Are you my secret admirer? Des millions d’internautes se sont vus poser cette question il y a 20 ans, lorsque le virus I love you déferlait sur le monde. Aussi connue sous le nom de « Love Letter for you » et « The Love Bug », cette attaque basée sur l’ingénierie sociale a infecté environ 50 millions d’ordinateurs aux quatre coins du globe en 10 jours seulement et causé des milliards de dégâts.
Cet email, accompagné d’une prétendue lettre d’amour en pièce jointe, ciblait spécifiquement les utilisateurs de Windows. Le virus utilisait des scripts Visual Basic dans Outlook comme point d’entrée dans le compte de messagerie, puis envoyait des emails de phishing à toute la liste de contacts de sa victime. Ce message disait, en anglais « Merci de lire ma LETTRE D’AMOUR ».
Les victimes de cette attaque ne tardaient pas à découvrir l’objectif réel de l’email... et autant dire qu’il n’avait rien à voir avec l’amour. La réparation des dégâts causés par l’attaque, élimination de l’infection et récupération des fichiers supprimés incluses, a coûté au total près de 10 milliards de dollars.
La gravité de ce scam était telle que le Pentagone et la CIA ont brièvement désactivé leurs systèmes de messagerie. Le 5 mai 2000, le virus a fait la une de tous les journaux et placé les menaces de sécurité sous le feu des projecteurs. Entreprises et grand public ont ainsi pris conscience de la dure réalité des cybermenaces.
I love you était un virus relativement sophistiqué. Ce ver informatique se propageait rapidement en se répliquant. La clé de son succès reposait également sur sa capacité à se jouer des émotions de ses victimes en poussant les personnes à la recherche du grand amour à cliquer sur une pièce jointe malveillante.
I love you constitue l’une des premières menaces basées sur l’ingénierie sociale. Il a été précédé du virus Melissa, et rapidement suivi du ver Conficker. Malheureusement, nous sommes toujours confrontés à ce type d’attaque près de 20 ans plus tard ! Les attaques basées sur l’ingénierie sociale sont souvent utilisées par les hackers pour créer le chaos. Elles prennent aujourd’hui notamment la forme de malwares, d’attaques de phishing et de ransomwares sophistiqués. Pour la Saint-Valentin, penchons-nous sur l’évolution des attaques de phishing, les grandes tendances des deux dernières décennies et les solutions permettant aux utilisateurs de ne pas devenir des victimes.
Technique de phishing n° 1 : l’usurpation
La première utilisation connue du terme « phishing » remonte à 1996 et provient d’un groupe de discussion Usenet. Peu de personnes comprenaient alors ce qu’il signifiait, mais ce terme allait pourtant devenir la base de plusieurs décennies d’arnaques. Les attaques de phishing ont tout d’abord visé les utilisateurs d’AOL et prenaient la forme de messages semblant provenir du personnel du fournisseur. Leur objectif ? Dérober les identifiants.
Cette technique est devenue de plus en plus élaborée : les hackers ont imaginé des objets toujours plus crédibles et ont commencé à se faire passer pour des proches des utilisateurs. Plus tard, elle s’est transformée en détournement de conversations, qui vise à faire croire aux utilisateurs qu’ils discutent avec une personne de confiance. Aujourd’hui, la forme d’usurpation la plus fréquente est le spear phishing, qui consiste pour les hackers à étudier leurs cibles pour faire croire qu’ils les connaissent.
Technique de phishing n° 2 : le Business Email Compromise (BEC)
Le BEC est une technique d’usurpation plus ciblée, qui repose principalement sur l’ingénierie sociale et génère un sentiment d’urgence qui pousse la victime à cliquer sur un email. Cette attaque consiste pour le hacker à se faire passer pour un cadre supérieur afin de manipuler un employé ou une autre malheureuse victime afin qu’il ou elle lui communique des informations sensibles. Ces attaques sont si fréquentes que le FBI estime qu’elles ont généré plus de 26 milliards de dollars de pertes entre 2016 et 2019.
Technique de phishing n° 3 : le ransomware
Les ransomwares font encore couler beaucoup d’encre de nos jours, alors qu’ils sont présents dans le monde du hacking depuis septembre 2013, date de naissance de CryptoLocker. Ce malware, distribué sur plus de 250 000 ordinateurs, verrouille les fichiers et exige le versement d’une rançon contre la clé de déchiffrement. Les ransomwares étaient le plus souvent envoyés aux utilisateurs par le biais d’un email. Les modes étant cycliques, ils font leur grand retour, et les hackers reviennent à des stratégies plus anciennes et basiques.
Technique de phishing n° 4 : le phishing as a Service (PHaaS)
Comme si cela ne suffisait pas, une nouvelle stratégie de phishing a émergé des recoins les plus sombres du Web au cours des deux dernières années. En 2018, des chercheurs ont en effet découvert que des hackers vendaient sur le Dark Web des modèles de phishing permettant à leurs collègues les moins hardis de lancer leurs propres attaques. Non seulement ces modèles sont conçus pour imiter à la perfection les marques ciblées, mais les techniques marketing utilisées pour les vendre sont elles aussi très élaborées. Il existe même des bons de réduction permettant aux hackers de faire de bonnes affaires !
Technique de phishing n° 5 : les attaques thématiques
Quelques internautes vont certainement recevoir des emails de phishing liés à la Saint-Valentin dans les semaines à venir, mais le thème du moment reste la pandémie de COVID-19. De nombreux emails promettent en effet de vous tenir informés des dernières évolutions de la maladie et de la distribution des vaccins. Qu’il s’agisse de messages prétendument envoyés par de grandes organisations de la santé ou de nouvelles procédures censément transmises par votre employeur, ils sèment la terreur, l’incertitude et le doute.
Plus que tout, ces techniques de phishing ne constituent que la partie émergée de l’iceberg, car les technologies continuent d’évoluer et les attaques deviennent de plus en plus sophistiquées. Toutefois, elles restent à la base des futures idées imaginées par les hackers. Pour vous protéger contre les scams les plus élaborés, nous recommandons aux entreprises de suivre ces 5 conseils :
- Investir dans une formation de sensibilisation au phishing pour apprendre aux employés comment détecter un email de phishing.
- S’assurer que tous les systèmes disposent des correctifs de sécurité les plus récents.
- Passer le curseur sur les liens suspects pour s’assurer de leur authenticité.
- Installer une solution antivirus et/ou une barre anti-phishing et vérifier son statut régulièrement.
- Ne jamais fournir d’informations personnelles sur Internet, sauf nécessité réelle.
Pour en savoir plus sur les tendances du phishing de l’année passée, téléchargez notre rapport Classement Phishers' Favorites : bilan de l’année 2020.
