Phishing, l’abus de confiance virtuel
Le phishing, pouvant se traduire par hameçonnage, est un type d’attaque informatique qui résulte en une tentative d’usurpation d’identité. L’attaquant déguise son action sous une demande semblant légitime comme un email émanant d’une banque ou un message sur Skype venant d’un ami. Le but est de récupérer les données personnelles des victimes, mots de passe et identifiants, pour subtiliser ses biens numériques. Le phishing agit habituellement de manière grossière, misant sur le nombre plutôt que la qualité. Certains facteurs récurrents au sein de ces attaques peuvent ainsi mettre en alerte :
- le message est souvent impersonnel ;
- l’orthographe est de mauvaise qualité ;
- des informations très sensibles peuvent être demandées (code de carte de crédit, mots de passe,…) ;
- il est fait mention d’une urgence à laquelle il faut répondre sans délai ;
- et il est toujours demandé de cliquer sur un lien, une image/un bouton, voire d’ouvrir une pièce jointe.
Bien moins impressionnantes que des attaques plus sophistiquées telles que les crypto ransomwares, le phishing est cependant l’un des vecteurs de risque les plus répandus. En 2018, le CERT du secteur privé luxembourgeois, CIRCL, recensait plus de 6 500 de tentatives de phishing ce qui représentait 54.9% de l’ensemble des incidents reportés. Cette tendance est notamment liée à la simplicité de la mise en place de campagne de phishing, du fait de faibles besoins techniques et financiers. L’achat de base de données contenant de nombreuses adresses mails étant un service fréquent sur le marché noir du deep web.
Une menace en constante évolution
Le « spear phishing » ou hameçonnage ciblé est une variante ciblant une personne en particulier. Cette technique demande plus de ressources puisque l’attaquant doit paramétrer son message pour que celui-ci s’adresse directement à la victime, ce qui nécessite un travail en amont de recherche d’informations. Le spear phishing est particulièrement utilisé dans des cas d’espionnage industriel ou d’attaques visant des personnes particulièrement fortunées ou détenant des informations très sensibles. Une autre déclinaison, jugée plus low tech, se nomme le SMiShing. L’intention malveillante est similaire, mais le vecteur utilisé est le téléphone portable ou smartphone.
Cela ne concerne pas juste votre adresse mail !
À l’instar d’un vol de papiers d’identité, le problème avec le phishing est de pouvoir déceler où s’arrête l’usurpation. Les attaquants ayant récupéré vos informations personnelles, il leur est très aisé de se présenter sous votre identité numérique auprès de différents fournisseurs de service. De plus, les démarches afin de prouver sa réelle identité et reprendre la main sur ces différents comptes sont longues et fastidieuses. Il faut donc régulièrement changer ses mots de passe et ne pas utiliser les mêmes pour différents services.
Source: Verizon Data Breach Investigations Report - 2018
Pour lutter contre le phishing, misez sur les hommes autant que sur la technologie
Afin de prévenir les menaces liées au campagne de phishing, il faut à la fois adopter les bons outils et les bons réflexes. Parmi les outils les plus accessibles il faut citer les filtres anti-phishing, proxy, mis à disposition par les moteurs de recherche. Ceux-ci sont présents dans les paramètres de navigation et ne nécessite pas de compétences techniques particulières (Google Chrome, Mozilla Firefox, …). Afin de compléter ces filtres, d’autres initiatives permettent de reporter les tentatives de phishing et ainsi de maintenir à jour les bases de données des navigateurs web. Au niveau du Luxembourg, la phishing initiative a recueilli depuis le début de l’année plus de 35 000 URL jugées dangereuses. L’outil gratuit Web Of Trust fonctionne également via les apports de sa communauté d’utilisateurs et permet d’obtenir, ou d’attribuer, une note de confiance aux sites internet visités. Cependant, l’utilisation de moyens techniques n’est pas une fin en soi et les internautes ont principalement besoin d’adopter une attitude plus prudente vis-à-vis des messages qu’ils reçoivent. Il faut permettre aux employés de prendre le temps pour acquérir, développer puis mettre en pratique les bons réflexes afin de lutter contre les arnaques en ligne. Cela peut sembler chronophage, cependant il faut toujours considérer les pertes potentielles en cas d’attaque réussie et les conséquences désastreuses sur l’image de la société. Ces comportements peuvent être initiés par des formations ou des campagnes de sensibilisation, telles que cet article. CASES propose des formations en direction de tous types de publics professionnels afin de les sensibiliser à ces problématiques. Des sources d’informations telles que phishing.fr peuvent également permettre aux RSSI, et de manière générale aux employés, d’accéder à des informations pertinentes et facilement compréhensibles.
NC3 expert voice :
« Le phishing s’adresse principalement aux humains tout en exploitant nos différentes faiblesses. En plus des outils techniques cités précédemment, voici quelques conseils pour éviter la fuite d’informations par phishing :
- Sensibiliser les utilisateurs sur les différentes méthodes de phishing, afin de repérer plus facilement les pièges qui peuvent leur être tendus.
- Traiter les mails de personnes qui nous sont inconnues avec une prudence extrême et une attention particulière. Si au contraire la personne nous est connue, il faut alors la recontacter par d’autres moyens de communication en cas de suspicion de phishing.
- Prendre du recul et du temps pour évaluer la légitimité de chaque demande.
- Ne jamais répondre à un mail de phishing, cela informerait l’attaquant que l’adresse mail est valide.
- En cas de doute, ne pas hésiter à demander au personnel IT afin de s’assurer de la véracité du mail que vous avez reçu.»