Dans cet article nous vous proposons de comprendre ce qu’est le phishing, en quoi ces attaquent concernent chacun d’entre nous, quels en sont les conséquences pour les entreprises et comment les détecter.
Repérer le phishing
Il est temps de sensibiliser sérieusement les utilisateurs aux dangers et à la détection du phishing, avant qu’ils ne fassent une nouvelle victime, votre entreprise… A moins que ce ne soit déjà le cas, comme 76 % des organisations !
Les images qui accompagnent cet article sont de vrais emails de phishing.
Personne n’est à l’abri du phishing. C’est une réelle menace qui ne cesse de prendre de l’ampleur et de se sophistiquer. Les attaques de phishing, ce sont ces emails corrompus qui se cachent sous de fausses identités pour tromper l’internaute et l’inviter à cliquer sur un lien frauduleux afin de lui dérober des informations personnelles ou professionnelles.
On a constaté en 2017 une progression des attaques de phishing de +65 % par rapport à l’année précédente (1). Ces menaces sont d’autant plus sérieuses que plus de 80 % des utilisateurs ne détectent pas un email malveillant. Pire encore, lorsqu’il s’agit d’une attaque sophistiquée de spear phishing (de type arnaque au président), qui cible des personnes en particulier avec une approche d’ingénierie sociale, le taux de tromperie des individus atteindrait 97 % (2) !
Pourquoi faut-il craindre le phishing ?
Les attaques par phishing ne sont pas directes, elles reposent sur une usurpation d’identité et la crédulité des internautes à qui l’on demande d’ouvrir la porte en cliquant sur des liens malicieux... De plus, la menace s’exerce dans un environnement où l’internaute est certainement le plus fragile, « entre la chaise et le bureau », sur sa messagerie qu’il croit défendue par son informatique, son antivirus et le pare-feu. C’est ainsi que les pirates vont exploiter des techniques de camouflage, principalement d’usurpation de marque, pour paraître anodins ou sérieux et tromper notre attention.
Résultat, toutes les sécurités ne servent à rien si l’utilisateur n’est pas vigilant et clique sur le lien...Et n’allez pas croire que cela n’arrive qu’aux autres… 76 % des entreprises ont été victimes d’une attaque pas par phishing en 2017 (3).
Mais le pire reste à venir : 30 % des messages de phishing seraient ouverts par les destinataires, et 12 % d’entre eux cliqueraient sur des liens frauduleux (4).
C’est ainsi que le collaborateur ouvre une brèche béante dans la sécurité de l’entreprise, en ouvrant un message dont il aurait pu repérer la menace, et en cédant à la tentation en cliquant sur un lien douteux. Un scénario d’une grande simplicité qui dans sa version la plus sophistiquée (spear phishing) est à l’origine de 95 % des attaques sur les réseaux de l’entreprise (5).
Sensibiliser l’entreprise et ses collaborateurs
Faut-il sensibiliser l’entreprise aux menaces que le phishing fait peser sur elle ? Ses dirigeants auraient tendance à pointer leurs employés, mais ils sont comme eux, ils reçoivent des messages et sont également susceptibles de céder à la tentation d’ouvrir et de suivre les liens. Répétons-le, personne n’est à l’abri du phishing !
Mais les dirigeants doivent faire face à une autre crainte, celle de l’impact du piratage. Pour les entreprises moyennes américaines, équivalentes de nos ETI, qui n’ont pas mis en place de protection adaptée, le coût est estimé en moyenne à 1,6 million de dollars par attaque (1). Ajoutons à cela un effet désastreux pour les affaires lorsque le vol de données est rendu public, ce que le RGPD (Règlement européen pour la protection des données personnelles) nous impose aujourd’hui. Suite à cette révélation, 60 % des clients pensent à quitter leur fournisseur, et 30 % le font (6) !
La sensibilisation des utilisateurs est également indispensable, mais c’est un travail de longue haleine, voire permanent. En effet notre attention peine à se focaliser sur les risques qu’il y a à cliquer sur un lien, surtout dans un environnement de travail réputé sécurisé ; et parallèlement, l’imagination des pirates est sans limite. Ils utilisent des techniques toujours plus sophistiquées pour chercher en permanence à contourner les protections et à nous tromper.
10 conseils pour détecter le phishing
La majorité des emails au contenu frauduleux sont détectés et écartés par votre opérateur et votre informatique, sous réserve que votre entreprise soit équipée d’outils de protection adaptés. Cependant, nous assistons à une course permanente durant laquelle les pirates tentent d’avoir une longueur d’avance afin de tromper les systèmes de défenses avec des attaques nouvelles.
Par exemple les pirates changent en permanence l’adresse de l’expéditeur et le contenu du message pour ne pas éveiller l’attention, et ce jusqu’à ce qu’ils soient repérés. Ils passent alors à autre chose. Autre techniques, ils font des envois de faibles volumes afin de passer inaperçus et de ne pas être détecté par les solutions de protection classiques.
L’attention de l’utilisateur de la messagerie est donc plus que jamais requise. D’autant que l’ingénierie sociale, en particulier dans le spear phishing qui est le plus sophistiqué, permet la personnalisation des messages et donc de tromper plus facilement l’utilisateur. Voici donc 10 conseils d’expert pour repérer les emails douteux :
1 - Soyez toujours vigilant sur tout email
2 - Regardez qui est l’expéditeur, et si on adresse correspond bien à son nom
3 - Méfiez-vous si vous recevez un email de quelqu’un que vous ne connaissez pas
4 – Affichez l’adresse des liens sans cliquer dessus, attention aux adresses commençant par ‘http’, la norme est aujourd’hui au ‘https’
5 - Ecartez les emails trop laconiques provenant d’inconnus et les emails en langue étrangère
6 – Méfiez-vous des emails réclamant une action urgente sous peine de suppression d’un compte par exemple, c’est souvent une astuce utilisée par les pirates
7 – Méfiez-vous des liens contenus dans des pièces jointes
8 - Ne jamais cliquer sur un lien d’un fournisseur ou d’un provider dont on n’est pas client
9 - Un provider ne demandera jamais de retaper le mot de passe
10 - S’il y a le moindre doute, toujours en référer à son administrateur système
S’il ne fallait adopter qu’un seul maitre mot, retenez celui-ci : vigilance
1 – « Enterprise Phishing Resiliency and Defense Report - 2017 » de PhishMe
2 – « Phishing Surveil » par Intel Security
http://securityaffairs.co/wordpress/36922/cyber-crime/study-phishing-emails-response.html
3 – « State of Phishing » de Wombat Security
https://www.wombatsecurity.com/state-of-the-phish
4 – « Data Breach Investigations Report » de Verizon
https://www.verizonenterprise.com/verizon-insights-lab/dbir/
5 – SANS Institute
6 – Chiffres dévoilés aux « Cyber Security Awards » de Londres par Aviva
