Qu’il s’agisse d’un clic sur un lien malveillant ou de données confidentielles envoyées à un faux tiers de confiance, si la menace est toujours extérieure, 90% des cyberattaques effectives implique une erreur résultant de l’exploitation humaine. C’est sur ce fait que repose la technique du phishing.
Très populaire chez les hackers, le phishing constitue l’une des cyberattaques les plus dangereuses au vu des conséquences qu’elle engendre. Ce procédé peut être responsable de l’installation et de la prolifération de ransomwares, des demandes de rançon en échange de données volées, mais aussi de vols d’identifiants et de compromissions d’emails professionnels (BEC), le tout engendrant des pertes financières colossales à plusieurs échelles.
Phishing : définition
Le phishing, ou hameçonnage en français, désigne une technique malveillante s’appuyant sur des moyens d’ingénierie sociale, et utilisée dans le but de subtiliser des données confidentielles. Ce type d’escroquerie 2.0 peut avoir pour conséquence l’usurpation d’identité des victimes ainsi que l’extorsion de fonds financiers.
De même, il existe de nombreuses autres pratiques reprenant les mêmes principes de manipulation. Le smishing repose sur l’envoi de SMS malveillant. Le vishing, consiste lui, à récupérer des données pour les utiliser à des fins malintentionnées par le biais d’appels téléphoniques. Ainsi, les hackers démultiplient les techniques d’hameçonnage dans le but de parvenir à leurs fins. Le plus souvent, c’est en usurpant l’identité d’un tiers de confiance que les pirates achèvent leur mission malveillante. Si les canaux de communication varient, le procédé de l’attaque reste le même.
Exemples d’attaques de phishing
Le phishing est aussi plébiscité par les pirates informatiques, car cette technique profite de la nature faillible de l’humain. Quel que soit le domaine d’activité visé, ces attaques peuvent affecter des victimes de tous milieux. Pour illustrer cela, quelques exemples :
- Sony Pictures a été victime d’une attaque de phishing. Après avoir recherché des informations sur les membres de l’entreprise et leurs fonctions respectives, les hackers ont envoyé une série de mails prétextant une faille de sécurité. En conséquence, ces derniers ont dérobé approximativement 100 téraoctets de données durant cette attaque. Cette dernière aura coûté plus de 100 millions de dollars à la société.
- La renommée d’une entreprise ne reflète pas nécessairement sa capacité à contrer une cyberattaque. Cela fut le cas de Google et Facebook, les géants des GAFA, qui se sont vus être victimes de fraude pendant plus de deux ans. Tout a commencé par la compromission d’un email professionnel : un hacker, se faisant passer pour un vendeur de pièces d’ordinateur grâce à la technique du phishing, a envoyé une série de fausses factures réglées. Au total, plus de 100 millions de dollars furent dérobés aux mastodontes d’internet.
- En décembre 2015, c’est le principal fournisseur d’électricité Ukrainien qui a été pris pour cible. À la suite d'un e-mail de phishing envoyé à un employé, des hackers ont pu attaquer la centrale en forçant une panne d'électricité. Par la suite, on a découvert que l’email envoyé contenait un logiciel malveillant capable d'automatiser une panne de courant majeure.
Combattre le phishing
Pour pouvoir se prémunir contre les cyberattaques et les tentatives de phishing, il est important de prendre en compte les différents aspects d’une stratégie de protection efficace. S’il n’existe pas de méthode ultime permettant de contrer toutes les attaques, en comprenant et en appliquant deux types de mesures complémentaires, il est possible de se prémunir d’une cyberattaque.
Dans un premier temps, il est nécessaire d’agir du point de vue technique. En effet, la sécurité logicielle constitue la première étape vers un processus de défense efficient contre les piratages. En ce sens, il est primordial de configurer correctement les boîtes mails en imposant un système d’authentification des expéditeurs. Vous serez ainsi en mesure de vous assurer que chaque messages dans votre boîte de réception provient d’un utilisateur autorisé.
Pour ce faire, nous recommandons le recours à l’authentification SPF puisqu’elle permet de définir un nombre d’adresses IP autorisés pouvant envoyer des emails à partir d’un domaine. De même, le DKIM peut s’avérer précieux car il garantit l'authenticité d'un email allant d'un serveur à l'autre, tout en assurant son identification par le destinataire.
Enfin, le DMARC désigne une méthode d’identification de message basé sur le domaine. Cet outil permet de définir des stratégies précises et d'obtenir des rapports détaillés générés en cas d'échec de validation. Il existe également des outils et filtres anti-phishing : ces différentes techniques de détection permettent de filtrer les tentatives de phishing
Pour autant, si la sécurité logicielle se révèle extrêmement précieuse, elle doit être complémentaire aux moyens de protection humains. En effet, sachant que la quasi-totalité des cyberattaques résulte du facteur humain, toute stratégie de protection efficace doit prendre en compte la nature des failles exploitées par les pirates informatiques. Pour pallier cela, il est nécessaire de placer la sensibilisation au cœur des enjeux de protection. Ainsi, en communiquant fréquemment sur le phishing, et plus particulièrement sur les méthodes de détection à utiliser. De même, les étapes de signalement à suivre pour avertir de la réception d’un email frauduleux doivent être scrupuleusement étudiées. En effectuant de manière régulière ces phases, le risque induit par l’exploitation humaine des données décroisse considérablement.
En milieu professionnel, il est pertinent d’exercer en conditions réelles ses collaborateurs par le biais de campagnes de faux phishing, afin que chacun puisse maîtriser la marche à suivre en cas de cyberattaques. Enfin, signaler une tentative d’hameçonnage et avertir les autorités d'une activité suspecte constitue la meilleure façon de combattre le phishing.
Conclusion
En somme, le phishing est une pratique malveillante responsable de nombreuses attaques informatiques. Il est impératif d’en connaître la définition et les pratiques afin de pouvoir s’en prémunir efficacement. En outre, il est impératif de comprendre qu’il n’existe pas de méthode unique et infaillible. Pour se protéger des cyberattaques impliquant la technique du phishing, il faut être en mesure de combiner des mesures technologiques, par des configurations logicielles efficientes, avec des dispositions humaines passant par la prévention, l’entraînement en situation réelle et le signalement des tentatives d’hameçonnage.
Afin d’aider les entreprises à comprendre les enjeux liés au phishing, Arsen propose des solutions de protection contre les cyberattaques. En simulant une attaque dans des conditions réelles, elle permet à l’ensemble des collaborateurs d’expérimenter les différentes facettes d’une cyberattaque. Ces derniers apprennent ainsi à réagir efficacement face à ce type de situation.
