La plupart des experts en sécurité informatique s’accordent sur le fait que « l’homme » représente la plus grande vulnérabilité de tout système informatique quel qu’il soit. Les cybercriminels l’ont bien compris, le développement des attaques par phishing en sont un bon exemple.
Le phénomène est en plein essor. Selon les dernières études*, le volume d’attaques par phishing a augmenté de 6% entre 2011 et 2012 pour un montant de fraude estimé en 2012 à plus d’1,5 milliards de dollars US (soit 22% de plus qu’en 2011 !).
* Source : The year in Phishing RSA Fraud Report January 2013
Pourquoi ces attaques se développent-elles de manière si importante ?
Regards croisés de Sébastien Goutal (R&D Manager Vade) et Sylvain Accart (Ingénieur développement du filtre Vade) :
Le phishing évolue et devient difficile à détecter pour de nombreuses raisons :
1. La durée des attaques est très courte, les volumes d’emails envoyés sont très faibles, ce qui les rend difficiles à détecter.
2. Les phisheurs sont de plus en plus agiles, ils s’adaptent et envoient des emails de phishing disposant de beaucoup de variance, « le phishing devient polymorphe ».
3. Ils élaborent des attaques plus ciblées en exploitant les données disponibles sur les réseaux sociaux.
4. Ils sont difficiles à poursuivre car les sommes d’argent détournées, souvent dérisoires, sont faibles en regard du coût d'une procédure judiciaire. En outre, le fait que la plupart des attaques soient menées depuis l'étranger complique grandement la tâche d'un point de vue juridique.
5. Ils exploitent de nombreuses failles, des CMS en particulier, tels que Wordpress. Cela leur permet d'héberger leur kit de phishing, et également de s'emparer des bases de contacts du site web afin de mener de nouvelles attaques.
6. Enfin, ils arrivent à réserver – du fait de la négligence de certains registrars - des noms de domaines proches des cibles de campagnes de phishing.
Les phisheurs surfent sur l’actualité :
Tout peut être source à du phishing : obligation de disposer d’éthylotest dans une voiture, fausses relances d’impayés (contexte de la crise économique)…
Cependant la menace principale et la plus importante provient de l’omniprésence des réseaux sociaux dans notre vie actuelle. Nous constatons de plus en plus d’attaques via du spearphishing (attaque ultra-ciblée qui se base sur une bonne connaissance de l’interlocuteur visé).
Par exemple, les phisheurs envoient de faux messages de notifications de réseaux sociaux auprès d’utilisateurs, les incitant à se connecter sur des interfaces web piégées et ainsi prendre possession de leur compte, de leur identité et de leurs informations. Ils ont ainsi tout loisir à mener de nombreuses attaques plus vraies que nature…
Les phisheurs ont la voie libre !
Comme indiqué précédemment, les attaques de phishing concernent généralement de petites sommes d’argent. Le coup d’une procédure juridique est souvent supérieur à la somme dérobée. Il y a donc peu de plaignants. Les banques pourraient être plaignantes car elles remboursent dans la majorité des cas les clients victimes de phishing. Cependant le coût des procédures, le temps consommé rend la poursuite peu intéressante d’un point de vue purement économique.
Le fait que les attaques proviennent de pays étrangers complique également les procédures, car elles nécessitent une coopération plus ou moins difficile – voire impossible – à mettre en œuvre en fonction des pays concernés.
>Bref, un manque de coopération internationale, le coût des procédures laisse la voie libre aux phisheurs, qui en outre ont un fort sentiment d'impunité.
Chez Vade, nous luttons contre le phishing à l’aide de nombreux moyens :
Tout d’abord, La recherche et développement est primordiale dans ce domaine. Nous étudions, grâce à une cellule dédiée, les kits de phishing, les phisheurs…. Ceci nous permet d’avoir une connaissance très fine de l'écosystème lié au phishing.
Pour lutter contre les attaques, nous pensons que la technique de filtrage heuristique que nous employons est particulièrement bien adaptée car elle se base sur des caractéristiques qui sont récurrentes, alors que les systèmes de signature classiques peuvent être inopérants du fait de la faible volumétrie du phishing.
Nous disposons également des feedback loops de nos clients que nous analysons, ce qui constitue plus de 7 millions d'emails par jour.
Sur le sujet particulier des menaces provenant des messages non prioritaires (newsletters, publicité, notifications de réseaux sociaux), nous avons mis en place de nouveaux modules de filtrage spécifiques :
- Nous identifions les notifications légitimes de réseaux sociaux, ce qui nous permet par incidence de rejeter les notifications frauduleuses, qui peuvent mener à des injections de malware,
- Nous proposons également la désinscription sécurisée des newsletters et de la publicité, où le scénario de désinscription est joué par notre service plutôt que sur le poste client…
Enfin, nous disposons d’un module « user alerting » où nous invitons nos utilisateurs à vérifier l’expéditeur de messages qui nous paraissent suspects sans pour autant pouvoir les déclarer comme du phishing avéré.
Plus nous accompagnerons nos utilisateurs dans l’aide à la détection du phishing, mieux nous contrôlerons le phénomène.
