C’est la coutûme, à chaque fin d’année, nous tentons de prédire quelles seront les principales menaces véhiculées par les emails au cours de l’année suivante. Les experts de Vade Secure présentent dans cet article, les menaces les plus sérieuses pour les entreprises en 2020.

1. Les attaques BEC (Business Email Compromise) vont toucher durement les entreprises

« Je suis convaincu que les attaques de type BEC (spear phishing) restent la principale menace pour les entreprises », affirme Sébastien Goutal, Chief scientist chez Vade Secure. D’après le FBI, les attaques BEC ont augmenté de 100 % entre mai 2018 et octobre 2019. Elles ont ainsi déjà coûté 1,2 milliard de dollars en 2018 et 26 milliards de dollars depuis 2016.

La plupart des emails de spear phishing détectés par Vade commencent par du pretexting, par exemple « Bonjour, vous êtes disponible ? ». Synthétique et dénué de contenus, l’email passe souvent entre les mailles du filet des filtres qui reposent sur l’analyse de texte.

Pire encore pour notre spécialiste, « certains fournisseurs ajoutent l’email en liste blanche dès que le destinataire y répond ». Le hacker devient alors un expéditeur de confiance qui peut continuer à échanger sans problème avec sa victime.

Par ailleurs, les attaques BEC vont encore gagner en sophistication avec l’apprentissage automatique et notamment les algorithmes de synthèse vocale qui sont capables d’imiter des voix. D’après Sébastien Goutal, les hackers vont continuer à exploiter cette technologie pour générer des appels automatiques, des spams téléphoniques et même des messages personnalisés imitant la voix des PDG et autres cadres.

2. La sextorsion va revenir en force, avec de nouvelles armes

Nous constatons déjà un retour des emails de sextorsion… et la situation va s’aggraver en 2020. Non seulement ce type d’attaque va revenir en force, mais son taux de réussite va se renforcer grâce à diverses nouvelles techniques.

L’envoi d’emails dont le texte est en réalité une image est par exemple en plein essor, explique Adrien Gendre, Chief solution architect chez Vade Secure. Pour contourner les filtres de sécurité de l’email, les hackers insèrent une capture d’écran d’un email dans le corps de l’email qu’ils envoient. Cette capture est hébergée sur un site Web et n’inclut donc pas de contenu pouvant être analysé par les filtres.

Adrien Gendre explique que cette technique va prendre du galon dans les emails de sextorsion, mais qu’elle fait également partie des plus difficiles à détecter, car de nombreux filtres ne sont pas en mesure de voir et d’interpréter des images.

Pour Sébastien Goutal, une autre technique va gagner en popularité : les contenus malveillants cachés dans des fichiers PDF ou Microsoft Office et exploitant les fonctionnalités d’aperçu des pièces jointes des clients de messagerie comme Apple Mail. Lors d’une campagne de sextorsion récente, le texte était enregistré dans une pièce jointe au format PDF, mais était visible directement par l’utilisateur grâce à cette fonctionnalité. Les fichiers PDF et Office disposant d’un format particulièrement complexe, de nombreux filtres de messagerie ne sont pas en mesure d’extraire et de bloquer les contenus malveillants qu’ils incluent.

De plus, Sébastien Goutal explique que les fuites de données vont fournir aux hackers de nouvelles armes pour convaincre leurs victimes que leur ordinateur est contaminé par un malware. En effet, ils n’ont qu’à récupérer les mots de passe divulgués sur Internet pour faire paniquer leurs victimes et les pousser à céder à leurs exigences.

3. Les liens de phishing vont envahir les services d’hébergement de fichiers

L’an dernier, les campagnes de phishing incluant de fausses notifications de partage de fichier sur OneDrive et SharePoint se sont multipliées. Dans certaines attaques, les URL OneDrive et SharePoint mènent à des pages de phishing. Mais dans les attaques les plus sophistiquées, les hackers ont recours à des URL OneDrive et SharePoint authentiques, et placent les liens de phishing dans des fichiers légitimes pour ne pas être repérés par les technologies d’analyse des URL.

Pour Sébastien Goutal, cette technique va toucher d’autres services d’hébergement, notamment DropBox, Google, WeTransfer, et Evernote. « L’hébergement de malwares sur ce type de services prend lentement son essor », explique-t-il. « Cette tendance ne va faire que s’accélérer. »

Voici comment ce type d’attaque fonctionne : vous recevez un email vous informant qu’un collègue a partagé un document Evernote avec vous. Cet email inclut un lien vers une note Evernote qui contient elle-même un lien de phishing ou un lien qui lance automatiquement le téléchargement d’un malware après un clic.

Pour le moment, ces notifications sont factices. Toutefois, Adrien Gendre estime qu’elles pourraient rapidement devenir parfaitement authentiques.

4. La multiplication des fuites de données en 2019 aura des conséquences considérables en 2020

D’après Risk Based Security, plus de 5 183 violations de données ont été signalées au cours des 9 premiers mois de 2019, soit 33 % de plus que l’année précédente. Au total, 7,9 milliards de comptes ont ainsi été exposés. Nombre de ces comptes, notamment les noms d’utilisateur et mots de passe, ont été dérobés lors de campagnes de phishing et se vendent sur le marché noir.

Pour Sebastien Gest, Tech evangelist chez Vade Secure, ces comptes fournissent aux hackers toutes les informations dont ils ont besoin pour améliorer leurs campagnes. Il estime que les données contenues dans les profils d’utilisateurs sont tout aussi précieuses que des informations personnelles comme des noms d’utilisateur et mots de passe.

« Les hackers peuvent créer un profil virtuel de leurs victimes », explique-t-il. « Les données de profil leur permettent de déterminer vos loisirs, votre orientation politique, vos habitudes d’achat et bien plus encore. » Armés de ces profils virtuels, les hackers créent des campagnes d’email plus ciblées, dont le taux de réussite est bien supérieur aux campagnes de phishing génériques à haut volume.

Nous avons déjà constaté les conséquences des fuites de données, avec des emails de sextorsion qui dévoilent aux utilisateurs leurs mots de passe. Cette tendance devrait s’accentuer dans les campagnes de phishing et de spear phishing ciblées, ainsi que dans diverses formes de chantage. « Les conséquences des attaques de phishing de 2019 se ressentiront en 2020 », conclut Adrien Gendre.

5. Les attaques en plusieurs phases vont mélanger les formats d’emails et les types d’attaques

Début 2019, nous avons noté l’émergence d’attaques en plusieurs phases ciblant les utilisateurs d’Office 365. Ce qui commence comme une attaque de phishing se transforme en spear phishing une fois que le hacker a réussi à prendre le contrôle d’un compte Office 365.

Couramment utilisées pour s’attaquer à des sous-traitants, les attaques en plusieurs phases ont durement touché les MSP en 2019. Elles ont débouché sur plusieurs blocages par ransomware fortement médiatisés ayant ciblé des agences gouvernementales et des organisations de santé. Nombre d’organisations touchées ont signalé que le ransomware avait été remis par le biais d’emails de phishing.

Pour Adrien Gendre, ce phénomène devrait s’amplifier en 2020. Les attaques en plusieurs phases vont devenir plus sophistiquées en mêlant phishing, spear phishing, ransomwares et éventuellement chantage.

6. Les attaques de phishing vont contribuer aux fake news lors des prochaines élections

Les réseaux sociaux sont considérés comme responsable de la majorité des fake news diffusées dans le monde, mais pour Adrien Gendre, il ne faut pas pour autant négliger le danger du phishing. Par exemple, la violation du Comité national démocrate (DNC) de 2016 a encore des répercussions aujourd’hui. Cette violation est la conséquence directe d’un email de phishing, mais l’information s’est perdue au milieu des milliers de gros titres qui nous innondent sur le sujet. « Tout provient des attaques de phishing », affirme Adrien Gendre. « D’abord, vous infectez votre victime, puis vous restez à l’affût. » Ces attaques, explique-t-il, permettront d’orienter des stratégies politiques, de discréditer ses adversaires et au final, d’influer sur les électeurs. Entre les médias sociaux, les campagnes de désinformation orchestrées par les puissances étrangères et les hackers, il devient difficile de distinguer la réalité de la fiction et de savoir à qui se fier.