Le phishing est l’une des techniques d’attaques informatiques les plus utilisées, et pour cause elle s’avère très rentable pour les cybercriminels, sans toutefois nécessiter des connaissances techniques très complexes. En utilisant l’email comme canal de diffusion, le phishing cible de très nombreux utilisateurs dépourvus de solution anti phishing.
Et ces attaques sont très efficaces puisque bon nombre d’entre nous - dans le contexte privé ou professionnel - par manque de vigilance ou de patience, cliquons sur des liens contenus dans les emails sans prendre de précaution. Ainsi, selon une étude menée par Verizon, il ne faudrait pas plus de 80 secondes après le lancement d’une attaque de masse pour que les premiers clics sur le lien frauduleux n’interviennent. Et selon cette même étude, la moitié des victimes de phishing cliqueraient sur le lien frauduleux moins d’une heure après le lancement de l’attaque.
Alors que le nombre de victimes continue d’augmenter - un business aussi lucratif ne s’arrêtera évidemment pas de lui-même - il est grand temps d’organiser la résistance pour ne plus tomber dans le piège du phishing et d'opter pour des solutions anti phishing efficaces.
De nombreuses initiatives sont mises en place mais elles restent trop isolées et pas assez médiatisées. Cela ne suffit plus, c’est aujourd’hui à chacun de prendre ses responsabilités et d’agir.
Toutes les données numériques sont ciblées
Face à l’ampleur du phénomène, nous sommes tous des victimes potentielles d’attaques de phishing : les particuliers, les entreprises (grands groupes internationaux et PME), les gouvernements, ministères et autres institutions publiques, sans oublier les hébergeurs de sites web.
Si nous sommes tous de potentielles victimes, c’est parce que nous possédons tous des données qui peuvent avoir une valeur pour des cybercriminels. Ces derniers vont en effet utiliser le phishing pour récolter des coordonnées bancaires ou toutes données pouvant être vendues sur le dark web (sur lequel numéros de sécurité sociale, identifiants et mots de passe se monnaient très bien) ou pour diffuser des malwares bancaires (ex : Dridex, Shifu) leur permettant de détourner de très importantes sommes d’argent (via un email de phishing invitant à ouvrir une pièce jointe). A une plus grande échelle, les cybercriminels ciblent également la propriété intellectuelle des entreprises (secrets industriels, etc.) puisque des données de ce type peuvent susciter un intérêt pour des concurrents ou des Etats.
Des dégâts considérables pour les entreprises
Le principe du phishing étant de créer un faux email et d’y inclure un lien frauduleux sur lequel la victime doit cliquer, le plus efficace pour les hackers est d’utiliser une marque ou une entité connue et inspirant confiance pour mieux berner la victime ne disposant pas d'anti phishing, ou bien d’usurper le nom d’une banque ou d’un organisme public et de jouer sur le sentiment d’urgence à répondre. Exemple : annuler une procédure de radiation, annuler une commande très importante réalisée par erreur, etc. Rien d’étonnant à ce que l’image de grandes marques comme Apple, Google, Microsoft, de fournisseurs d’accès internet bien connus, de grandes banques et assureurs ou encore le Trésor Public et la sécurité sociale, soit particulièrement utilisée par les cybercriminels pour mener des attaques de phishing.
Pour ces marques, le phishing est un problème majeur car au delà de l’impact financier, elles payent également un lourd tribu en matière de e-réputation, pouvant entrainer de grandes conséquences sur leur relation client sur le long terme.
Les hébergeurs de sites web subissent également ce type de dommages sur leur réputation car leurs services sont utilisés - à leur insu - pour héberger des sites de phishing. Héberger une page de phishing se fait aujourd’hui très simplement avec pour seul outil : une carte de crédit (préalablement volée). Précision toutefois, que les pirates sont aussi des « squatteurs » du web, en se jouant des failles de sécurité pour héberger leurs sites discrètement dans des sous dossiers de sites légitimes, à l’insu de leur propriétaire.
La résistance s’organise
La loi tend à mieux protéger les particuliers, en imposant par exemple aux banques d’indemniser leurs clients victimes de phishing à hauteur de leur préjudice. Mais au-delà de l’argent, ce sont finalement toutes les données numériques d’un individu ou d’une entreprise qui sont potentiellement exposées.
D’un point de vue technique, les solutions de protection anti phishing gagnent en efficacité. C’est le cas notamment des antivirus qui incluent des protections contre le phishing (en intégrant une liste d’URLs dangereuses) mais manquent de réactivité. Et cette protection est encore plus poussée avec les nouvelles technologies de filtrage heuristique qui fonctionnent sur un principe d’analyse du comportement de chaque email (sur la base de plusieurs milliers de règles) et qui permettent de détecter des emails de phishing en temps réel*.
La meilleure arme contre le phishing : l’humain
Il y a quelques mois, le PMU testait la réaction de ses collaborateurs face au phishing, en leur envoyant un faux email leur proposant de gagner un iPad. Ce test grandeur nature est intervenu quelques jours après l’attaque de TV5 Monde, et alors même que la société venait de procéder à plusieurs campagnes de sensibilisation sur le phishing. 22% des employés ont ouverts la pièce jointe diffusant ainsi un virus au sein de l’entreprise et 6% (soit environ 120 personnes) ont donné leurs coordonnées personnelles. Ces chiffres démontrent clairement le manque de vigilance et de patience des utilisateurs face à des attaques de phishing, mais aussi le niveau de préparation de celles-ci.
Au-delà des aspects techniques, le vrai point de défaillance reste encore le facteur humain. Les formations anti phishing se multiplient mais elles sont encore trop isolées et l’exemple du PMU montre bien que cela ne suffit pas à impliquer les utilisateurs dans la politique de sécurité de leur entreprise ni dans la protection de leurs données personnelles.
Une réaction forte incombe à toutes les victimes. Les particuliers doivent prendre conscience de leur responsabilité et les entreprises (et les institutions françaises) se doivent de mieux informer afin que chacun puisse enfin agir personnellement dans la lutte contre le phishing. Car si les victimes de phishing sont certes des victimes, elles deviennent aussi en partie responsables en commettant l’erreur de cliquer sur un lien frauduleux, exposant ainsi leur vie numérique ou leur entreprise à des dégâts potentiellement considérables.
Des mesures conjointes pour une meilleure efficacité
- L’organisation de réunions d’information régulières sur le sujet de la sécurité au sein des entreprises.
- Des formations sur le phishing pour les employés illustrées de cas concrets voire des tests réels. Quelques exemples de recommandations : éviter de donner trop d’informations personnelles sur les réseaux sociaux, sur sa personne ou l’entreprise. Par exemple, la mise en ligne d’un organigramme de l’entreprise est une aubaine pour les hackers puisque cela permet de cibler les bonnes personnes, les utilisateurs à privilèges, le Président, le Directeur financier, etc. Cette technique d’ingénierie sociale étant de plus en plus utilisée par les hackers.
- Inciter à l’utilisation d’outils de détection de liens frauduleux gratuits tels que isitphishing.org, signal-spam.fr, apwg.org ou encore phishtank.com. Ces sites anti phishing sont des initiatives gratuites d’éditeurs qui conservent une base de données de liens frauduleux et permettent de savoir simplement en copiant/collant un lien, si celui-ci est du phishing ou s’il est licite. Certains regroupent des centaines d’informations sur les marques dont l’image est utilisée pour des phishing, et propose d’informer ces marques en temps réel, voire même de bloquer instantanément les sites de phishing. Ceci est une des grandes nouveautés techniques qui peuvent grandement améliorer la lutte anti-phishing.
- Multiplier les initiatives ludiques à destination du grand public, telle que la Hack Academy réalisée par le CIGREF ; cette parodie de téléréalité informant sur les techniques utilisées par les hackers et les bonnes pratiques simples à mettre en œuvre.
- Et les initiatives publiques telles que le partenariat que vient de lancer la Police Judiciaire avec l’association privée Phishing Initiative et qui permet aux particuliers de remonter à la Police les arnaques pour une action de blocage plus rapide.
- Pour les entreprises et grandes marques : accepter de partager des informations sur les attaques, afin d’alerter plus rapidement les clients et les organismes de lutte contre le phishing.
Cette menace du phishing est bien réelle et concerne absolument tout le monde. Chacun doit prendre ses responsabilités. Pour conclure, rappelons quelques règles de base pour éviter de tomber dans le piège :
- N'ouvrir les pièces jointes suspectes (fichiers .zip, .xls ou .doc) que si l'expéditeur est confirmé.
- Supprimer le message d'un expéditeur suspect inconnu sans y répondre.
- Refuser de confirmer l'accusé de réception dans le cas d'un expéditeur inconnu suspect. Cela risquerait de valider et diffuser l’adresse email de l’utilisateur à son insu.
- Remonter les emails identifiés comme spam auprès de son service informatique. Ils seront ensuite transmis à l'entreprise chargée de la protection des messageries pour une prise en compte dans la technologie de filtrage. Et en cas de doute, contacter son service informatique.
- Vérifiez les URL des pages web : certains phishing peuvent être détectés par des fautes de saisie. Et vérifier si la connexion est sécurisée, ce qui est visible par l’apparition d’un cadenas vert ou par le “s” de https:// dans l’URL.
- Prendre son temps et ne pas se laisser intimider ou influencer par l’expéditeur, aussi légitime et sérieux qu’il puisse paraître.
* Cette technique heuristique s’oppose au filtrage par signature qui nécessite une base de connaissance et donc un volume d’emails minimum pour être capable de détecter un email frauduleux, ce qui laisse donc le temps à de nombreux phishing de passer à travers les mailles du filet.
