la marque VINCI détectés via les outils SafeBrands

vinci_ndd

Entre l’enregistrement du nom de domaine utilisé pour amorcer l’attaque et le déclenchement de cette dernière, il s’est déroulé plus de 15 jours. Or, le nom de domaine aurait pu être détecté si le groupe avait bénéficié d’une surveillance mondiale, telle que celle proposée par SafeBrands, incluant les nouvelles extensions (.group).

Alerté par une surveillance, le groupe VINCI aurait pu réagir rapidement pour faire couper le site.

En outre, les atteintes à la marque parmi les noms de domaine sont légion. Nous avons fait tourner nos outils sur la marque Vinci, qui ont permis de relever plus de 100 noms de domaine enregistrés par semaine, dont une partie non négligeable de cyberquatting !

Exemples de noms de domaine enregistrés récemment et détectés par nos outils

vinci_exemples

Surveiller sa marque parmi les noms de domaine n’apporte pas seulement la connaissance des atteintes à la marque et la capacité d’agir. Elle permet d’appréhender les risques dans leur globalité, y compris techniques.

Or, il faut rappeler que le nom de domaine est souvent un vecteur d’attaques, qu’elles concernent directement le DNS (empoisonnement, déni de service, etc.) ou qu’il s’agisse d’attaques par ingénierie sociale (phishing, slamming, fraude au président, etc.).

Le nom de domaine est un produit hybride. Disposant d’une dimension juridique, technique et marketing, il doit faire l’objet d’une prise en compte transversale par les entreprises. Les registrars-conseils comme SafeBrands ont vocation à accompagner leurs clients dans cette approche et les sécuriser sur ces trois aspects.

Si vous souhaitez en savoir plus sur les produits de recherche & surveillance, n’hésitez à prendre contact avec nous sur surveillances@safebrands.com