La réécriture d’URL n’est plus inévitable en cybersécurité

La réécriture d’URL est un concept omniprésent dans le monde de la sécurité de l'email. Le fonctionnement sous-jacent peut varier d’un fournisseur à l’autre, mais l’idée reste toujours la même. Lorsque les utilisateurs interagissent avec des URL dans leur boîte de réception, la réécriture d’URL permet de déterminer si la destination des URL en question est sûre ou non. Cependant, la sécurité de l'email délaissant les passerelles de messagerie sécurisées au profit d’une approche basée sur des API, la réécriture d’URL est-elle encore pertinente ?

Cette technique a connu son heure de gloire après un changement de stratégie des hackers. En effet, les URL sont depuis longtemps un élément clé des attaques par email, qu’il s’agisse de malwares ou d’attaques visant à dérober des identifiants. À mesure qu’elles se sont intéressées à la sécurité, les organisations se sont de plus en plus appuyées sur leurs fournisseurs de solutions de sécurité de l'email pour neutraliser ces attaques.

La vérification des URL par le biais d’une analyse antivirus, de listes d’adresses bloquées et d’autres référentiels d’informations statiques sur les menaces est devenue une stratégie de protection classique. Malheureusement, cette stratégie présentait un sérieux point faible : les informations sur les menaces utilisées étaient statiques. Ainsi, les attaquants pouvaient changer les URL incluses dans leurs attaques ou les renouveler en permanence, car ils savaient que les précédentes seraient probablement détectées.

La montée en puissance de la réécriture d’URL

Le monde de la sécurité informatique a dû réfléchir à un moyen de faire face à ce problème et a fini par adopter une stratégie dans laquelle la réécriture d’URL joue un rôle central. L’idée consiste à modifier la destination d’une URL pour la vérifier une nouvelle fois. Plutôt que d’amener l’utilisateur directement à la destination de l’URL, celle-ci est ainsi modifiée de sorte à rediriger l’utilisateur vers une page intermédiaire.

Pendant que le navigateur de l’utilisateur se trouve sur cette page, le service vérifie si l’URL de destination figure désormais sur les listes d’informations statiques sur les menaces. Cela signifie que même si le service continue de s’appuyer sur des informations statiques, il peut vérifier la destination à deux reprises, : au moment de la remise et au moment du clic.

Au fil du temps, diverses avancées ont rendu la réécriture d’URL encore plus utile. Par exemple, les services ne se contentent désormais plus de vérifier s’il existe une nouvelle correspondance parmi les informations sur les menaces disponibles : ils peuvent aussi vérifier la destination en temps réel, extraire la destination d’URL raccourcies, explorer les pages pour repérer les sites Web et pages de connexion frauduleuses, suivre les redirections et réaliser divers autres contrôles dynamiques.

Ces progrès ont joué un rôle clé dans le succès de la lutte contre la rotation et l’utilisation constante de nouvelles destinations, mais également contre une tactique plus récente qui consiste à exploiter des outils de raccourcissement et des redirections. Enfin, si tous les autres garde-fous échouent et qu’un utilisateur finit tout de même par interagir avec un contenu malveillant, la plupart des services de réécriture d’URL indiquent si des URL spécifiques sont concernées ou non.

Problèmes fréquents et limites

La réécriture d’URL a sans conteste fait d’importants progrès depuis son avènement, mais cette approche reste imparfaite. En effet, malgré les récentes avancées du Computer Vision, la plupart de ces services restent majoritairement liés à des bases d’informations statiques. Si un utilisateur interagit avec une URL malveillante immédiatement après la remise de l’email, il est possible que cette URL n’ait pas encore été ajoutée à un référentiel de menaces.

Par ailleurs, certains services de réécriture ont tendance à rendre les liens non fonctionnels, que ce soit dès le départ ou au fil du temps. Ce problème est très gênant pour les utilisateurs qui essaient d’accéder aux contenus, mais aussi pour les services d’assistance qui doivent gérer les réclamations de ces utilisateurs.

Il convient également de mentionner l’avènement d’une autre technologie : les plateformes de formation et de sensibilisation qui simulent des emails de phishing. Grâce à ces outils, les utilisateurs sont souvent entraînés à survoler les liens de leurs emails à l’aide du curseur pour vérifier s’ils en reconnaissent la destination. La réécriture d’URL impose de remplacer l’URL d’origine par une URL obscure. L’utilisation du curseur présente alors un intérêt nettement amoindri.

Il existe une meilleure solution

La réécriture d’URL n’est pas sans intérêt. Le service Time-of-Click (ToC) de Vade reste d’ailleurs accessible à ses clients. Ce service repose sur une analyse comportementale en temps réel basée sur l’apprentissage automatique. Il dissèque jusqu’à 47 caractéristiques des URL et pages Web avec une précision de haut niveau, sans aucune latence perceptible par les utilisateurs finaux. Toutefois, nous nous orientons désormais vers la défense proactive et investissons massivement dans l’IA pour nous assurer que les utilisateurs n’interagissent jamais avec une URL malveillante, même si l’email la contenant parvenait à atterrir dans leur boîte de réception.

Le filtre de contenu de Vade protège un milliard de boîtes mail et passe au crible plus de 12 milliards d’emails chaque jour. Grâce à cette protection, nous bénéficions d’une analyse en temps réel des métadonnées des emails, notamment des pages Web des URL. Ces informations recueillies à l’échelle du monde entier nous permettent d’entraîner nos modèles d’IA et de les affûter pour qu’ils soient prêts à faire face aux nouvelles menaces et techniques de phishing.

L’association de l’IA et des informations sur les menaces est à la base d’Auto-Remediate, une fonctionnalité intégrée à Vade for Microsoft 365 capable d’agir en amont et en aval de la remise des emails. Auto-Remediate fait partie du filtre de contenu. Elle analyse en permanence les emails et les pages Web liés aux URL intégrées dans les emails, notamment après la remise de ces derniers.

Si un email passe au travers des mailles du filet lors de la première analyse, Auto-Remediate pourra le supprimer de la boîte de réception et le déplacer vers un dossier choisi par l’administrateur lors de la configuration du produit. L’administrateur peut traiter l’email selon diverses modalités, notamment en le supprimant ou en le renvoyant dans la boîte de réception s’il s’avère finalement bénin.

La précision du filtre et les fonctionnalités post-remise d’Auto-Remediate constituent une approche prédictive, de nouvelle génération, de la sécurité de l'email. Cette évolution de ToC offre une précision et une efficacité supérieures. De plus, Auto-Remediate ne réécrivant pas les URL, les utilisateurs peuvent visualiser leur destination en passant le curseur dessus. Il s’agit d’un point essentiel pour faciliter l’identification des liens suspects. Ainsi, les utilisateurs peuvent mettre en pratique ce qu’ils ont appris lors de leurs formations, une protection supplémentaire pour eux et leur entreprise.

Par ailleurs, Auto-Remediate offre une protection supérieure en éliminant instantanément la menace se trouvant dans la boîte de réception des utilisateurs. Ceux-ci n’ont donc pas à interagir avec les emails et URL malveillants.

Les partenaires de Vade sont encouragés à activer Auto-Remediate. Cette activation est configurable pour chaque catégorie de menace, notamment pour le phishing, les malwares et le spam. Bien que nous recommandions vivement d’utiliser Auto-Remediate plutôt que ToC, les partenaires qui préfèrent cette dernière fonction peuvent l’activer depuis la console d’administration de Vade for Microsoft 365.