FIN6, groupe cybercriminel bien connu pour ses escapades dans les systèmes de paiement, a décidé de se reconvertir… en RH. Leur nouveau hobby ? Se déguiser en candidats exemplaires et envoyer de magnifiques CV truffés de malware à des recruteurs crédules. Derrière cette opération au vernis professionnel : une mécanique bien huilée, un périmètre visé large, et des conséquences juridiques qui donnent envie de revoir son process RH en urgence
🎠Recruteur de talents ? Dis plutôt vecteur d’infection
C’est le pitch du mois : FIN6, célèbre pour ses attaques contre les points de vente (POS) et les vols massifs de données bancaires, s’essaie à une nouvelle forme de spear phishing. Leur méthode ? Envoyer des candidatures fictives ultra-soignées, avec un CV en pièce jointe digne d’un profil LinkedIn premium… sauf qu’en réalité, c’est un cadeau empoisonné.
À l’ouverture du fichier — généralement un .docx ou .pdf accompagné d’un script — le malware s’installe en douce. Pas de feu d’artifice, pas de BSOD, pas d’antivirus qui hurle. Non, juste un implant bien peinard qui établit sa connexion vers son centre de commande.
Welcome to HR hell.
🧠L’ingénierie sociale version « recherche d’emploi »
On dit souvent que les attaques les plus efficaces sont celles qui exploitent la psychologie humaine. FIN6 l’a bien compris : dans une période marquée par des tensions sur le marché du travail, qui oserait se méfier d’un mail bien tourné avec un CV nickel et un message du type :
« Bonjour, je suis très intéressé par le poste. Vous trouverez mon CV en pièce jointe. Cordialement. »
Rien de plus banal, rien de plus quotidien pour un recruteur… et pourtant, ce banal-là , c’est la faille. Le phishing est d’autant plus redoutable qu’il exploite des routines non sécurisées, voire inexistantes, dans la gestion des candidatures. Et ici, le moindre double-clic devient un moment de bascule.
🕵️‍♂️ Technique et procédure : le mode opératoire FIN6
FIN6 ne réinvente pas la roue, mais il la polit à merveille :
- Pièce jointe avec macro ou exĂ©cutable masquĂ©Â : soit un CV Word avec macros activĂ©es, soit un fichierÂ
.pdfincluant une chaîne de téléchargement. - Implant initial discret : pas un ransomware en frontal, mais un loader léger, souvent un Cobalt Strike beacon ou un binaire maison.
- Phase de reconnaissance : collecte d’infos sur le système, l’Active Directory, les accès réseau.
- Mouvement latéral : escalade de privilèges, accès aux partages, exfiltration.
- Et en bonus : parfois une persistance, voire un ransomware à la clé.
💥 Conséquences ? Allons-y gaiement
Les conséquences de ce genre d’attaque vont bien au-delà du simple « dommage collatéral » :
- Compromission du système RH : si le poste infecté a accès à des bases internes (ERP, annuaires internes, paie…), c’est jackpot.
- Propagation sur le réseau : une fois l’accès AD ou mail gagné, l’attaquant peut rebondir sur les serveurs stratégiques.
- Vol de données personnelles : CV, lettres de motivation, bulletins de paie… un buffet à volonté de données RH. Bonjour RGPD.
- Risque réputationnel : imaginez devoir dire aux candidats : « Pardon, on a exposé vos données personnelles à un groupe cybercriminel… »
- Amende RGPD : si la fuite est avérée et mal gérée, jusqu’à 4 % du CA annuel. Oui, même si c’est « juste un recruteur » qui a cliqué.
📌 RGPD et responsabilités : pas d’excuse RH
Le RGPD ne connaît pas la pitié. Dès lors qu’il y a traitement de données personnelles, même à l’étape du recrutement, l’entreprise devient responsable du traitement. Cela implique :
- Mesures techniques appropriées : scanner les pièces jointes, sandboxing, antivirus à jour, blocage des macros.
- Sensibilisation des RH : parce que cliquer sur une pièce jointe douteuse, ça n’est pas excusable en 2025.
- Notification à la CNIL sous 72h en cas de fuite : et pas question d’attendre que le DSI « fasse le point ».
🛡️ Et donc, on fait quoi maintenant ?
Voici une checklist de bon sens pour ne pas transformer son Ă©quipe RH en passoire Ă malware :
- Désactiver l’ouverture automatique des macros dans Word/Excel.
- Former les RH à détecter les signaux faibles (expéditeur bizarre, formulations inhabituelles, CV non demandés).
- Isoler les postes RH dans un VLAN cloisonné, sans accès direct aux serveurs critiques.
- Utiliser un portail de candidature sécurisé, où les fichiers sont analysés côté serveur.
- Mettre en place une sandbox automatique pour les fichiers entrants.
- Revoir les procédures de réponse à incident, surtout en cas de phishing réussi.
🧨 Conclusion : recrutement ou roulette russe ?
Les cybercriminels ne dorment jamais. Et visiblement, ils se sont mis à jour côté LinkedIn et ATS. FIN6 n’est pas le seul à jouer cette carte, mais leur approche méthodique et ciblée en fait un exemple parfait de ce qu’on appelle une attaque par « confiance implicite ».
La prochaine fois que vous recevez un CV un peu trop parfait… dites-vous que ce n’est peut-être pas un futur collaborateur, mais un malware en costume-cravate.
