Comme à chaque fin d’année, nous vous faisons part de nos prédictions sur les principales menaces véhiculées par les emails pour l’année à venir. Les experts de Vade vont ainsi présenter dans cet article les menaces à la sécurité de l'email à prendre au sérieux pour les entreprises en 2021.
1. Le détournement de conversations va monter en puissance
Technique mise en lumière lors de la vague d’attaques par le malware Emotet qui a démarré en juillet 2020, le détournement de conversations constitue une menace sérieuse pour la sécurité de l’email. Sébastien Goutal, Chief Science Officer chez Vade, estime qu’il va devenir plus fréquent. Il nous explique son fonctionnement :
« Cette technique consiste à utiliser les conversations par email des victimes pour en infecter de nouvelles. » Des outils comme Outlook Scraper permettent aux pirates derrière Emotet d’accéder aux conversations enregistrées sur les ordinateurs infectés. « Ensuite, les hackers s’insèrent dans les conversations et demandent à leurs interlocuteurs de cliquer sur un lien malveillant ou d’ouvrir un document Word vérolé. »
Pour Sébastien Goutal, le succès remarquable de cette technique tient à deux raisons : tout d’abord, l’email malveillant est envoyé par un expéditeur de confiance (un utilisateur dont la boîte aux lettres est infectée). Ensuite, le contexte de l’attaque, à savoir une discussion existante, incite la future victime à baisser sa garde.
Sébastien Goutal explique par ailleurs que d’autres techniques sophistiquées utilisées dans les campagnes Emotet seront certainement de plus en plus populaires, notamment celles qui permettent de tromper les moteurs antivirus, comme l’obfuscation du code des macros VBA dans les documents Word.
2. Les menaces s’appuyant sur des images distantes mettront les filtres de messagerie à rude épreuve
Au vu de l’efficacité des techniques de manipulation des images pour tromper les filtres de messagerie, les hackers ont désormais recours à des images distantes afin de stocker du contenu textuel malveillant. Damien Riquet, Research Engineer chez Vade, explique ainsi qu’à la différence des images intégrées dans les emails, les images distantes doivent être récupérées sur un réseau. Cette particularité rend leur détection complexe et chronophage : elle ne peut pas être réalisée en temps réel. Voici quelques-unes des techniques des hackers pour tromper les filtres de messagerie à l’aide d’images distantes :
- Utilisation d’URL uniques pour neutraliser l’intérêt des listes noires
- Utilisation de nombreuses redirections pour ralentir la récupération de l’image
- Utilisation de techniques de camouflage pour rendre la récupération de l’image inefficace
- Hébergement des images distantes malveillantes finales sur un domaine très connu (wikipedia.com, github.com, etc.) pour qu’il soit impossible de placer ce domaine en liste noire
- Limitation du texte dans l’image pour rendre la reconnaissance optique des caractères et le traitement du langage naturel moins efficaces
D’après Damien Riquet, la Computer Vision permet certes d’analyser et d’extraire le contenu pertinent des images, mais cette technique est coûteuse, mobilise d’importantes ressources processeur et n’est que peu répandue dans les filtres de messagerie du marché. Pour toutes ces raisons, il estime que les hackers vont davantage recourir aux images distantes en 2021.
3. Les comptes compromis offriront de nouvelles opportunités
Les comptes compromis sont au cœur des techniques de détournement des conversations utilisées cette année lors des attaques d’Emotet. Cependant, ils sont aussi utilisés de manière toujours plus ingénieuse, notamment lors de vagues massives de spams.
En novembre, Vade a ainsi détecté une vague de spams malveillants provenant de comptes compromis. D’après Adrien Gendre, Chief Product and Services Officer pour Vade, la technique consiste à utiliser un compte compromis pour copier le spam directement sur le serveur IMAP.
« Le spammer se connecte au compte via IMAP à l’aide des identifiants compromis et y dépose l’email de spam. » En une seule journée, Vade a ainsi détecté plus de 300 000 spams remis de cette façon. « Cette technique permet aux hackers de contourner totalement les filtres de messagerie. Sans fonction de remédiation post-réception, elle est très difficile à neutraliser. Il est évident au vu du taux de réussite de ces attaques que leur utilisation et les tentatives pour les neutraliser vont se poursuivre en 2021. »
Par ailleurs, même si cette méthode cible majoritairement le grand public, Adrien Gendre pense qu’elle finira par toucher les professionnels. « Microsoft 365, c’est environ 200 millions d’utilisateurs professionnels », explique-t-il. « Et l’adoption de cette plateforme ne semble pas ralentir. Je suis certain que des hackers exploiteront l’API de Microsoft pour contourner la sécurité à l’aide de cette nouvelle méthode. »
Les entreprises qui s’appuient sur une sécurité périmétrique pour Microsoft 365, notamment sur des passerelles, ne pourront pas bloquer ces attaques. « Le recours à une solution entièrement intégrée via une API devient indispensable. En effet, une solution de sécurité de l’email intégrée à la plateforme Microsoft est en mesure d’éliminer les emails malveillants, même une fois qu’ils ont atteint les boîtes de réception des utilisateurs. Les passerelles et autres outils de sécurité périmétriques n’en sont pas capables. »
4. Internationalisation des attaques Business Email Compromise
La multiplication des attaques Business Email Compromise (BEC) et la complexité de leur détection ont entraîné des avancés en matière d’analyses des contenus par l’intelligence artificielle. Toutefois, la plupart des algorithmes rencontrent des difficultés pour détecter ces attaques dans des langues étrangères.
« Au départ, les attaques BEC étaient majoritairement en anglais et en français », explique Sébastien Goutal. « Désormais, on en voit en italien, espagnol, allemand, slovène… C’est un vrai problème, car de nombreux éditeurs de solutions de sécurité sont basés aux États-Unis et ne s’intéressent donc qu’à l’anglais. »
D’après lui, la plupart des algorithmes sont avant tout adaptés à l’anglais. « Les éditeurs de solutions doivent prendre à bras le corps le problème des attaques BEC en d’autres langues. Malheureusement, ils devront pour cela modifier de manière significative leur moteur de détection. Cette démarche prend du temps et mobilise de nombreuses ressources. Les hackers vont profiter de ce flottement pour multiplier les attaques BEC en d’autres langues. Je pense donc que nous allons voir toujours plus d’emails BEC écrits dans la langue de leur destinataire d’ici à ce que les éditeurs se mettent à niveau. »
Pour Sébastien Goutal, les types d’attaques BEC seraient également toujours plus nombreux. Alors qu’il s’agissait jusque là majoritairement de fraude au président, de scams aux cartes cadeaux et de récupérations de formulaires W2, nous observons désormais des fraudes à l’avocat, aux salaires et aux coordonnées bancaires.
De plus, les attaques BEC ciblées laisseront la place à des campagnes plus étendues. Précédemment, elles ciblaient des employés bien précis de certains services, notamment la comptabilité et les ressources humaines. « Ce n’est plus tout à fait vrai aujourd’hui », affirme Sébastien Goutal. « Désormais, un même email peut être envoyé à 20 ou 30 employés en l’espace de 5 minutes. Cette particularité devrait devenir de plus en plus fréquente l’an prochain. »
Enfin, alors que la plupart des emails BEC essaient de susciter un sentiment d’urgence pour attirer l’attention de leur victime, les messages vont devenir plus subtils. C’est en tout cas ce que pense Romain Basset, Head of Channel Sales de Vade.
« Les demandes subtiles montent en puissance », explique-t-il. « Des demandes bien formulées, par exemple liées à des actualités d’entreprise envoyées par les RH ou des messages sur des promotions ou voyages d’affaires, paraissent plus crédibles et suscitent moins la méfiance. L’objectif de ces demandes est de lancer une conversation et de tromper le filtre de messagerie. Une fois une conversation lancée, de nombreux filtres ajoutent l’email en liste blanche, ce qui permet à tous les futurs emails BEC du hacker de passer inaperçus. »
5. Usurpation de l’identité de fournisseurs pour tirer profit de la confiance dans les services dans le cloud
Les utilisateurs sont habitués à recevoir des emails avec des pièces jointes Word, PowerPoint et Excel, ou des liens vers des documents Microsoft 365 partagés. Ils font totalement confiance à Microsoft et aux autres services dans le cloud qu’ils utilisent au quotidien. Même si un email semble suspect, sa pièce jointe suscite toujours la curiosité. L’utilisateur est ainsi extrêmement vulnérable à toute tentative d’usurpation de l’identité d’un fournisseur, opération qui consiste pour un hacker à se faire passer pour un partenaire de l’entreprise.
« L’exploitation de la confiance des utilisateurs envers les services Microsoft, notamment dans le cadre d’attaques de phishing, permet de répérer les partenaires commerciaux dont l’identité peut être usurpée lors de tentatives de spear phishing », explique E.J. Whaley, Channel Sales Engineer chez Vade. « Ce n’est plus votre PDG dont le hacker va usurper l’identité, mais le service comptable de l’un de vos fournisseurs. Je pense que cette tendance va continuer à se développer. »
6. Les hackers et les entreprises vont miser sur l’humain
Lassitude envers la pandémie. Incendies. Élections. Climat social tendu… L’anxiété et l’angoisse générées par les événements internationaux ne sont pas sans conséquence pour les citoyens du monde entier. D’après Damien Riquet, les hackers n’ont pas hésité à exploiter cette situation en 2020 et continueront à le faire l’année suivante.
« Nous pensons qu’en 2021, les cyberattaques cherchant à jouer sur la fragilité des utilisateurs en lien avec différentes thématiques vont se multiplier. » La COVID-19 a inspiré de nombreuses attaques par email basées sur des événements en cours en 2020. La pandémie se poursuivant en 2021, nous estimons que cette tendance va continuer.
« Les attaques à la sécurité de l’email basées sur des événements réussissent, car des millions de personnes dans le monde vivent la même situation, qu’elle soit positive ou négative », explique Adrien Gendre. « Elles sont désormais si courantes que nous avons mis au point une fonction permettant à nos clients de faire une recherche dans les journaux des emails pour localiser les menaces basées sur des événements en cours, comme le Black Friday ou la pandémie de COVID-19. Lorsqu’ils savent qu’ils sont ciblés et comment ils le sont, ils peuvent en informer leurs propres clients ou leurs employés pour renforcer leur vigilance. Ce type d’avertissement est bien rare en matière d’emails malveillants. »
Les hackers ne sont pas les seuls à percevoir l’importance du comportement humain en matière de cybersécurité. Bien souvent, les utilisateurs sont considérés comme le maillon faible de la sécurité de l’email. Pour autant, lorsqu’un filtre de messagerie ne parvient pas à bloquer une attaque, ces utilisateurs constituent la dernière ligne de défense. C’est pour cette raison, explique Romain Basset, que les éditeurs de solutions se tourneront de plus en plus vers une cybersécurité axée sur l’humain en 2021.
« Éditeurs et entreprises semblent avoir enfin compris que la cybersécurité n’est pas qu’une question de technologie », explique-t-il. « Les utilisateurs finaux, même s’ils sont les cibles des hackers, doivent devenir des alliés. » L’intérêt accru pour la sensibilisation à la cybersécurité et la hausse des investissements dans ce domaine constituent un bon début, mais pour améliorer la détection et la neutralisation des menaces, des solutions permettant aux utilisateurs d’influer sur la technologie, notamment par le biais de boucles de rétroaction et d’une formation automatique, sont nécessaires.
