DocuSign piraté, ses clients sont victimes d’une campagne de phishing

DocuSign a été pris pour cible par des hackers la semaine dernière. Ces derniers sont parvenus à pirater un serveur de l’entreprise pour y dérober la liste des adresses mail de ses clients. Depuis, ces derniers sont devenus la cible d’une campagne de phishing. Ils reçoivent des courriers malveillants au nom de l’entreprise, qui contient généralement des documents à signer et télécharger. Lorsque le fichier est ouvert, cela déclenche l’installation d’un virus informatique.

Dans un communiqué, DocuSign s’est empressé de rassurer ses partenaires ainsi que sa clientèle. Le service de signature électronique affirme qu’outre les mails, les hackers n’ont eu accès à rien d’autre. Que les clients se rassurent : leurs noms, adresses, mots de passe, numéros de sécurité sociale et/ou de carte de crédit n’ont pas fuité des serveurs de la société.

Docusign hack

L’entreprise assure aussi avoir pris des mesures rapides afin de sécuriser ses serveurs et empêcher qu’une telle chose ne survienne encore.

Attention aux mails piégés

Depuis cet incident, DocuSign invite ses utilisateurs à rester très vigilants lorsqu’ils reçoivent des mails envoyés au nom de la société. Il faut particulièrement se méfier des adresses comme @docus.com ou bien @docusgn.com. Les clients du service doivent également faire attention aux courriels avec l’objet suivant : « Completed *company name* – Accounting Invoice *number* Document Ready for Signature ».

Les mails malveillants contiennent aussi des liens qui mènent à un document Word téléchargeable. Or dans son message, DocuSign précise que la compagnie n’envoie jamais de pièces jointes dans ses e-mails. Il s’agit au fait d’un programme malveillant que les utilisateurs déclenchent malgré eux lorsqu’ils tentent de télécharger le fichier en question.

DocuSign reconnait son erreur

Cette affaire de hacking pourrait bien porter un coup fatal à DocuSign. En tant qu’entreprise spécialisée en e-signature, elle se doit en effet d’assurer un maximum de sécurité aux données de ses clients. Or c’est le contraire qui est arrivé. La compagnie a eu le bon sens de reconnaître sa part de responsabilité dans l’histoire, mais tente quand même de minimiser la situation. Elle affirme notamment que les pirates n’ont pu accéder qu’à un sous-système de son serveur.

Avec plus de 200 millions d’utilisateurs dans le monde, DocuSign risque de perdre de sa crédibilité s’il n’agit pas au plus vite. Le service de signature électronique travaille activement avec les autorités afin de mettre fin à cette campagne de spams. Il affirme également que des mesures radicales ont été prises pour endiguer ce phénomène et l’empêcher de se reproduire.