Attaque par Phishing, principale source d’attaques

Attaque par Phishing, principale source d’attaques

Les attaques par phishing ont connu une croissance considérable ces dernières années, et l’actualité récente ne fait que le confirmer. Souvenez-vous en novembre 2014, plus de 235 Go de données ont été dérobées à Sony Entertainment : parmi elles, des plans stratégiques de l’entreprise ainsi que plusieurs longs-métrages non-diffusés. Le coût estimé pour l’entreprise était évalué entre 100 et 200 millions de dollars.

De nombreux termes existent Scam, Phishing, Spam et Spear. Que représentent-ils ?

Le scam également appelé fraude 419, est une technique utilisée depuis longtemps. Les scams sont des cyber-arnaques où la victime est sollicitée pour récupérer soi-disant des millions d’euros en échange d’un pourcentage. Voici un exemple : « Mon nom est Robert Mouganda, président général de la banque du Merinos depuis 2005. Suite aux émeutes ayant eu lieu dans mon pays, je cherche quelqu’un en Europe pour transférer 10 millions d’euros. Je vous ai donc choisi. Vous toucherez une commission de 10% soit 1 million d’euros à réception. Si vous êtes intéressé, merci de me contacter d’urgence. »

Le phishing représente des attaques visant à soutirer des informations personnelles ou professionnelles. Dans ce cas, les expéditeurs du courriel se font passer pour une banque, une entreprise ou un site officiel, comme les impôts. Ce faux mail demandera par exemple de confirmer une adresse postale pour la réception de vos données bancaires. Le lien sur lequel vous devez cliquer est celui qui vous mènera à l’attaque. Ces techniques sont rependues en milieu professionnel car le salarié se sent protégé par son service informatique, son antivirus et son pare-feu. Vous pouvez disposer de solutions de sécurité, celles-ci ne servent à rien si l’utilisateur n’est pas vigilant et clique sur le lien. En 2017, 76% des entreprises ont été victimes d’une attaque par phishing, d’après Kaspersky Lab.

Ces attaques sont souvent déployées au travers des techniques de spam. Le spam, généralement utilisé à des fins publicitaires, permet la diffusion massive d’emails sans qu’ils n’aient été sollicités par leurs destinataires. Le taux de succès de ces attaques déployées via le spam est faible. Une grande majorité des filtres les détectent et les internautes sont suffisamment avertis pour les déceler. Cependant, elles génèrent encore de nombreuses victimes pour permettre aux attaquants de réaliser des gains. En aout 2017, le chercheur en sécurité informatique connu sous le pseudonyme Benkow a révélé une importante campagne de spams véhiculant le malware bancaire Ursnif. Cette attaque utilise des adresses emails et mots de passe réels, récupérés sur la base de fuites de données de divers sites majeurs comme Linkedin, Facebook, Badoo… Utilisant des serveurs réels et certifiés ainsi que de bonnes adresses mails, ce spam outrepasse les filtres. Au total, grâce à cette technique de spam massif permettant de cibler les OS vulnérables à Ursnif, Benkow estime que la campagne pourrait avoir infecté plus de 100.000 ordinateurs dans le monde.

Le pire reste à venir car ces attaques ne sont plus déployées « en masse » sur des adresses mails aléatoires mais sont de plus en plus personnalisées et sophistiquées. Les attaquants se basent sur des techniques d’ingénierie sociale. Ils se renseignent sur leurs cibles de sorte à produire des messages individualisés et personnalisés. Les victimes ont donc beaucoup de mal à identifier ces attaques et cliquent sur les liens et pièces jointes qu’elles contiennent, permettant ainsi la propagation d’un virus et malware. C’est ce que nous appelons le spear.

L’humain, le facteur clé

Cette tendance d’exploitation du facteur humain s’accélère, et les pirates informatiques multiplient désormais les attaques générées par les clics des utilisateurs plutôt que par des logiciels d’exploitation vulnérables. Ce sont les victimes elles-mêmes qui déclenchent les attaques.

Si les entreprises ont pris conscience de la nécessité de mettre en place des outils pour protéger les SI, l’humain reste dans 66% des cas le facteur premier d’attaques informatiques. Il est donc urgent de développer une meilleure culture de la sécurité.

Puni par la loi

Si vous pensez être innocent face à une attaque de phishing, détrompez-vous. Depuis la fin de l’année 2017 un arrêt de la cour de cassation (cass. Du 28.3.18, n° 16-20 018) considère que fournir ses données bancaires à un pirate peut relever, aux yeux de la justice, de « négligence grave ».

Aujourd’hui la loi impose donc à un utilisateur de n’importe quel service de paiement de prendre « toute mesure raisonnable pour préserver la sécurité » de ses moyens de paiement.

Et il conviendra, au cas par cas et au vu des circonstances, de vérifier si cette absence de méfiance devant une campagne de phishing était bien conforme à cette obligation ou n’était pas, au contraire, « un manquement, par négligence grave, à ses obligations ».

Les banques ne peuvent donc généralement pas être tenues responsables de ces fraudes, et ne sont pas tenues de couvrir et rembourser les victimes, à moins que leurs conseils, retards ou autres erreurs aient entraîné un vol d’argent.

Les solutions

Ne vous laissez plus piéger, mettez en place quelques bonnes pratiques.

  • Vérifier la source du mail. Prenez le temps d’authentifier l’expéditeur du mail. Si vous avez un doute ne cliquez pas sur la pièce jointe.
  • Ne rien indiquer par e-mail. Aucun service gouvernemental, banque, organisme officiel ne demandera à ses clients de saisir ses identifiants, mots de passe et coordonnées bancaires dans un e-mail.
  • Mettez régulièrement à jour vos systèmes d’exploitation et vos anti-spams.
  • Sensibilisez et formez vos équipes aux dangers de ces campagnes malveillantes. Vous pouvez choisir de poursuivre cette sensibilisation à travers la mise en place de cours et de formations de sensibilisations à la sécurité des systèmes d’information, que nous pouvons vous proposer.