Alors que les organisations du monde entier tentaient de se protéger contre le logiciel de rançon WannaCry, DocuSign était confrontée à un autre problème : responsable d’un service de signature électronique réputé, l’entreprise a vu une partie de sa base de données interceptée, ce qui a permis à plusieurs clients d’être ciblés par des escroqueries de phishing.
DocuSign a vu le jour en 2003, alors qu’il existait déjà une forte demande pour des services tels que la gestion de documents numériques et les transactions validées par signature électronique. En proposant des technologies centrées sur ces besoins, la société a gagné beaucoup de parts de marché dans les années suivantes. Aujourd’hui, elle est présente dans plus de dix pays, dont la France, et a conclu des partenariats pour opérer dans plusieurs autres.
Les clients de DocuSign sont principalement des entreprises. Vous pouvez donc voir à quel point le problème peut être grave. La société a découvert au début de la semaine dernière qu’un de ses systèmes avait été mal utilisé. Ce piratage a abouti à une fuite de la liste de diffusion des clients.
Aucun mot de passe, document, numéro de carte de crédit ou toute autre information confidentielle n’a été saisi, seulement le courrier électronique. Malgré cela, l’attaque a suscité des inquiétudes, car les clients de la liste ont commencé à recevoir de faux e-mails au nom de DocuSign.
Si le destinataire ne remarque pas la fraude, alors des données confidentielles peuvent être saisies : les messages comportent un document supposé qui, si on clique dessus, déclenche un logiciel malveillant. Les titres des courriels comportent des expressions très attrayantes, telles que “virement bancaire” et “prêt à signer”.
C’est une vieille ruse, mais comme les messages étaient bien ciblés – les cibles sont en fait les clients de DocuSign – il est plus difficile pour les destinataires de comprendre le piège.
L’entreprise s’assure que l’écart a déjà été comblé et qu’aucun de ses services n’a été compromis dans l’invasion, ce qui est également vrai pour les millions de documents validés dans ses systèmes. En revanche, DocuSign n’a pas révélé le nombre d’adresses électroniques divulguées, et aucun client n’a mordu à l’hameçon.