Qui n’a pas encore entendu parler de phishing ? Cette technique d’attaque informatique, largement utilisée par les hackers dont le but est de dérober les données personnelles des particuliers, les données sensibles des entreprises (propriété intellectuelle, données clients, etc.), ou bien de pénétrer les systèmes d’information des entreprises grâce à l’intrusion d’un malware en vue d’y mener des actions malveillantes d’envergure.
Les dernières attaques très médiatisées subies par TV5 Monde, le journal Le Monde ou encore Sony Pictures, pour n’en citer que quelques-unes, ont encore démontré l’efficacité du phishing et l’intérêt de cette technique qui peut s’avérer très rentable pour les hackers.
Le phishing - également appelé hameçonnage - a beau être l’une des attaques les moins complexes d’un point de vue technique, est toujours l’une des attaques des plus efficaces. Selon une étude menée par Verizon, il ne faudrait pas plus de 80 secondes après le lancement d’une attaque de masse pour que les premiers clics sur le lien frauduleux n’interviennent ! Et selon cette même étude, la moitié des victimes de phishing cliqueraient sur le lien frauduleux moins d’une heure après le lancement de l’attaque.
La boîte de messagerie est la cible privilégiée des hackers qui jouent sur le manque de vigilance, de discernement ou l’impatience de l’utilisateur, bien plus que sur des techniques informatiques complexes. Pour autant, les hackers sont aujourd’hui très organisés et ils se donnent les moyens de leurs ambitions. En effet, les attaques de phishing découlent souvent de longues investigations menées par les hackers sur les habitudes des utilisateurs, sur leur utilisation du web, sur leur réseau familial et d’amis, en vue de monter des pièges et des imitations très ciblés et aboutis.
Malgré un ensemble de solutions techniques ou humaines simples à mettre en œuvre par les utilisateurs et les entreprises, pourquoi sommes-nous toujours aussi impuissants face au phishing ? Chaque nouvelle attaque apporte son lot de conseils et de recommandations, mais force est de constater que ceux-ci ne sont pas suivis d’effets. Alors quand allons-nous vraiment tous - entreprises et utilisateurs au bureau ou à la maison - nous mobiliser pour forcer les hackers à délaisser le phishing ? Quelles sont les solutions simples à mettre en œuvre pour mieux déceler et faire face au phishing ?
Le phishing, en quoi ça consiste et pourquoi ça fonctionne ?
Concrètement, le phishing prend la forme d’un email malveillant envoyé à un grand nombre d’utilisateurs, en les invitant à cliquer sur un lien frauduleux. Un simple clic sur ce lien renvoie alors l’utilisateur vers un site web créé par le hacker lui demandant tout ou partie de ses données personnelles (bancaires, etc.) ou permet l’intrusion d’un malware dans le système d’information, exposant ainsi l’entreprise à d’importantes fuites de données.
Désormais pour passer au travers des filtres antispam les plus sophistiqués et pour piéger les utilisateurs, les cybercriminels de plus en plus professionnels et encadrés au sein de vraies organisations, s’orientent vers des attaques dites « chirurgicales » envoyées à un nombre limité d’utilisateurs mais de manière plus ciblée. Ainsi les hackers étudient au préalable l’identité du destinataire et de ses proches sur les réseaux sociaux - ce que l’on appelle l’ingénierie sociale - afin de créer un e-mail reproduisant le contexte interpersonnel allant même jusqu’à usurper un expéditeur connu du destinataire pour effectuer des actions frauduleuses (le banquier, un manager voire même un membre de la famille). On parle alors de « spear phishing » (harponnage).
Une erreur ou un manque d’inattention peut mener à des dégâts considérables
L’attaque ciblée par email est une menace grandissante qui, alliée à l’usurpation d’identité, se montre très dangereuse, envers les entreprises et les individus. Les arnaques « au président » - phishing utilisant l’usurpation de l’identité du Président de l’entreprise - sont un exemple parfait de ce type d’attaque : de grandes entreprises françaises telles que Michelin, Total, Vinci, LVMH ou Accor en ont fait les frais.
Les conséquences de ces attaques peuvent être nombreuses : une fuite de données importante impactant les finances et la réputation de l’entreprise, une interruption longue et coûteuse du service, la circulation illicite de données personnelles et sensibles sur l’internet parallèle (appelé deep web), etc.
Deux cas marquants illustrent parfaitement la finalité du phishing. Les cybercriminels qui ont récemment attaqué TV5 Monde ont envoyé des emails de phishing à plusieurs journalistes de la chaîne en janvier 2015. Lorsque l’un d’entre eux a finalement cliqué sur le lien frauduleux par inattention, les hackers ont pu pénétrer le réseau et ainsi préparer la fameuse attaque ayant interrompu le service de la chaîne au mois de mars avec des impacts importants sur la réputation et sur les revenus de la chaîne. Même principe pour Sony Pictures, le phishing aurait permis aux hackers de pénétrer le réseau pour y dérober à loisir un volume considérable de données sensibles.
Rappelons ici encore une fois que ces dégâts considérables ne résultent pas d’une attaque extraordinairement évoluée techniquement mais bien d’une simple faute d’inattention humaine.
Déculpabilisez, même les experts sécurité peuvent se faire piéger !
Voici un test réalisé auprès d’experts de la sécurité qui aidera probablement certains utilisateurs victimes de phishing à quelque peu déculpabiliser.
MacAfee/Intel Security a réalisé un test consistant à envoyer 10 emails à 100 responsables de la sécurité informatique d’entreprises américaines ; certains de ces emails étant de vrais emails de correspondance et d’autres des emails de phishing. Il leur était ensuite demandé très simplement de détecter les vrais et les « faux » emails. Et le résultat est probant : en moyenne, les personnes interrogées ont été capables de détecter 2/3 des faux emails et seulement 6% ont été capables de détecter tous les emails frauduleux…
Un test qui ne rassure pas mais qui démontre bien que la responsabilité totale des attaques subies ne peut pas uniquement incomber à l’utilisateur. La qualité des faux emails utilisés est aujourd’hui telle qu’il est bien souvent difficile de distinguer un vrai email d’un faux, preuve en est même les professionnels s’y méprennent…
Une protection optimale contre le phishing impose une réelle mobilisation et la prise en compte des recommandations
Quoiqu’il en soit, ne nous laissons pas éblouir par la qualité des leurres mis en place par les hackers et ne nous laissons pas apeurer par ces derniers capables de s’introduire de manière insidieuse dans nos vies. Pour cela, nous devons garder en tête que ce n’est pas la personne physique ou l’entreprise qui est ciblée, mais bien les ressources.
D’un point de vue technique, l’entreprise peut mettre en place plusieurs moyens, tels que : - Des solutions de filtrage antispam et antivirus efficaces pour déceler et supprimer les spam et virus. Ces solutions s’appuient généralement sur des bases de données d’URL frauduleuses et mettent à jour leur filtre très régulièrement pour prendre en compte des attaques de phishing déjà connues. - L’affichage de l’URL : une fonctionnalité simple à mettre en place, qui permet à l’utilisateur de déceler des URL étranges (qui n’ont pas de rapport avec le site vers lequel un lien est censé renvoyer). Concrètement, cela consiste à afficher l’URL lorsque la souris passe sur un lien (sans nécessité de cliquer).
Sur le plan technique, le problème réside désormais dans les attaques ciblées qui sont difficilement repérables par les outils d’analyse puisque les emails ne sont plus envoyés en masse mais deviennent trop interpersonnels pour être détectés de façon automatique. Certaines entreprises définissent par exemple des règles spécifiques sur leur solution antispam ou relais de messagerie, comme l’interdiction de réceptionner les e-mails provenant de l’extérieur du réseau utilisant le même nom de domaine, pour palier à l’usurpation d’identité entre collaborateurs d’une même entreprise.
Au-delà de ces aspects techniques, le vrai point de défaillance reste encore aujourd’hui le facteur humain. Les utilisateurs ne sont pas assez informés et pas suffisamment conscients de la responsabilité qui est la leur dans la protection des données de l’entreprise. Dans le cadre privé, les utilisateurs ne prennent pas suffisamment en considération les recommandations émanant d’ici et là.
Aux entreprises, voire aux institutions françaises de mieux informer pour que chacun puisse enfin s’approprier la lutte contre le phishing. Voici quelques moyens à mettre en œuvre :
L’organisation de réunions informatives sur le sujet de la sécurité au sein des entreprises.
Des formations sur le phishing pour les employés illustrées de cas concrets. Quelques exemples de recommandations : éviter de donner trop d’informations personnelles sur les réseaux sociaux, sur sa personne ou l’entreprise. Par exemple, la mise en ligne d’un organigramme d’entreprise est une aubaine pour les hackers puisque cela permet de cibler les bonnes personnes, les utilisateurs à privilèges, le Président, le Directeur financier, etc.
Inciter à l’utilisation d’outils de détection de liens frauduleux gratuits tels que isitphising.org, apwg.org ou encore phishtank.com. Ces sites sont des initiatives gratuites qui conservent une base de données de liens frauduleux et permettent de savoir simplement en copiant/collant un lien, si celui-ci est du phishing ou s’il est licite.
Un dernier conseil pour les utilisateurs, probablement le plus simple : prenez votre temps ! Prendre quelques secondes supplémentaires de réflexion et de questionnement devant un email étrange (comment cette offre peut-elle être aussi alléchante ? pourquoi mon manager m’enverrait-il ce mail un dimanche ? Pourquoi me demande t’on de paramétrer mon mot de passe alors que je l’ai fait la semaine dernière ? etc.) pourrait permettre d’éviter une catastrophe pour l’entreprise ou pour son propre compte bancaire.
Les dégâts engendrés montrent bien que cette « menace 2.0 » de phishing ou spear phishing est à prendre très au sérieux. Les conseils et recommandations abondent mais les effets ne suivent pas. Même si les utilisateurs sont les éléments déclencheurs de ces attaques, les entreprises, les institutions ont leurs responsabilités : elles doivent aider à former les utilisateurs pour qu’ils se protègent et soient plus attentifs. Alors à quand une vraie mobilisation contre le phishing ?