A t-on encore besoin de présenter le phishing ? Depuis des années, les emails malveillants de phishing sont utilisés dans la quasi-totalité des attaques informatiques (plus de 90%) contre les entreprises. L'objectif est toujours le même et il est souvent atteint : tromper un employé pour créer une brèche dans le réseau informatique de l'entreprise. Cette compromission initiale du système d'information ouvre ainsi la voie à toutes sortes de méfaits, du rançongiciel au vol de données en passant par des attaques bien plus sophistiquées et ciblées.
Mais il existe des variantes, peut-être moins connues, mais très redoutables. Pas forcément nouveau non plus (et souvent gardé secret...) le whaling est une variante du phishing et fait toujours beaucoup de dégâts dans nos entreprises. Le whaling, c'est un phishing ciblé cherchant à atteindre les dirigeants et cadres dirigeants de l'entreprise (littéralement les « gros poissons » ou également appelé fraude au président) pour les inciter à réaliser un virement bancaire important. Et ça fonctionne plutôt bien.
Les fuites de données, les réseaux sociaux et les cookies regorgent d'informations
Là où les phishers « traditionnels » jouent sur la peur (de la Covid, etc.) ou sur les thèmes du moment (soldes, Black Friday, déclarations d'impôts, etc.) pour diffuser très largement des emails de phishing, les adeptes du whaling réalisent un important travail de préparation ciblé sur leur victime. L'objectif : connaître sa cible avant d'attaquer, en regroupant un maximum d'informations sur le dirigeant de l'entreprise. Et ces informations ne manquent pas : elles viennent des réseaux sociaux professionnels ou personnels, des fuites de données passées, ou encore des cookies de navigation.
Avec un peu de patience et un bon travail d'ingénierie sociale, il est en effet assez simple pour un attaquant de savoir qu'un nouveau cadre dirigeant vient de prendre ses fonctions dans l'entreprise, le nom des principaux fournisseurs, et même des infos d'apparence bien plus privées : le lieu de vacances du directeur général ou de ses cadres dirigeants, leurs centres d'intérêts et hobbies, le nom de leur banque, etc.
Ces informations sont la base d'un email de whaling parfaitement ciblé avec des informations personnalisées, envoyé au bon moment. Et ne nous y trompons pas, cela arrive à beaucoup d'entreprises y compris en France et nombreuses sont les entreprises à avoir perdu des centaines de milliers d'euros voire des millions. En 2018, au moyen du whaling/fraude au président, des pirates ont réussi à inciter des collaborateurs de la chaîne de cinéma Pathé à virer plusieurs fois d'énormes montants, pour un préjudice final de plus de 19 millions d'euros !
L'intelligence artificielle offre des capacités de récolte automatique de ces informations
Au cours des dernières années, le phishing a changé d'ère : il est désormais dopé à l'intelligence artificielle. Les attaquants s'appuient sur des moteurs d'intelligence artificielle scannant pour eux le web et même le darknet, pour recueillir les informations pertinentes et détaillées sur des individus et des entreprises, parmi un volume considérable de données exposées. Il est par ailleurs établi que la multiplication des fuites de données génère automatiquement des vagues d'attaques de phishing et bien entendu de whaling. Il y a fort à parier que le récent piratage massif des serveurs de la messagerie professionnelle Microsoft Outlook, qui est largement utilisé par les TPE/PME, va offrir une source inestimable d'informations contenus dans des historiques de mails, à des attaquants et découler sur de vastes vagues de phishing et whaling…
Notre salut viendra obligatoirement de l'inculcation d'une culture cyber au sein de l'entreprise
Le phishing, et plus encore le whaling, ne peuvent pas se régler uniquement par l'intégration de multiples technologies de sécurité. La technologie est certes un rempart permettant d'empêcher un grand nombre d'emails d'arriver dans leur messagerie de destination, mais elle ne peut pas le garantir à 100%. Dès lors, l'utilisateur doit jouer ce rôle de dernier maillon de la chaîne de sécurité. Malheureusement, non seulement la sensibilisation à ce type d'attaques a un coût mais les entreprises n'ont surtout pas d'experts capables de prendre en main le sujet pour diffuser de bonnes pratiques. C'est donc au dirigeant, qui par ailleurs a souvent le plus à perdre, de prendre en main le sujet et d'insuffler progressivement une culture cyber au sein de son équipe.
Cela passe par de la sensibilisation et de l'éducation (qu'est-ce qu'un phishing ? Comment le reconnaître ? etc.) mais également par la mise en place de processus de validation plus complexes pour des actions sensibles : par exemple, un processus de validation bi voire tripartite clair pour tout virement bancaire, ou partage d'informations sensibles vers l'extérieur.
L'essor du télétravail rend la cybersécurité plus complexe
Avec la généralisation du télétravail, beaucoup de dirigeants travaillent désormais à distance. Certains cadres ont sûrement été recrutés pendant la pandémie de Covid ou durant un confinement et ne connaissent que très peu leurs équipes. Ce contexte est totalement propice au whaling et doit découler sur de nouvelles mesures de sécurité. Ainsi puisque la situation est vouée à durer dans le temps, pourquoi ne pas intégrer le réseau informatique des cadres dirigeants à la maison, dans le périmètre de gestion de l'IT de l'entreprise "traditionnelle". En effet, pour quelques centaines d'euros, le réseau à la maison - à minima du directeur général, et les directeurs aux activités sensibles, tels que le DAF - peut être sécurisé par un pare-feu d'entreprise. Lorsque l'on connaît le montant des pertes potentielles liées à des d'attaques de whaling, la question d'un budget complémentaire pour élargir la sécurité au-delà du périmètre traditionnel, doit nécessairement se poser.