Combien de personnes sont réellement capables de repérer des emails de phishing ou de harponnage (spear phishing) et connaissent les différences subtiles qui les distinguent ? Ces deux menaces ont beau être similaires, elles comportent suffisamment de différences pour être considérées comme deux modes d’attaque distincts. Comme nous aimons à le dire, l’hypervigilance est la clé de la cybersécurité.
Qu’est-ce que le phishing ?
Commençons par étudier cette étrange orthographe. Le terme « phishing » a été utilisé pour la première fois par des admirateurs des « phone phreaks », les premiers hackers, célèbres dans les années 60 et 70. Les pionniers du piratage informatique suivaient une technique simplissime : ils utilisaient un sifflet trouvé dans une boîte de céréales « Captain Crunch » pour tromper l’ordinateur de l’opérateur téléphonique en imitant une tonalité, ce qui leur permettait alors de téléphoner gratuitement. Une telle technique peut nous sembler ridicule aujourd’hui, mais il s’agissait d’une véritable innovation à l’époque. Elle exploitait en effet une vulnérabilité des commutateurs de routage des appels liée à la signalisation intrabande et a inspiré toute une génération de pirates.
Le phishing est une technique de piratage qui est l’équivalent numérique de la « pêche au filet ». Plus particulièrement, il s’agit d’envoyer des emails conçus pour inciter un utilisateur à cliquer sur une URL liée à un formulaire Web d’une page qui semble provenir d’une marque connue, par exemple Microsoft. Ce formulaire Web permet de récupérer des informations personnelles, comme des identifiants. Les emails de phishing les plus courants prétendent par exemple que votre compte est verrouillé, que vous devez mettre à jour votre mot de passe ou encore que vous devez actualiser vos informations de compte bancaire.
Dans certains cas, ces formulaires Web sont extrêmement difficiles à distinguer des originaux. En revanche, les URL peuvent trahir leurs intentions. Par exemple, une URL semblant venir de Bank of America peut vous rediriger vers le domaine « www.bankofamericaincu.co » (le véritable domaine de la banque étant www.bofa.com). Sur ce site, vous pourriez indiquer vos informations d’identification, votre numéro de sécurité sociale ou d’autres données personnelles, immédiatement récupérées par le criminel à l’origine de l’attaque.
Les hackers ont également fréquemment recours au phishing pour voler des informations d’identification sur des applications dans le Cloud comme Office 365. Ils envoient un email invitant un utilisateur à se connecter à son compte Office 365 sous différents prétextes : il peut devoir réactiver son accès à la plateforme, récupérer un fichier partagé ou encore mettre à jour ses informations de compte. Lorsque l’utilisateur clique sur l’URL, il est redirigé vers une fausse page Web Microsoft qui récupère ses identifiants, à la manière de l’exemple de Bank of America décrit ci-dessus.
[Article connexe] Formation de sensibilisation au phishing : 8 informations que vos employés doivent connaître
Qu’est-ce que le harponnage (spear phishing)?
Dans sa forme générique, le phishing implique une distribution massive, un lancer de filet gigantesque. Les campagnes de phishing ne visent pas une personne en particulier, mais des centaines, voire des milliers de destinataires. A contrario, le spear phishing est une attaque très ciblée, qui ne vise qu’une seule personne. Pour la mettre en œuvre, les hackers prétendent vous connaître. Cette attaque est extrêmement personnelle.
Le hacker a un objectif précis. Ce type d’attaque prend souvent la forme d’une stratégie de type Business Email Compromise, qui consiste pour le cybercriminel à se faire passer pour un employé haut placé afin de demander des virements bancaires (vers des sociétés frauduleuses), de réaliser des fraudes au dépôt direct ou encore de modifier des informations bancaires. Pour être convaincant, il va procéder à de l’ingénierie sociale afin d’usurper l’identité d’une personne que vous connaissez, par exemple un collègue ou une relation professionnelle. L’attaquant se renseigne ainsi sur vous via le Web et les médias sociaux, ou récolte des informations vous concernant provenant de violations de données et diffusées à l’aide de protocoles P2P comme BitTorrent.
Imaginons le scénario de harponnage suivant : vous vous appelez Bob et travaillez pour Joe Smith, le PDG de votre entreprise. Un hacker tombe sur vous sur LinkedIn et remarque que Joe fait partie de vos relations. Il vous suit sur Facebook et découvre votre équipe de sport préférée, puis un projet sur lequel vous travaillez au bureau.
Il crée ensuite un compte de messagerie avec l’adresse joesmith21@gmail.com. Pendant que le véritable Joe est en vacances, une information que le hacker a, là aussi trouvé sur Facebook, le faux Joe vous envoie un email disant : « Bonjour Bob, je suis en vacances, mais j’ai besoin que vous fassiez un virement de 100 000 $ à l’un de nos sous-traitants en Chine pour notre projet. Pourriez-vous vous en charger immédiatement ? Voici les coordonnées du compte sur lequel effectuer le virement. »
Si vous n’êtes pas suffisamment vigilant, vous risquez de tomber dans le panneau. Ce type d’attaque se produit plus souvent que vous pourriez le penser. Même les personnes formées spécifiquement pour ne pas céder à ce genre de demande ont du mal à résister lorsque leur « PDG » leur intime d’accomplir une tâche en urgence. Après tout, il s’agit de Joe et pas d’un parfait inconnu... Du moins c’est ce que vous vous dites.
[Webinaire] Anatomie d’une attaque de spear phishing
Pourquoi est-il important de connaître le fonctionnement du phishing et du spear phishing ?
Les attaques de harponnage ou spear phishing sont à la base de nombreuses violations de données massives et coûteuses. D’après le rapport 2018 du FBI sur la cybercriminalité, elles ont coûté cette même année près de 1,2 milliard de dollars aux entreprises américaines. Le phishing aurait quant à lui coûté plus de 48 millions de dollars.
Les filtres de messagerie peuvent bloquer les emails de phishing envoyés en masse qui contiennent des URL connues. Il en va de même pour les emails contenant une pièce jointe dont la signature est connue. En revanche, si vous recevez une URL inconnue ou un email personnalisé de Bob ne contenant ni URL ni pièce jointe, ils passeront invariablement entre les mailles du filet.
Le phishing, et surtout le harponnage ou spear phishing, sont ainsi des vecteurs d’attaque dangereux et très efficaces. Il est toutefois possible de s’en prémunir. La sensibilisation et la formation des utilisateurs finaux peuvent faciliter la détection des emails de phishing ou de spear phishing. De plus, des solutions comme Vade utilisent des techniques d’intelligence artificielle, notamment l’apprentissage automatique, pour identifier les emails, URL et pièces jointes malveillants, ainsi que les tentatives d’usurpation de l’identité de collègues ou de relations professionnelles.
