En 2022, selon les cabinets d’analyse Radicati et Statista, pas moins de 3,4 milliards d'emails de phishing sont envoyés chaque jour. Un chiffre à faire tourner la tête et qui interroge. Comment un phénomène aussi bien identifié depuis des décennies réussit-il à passer au travers des mécanismes de protection année après année ? Et quelles sont ses dernières évolutions ? Retour sur un phénomène qui ne cesse de faire des victimes.
Mais c’est quoi le phishing ? Appelée hameçonnage dans sa version française, cette technique malicieuse vise à amener un tiers à réaliser une action dangereuse pour lui dérober des informations personnelles comme des mots de passe, date de naissance, numéros de carte de crédit ou encore copies de pièces d’identité. Pour cela, cette technique fait appel à différentes usurpations (usurpation de site, de nom de domaine, d’identité…) et différents canaux (email, sms…). Une définition complétée par celle de Mitre Att&ck, qui intègre la possibilité pour les emails de contenir des pièces-jointes ou des liens malveillants. Encore aujourd’hui, 91% des cyberattaques utilisent l’email comme premier vecteur de compromission. Une situation qui a conduit notamment à des actions de sensibilisation à l’échelle nationale, comme la campagne “Think before you click” du Center for cybersecurity en Belgique. Face à une telle activité, il est intéressant de se poser la question de la provenance de ce type d’attaque et comment il s’est démocratisé chez les cyber-criminels.
Les débuts artisanaux et premières évolutions du phishing
C’est en 1996 que le mot phishing voit le jour, sur un groupe de discussion Usenet, appelé AOHell. Pour marquer le caractère d’usurpation de cette attaque, l’auteur a délibérément modifié l’orthographe, passant du mot fishing à phishing. L’usurpation des accès utilisateurs des comptes AOL ouvrira alors ce qui deviendra par la suite une tendance de fond chez les cyber-criminels : celle de pouvoir cibler massivement les clients d’une grande entreprise. « À l’émergence du phishing, ce sont les particuliers au travers des marques grand public qui étaient prioritairement visés, ajoute Adrien Gendre, Chief Tech & Product Officer chez Vade. L’épisode AOHell en est un parfait exemple, American Online étant à cette époque une marque forte et un acteur majeur du marché des fournisseurs d’accès internet. Des millions d’utilisateurs peuvent ainsi être ciblés à partir d’un même scénario. »
Avant, des acteurs individuels généraient des revenus de manière malicieuse grâce à quelques victimes. Maintenant, il s’agit d’organisations cyber-criminelles structurées, qui utilisent le phishing pour générer des revenus, faire de l’espionnage industriel ou de la guerre économique. Ce qui nous amène à l’émergence d’une activité de phishing usurpant les marques B2B.
Adrien Gendre, Chief Tech & Product Officer Vade
C’est sur cette base que le concept de Spray and Pray voit le jour dans les années 2000. Il désigne une campagne de phishing qui usurpe une marque mondialement connue et cible massivement des adresses emails sans distinction. Gain à la loterie, campagne caritative, fermeture de votre compte bancaire… tous les sujets sont bons pour escroquer les victimes. Facilement reconnaissables, les premières campagnes de phishing comportaient de nombreuses fautes d’orthographe, des fautes de frappe, des images de mauvaise qualité et le sens du message était à géométrie variable, faute de traducteur en ligne disponible. À la même période, le concept de clone phishing émerge à son tour. Son but est simple, usurper l’identité des marques à forte notoriété, utilisées au quotidien dans la vie personnelle mais aussi professionnelle. Un changement de paradigme selon Adrien Gendre : « Toute une économie s’est créée derrière le phishing. Avant, des acteurs individuels généraient des revenus de manière malicieuse grâce à quelques victimes. Maintenant, il s’agit d’organisations cyber-criminelles structurées, qui utilisent le phishing pour générer des revenus, faire de l’espionnage industriel ou de la guerre économique. Ce qui nous amène à l’émergence d’une activité de phishing usurpant les marques B2B. » En suivant les nouveaux usages, les cyber-criminels ciblent ensuite la messagerie, les espaces de stockage ou encore les documents partagés sur les environnements de travail Microsoft 365 et Google Workspace. Rien que sur le mois de février 2022, près de 23 millions d’emails de phishing ayant usurpé la marque Microsoft ont été détectés par l’éditeur Vade.
Les éditeurs de cybersécurité réagissent face à cette menace à grand renfort de filtres anti-phishing (basés sur les enveloppes, objets, contenus ou encore adresses IP de l’email) et autres technologies de double authentification. Pour passer sous ces nouveaux radars, les cyber-criminels se tournent alors vers l’usurpation de l’identité d’individus. Cette technique a pour objet de compromettre le compte de messagerie d’un salarié (BEC ou business email compromise) dans le but de s’approprier son identité auprès de ses collaborateurs, clients et partenaires, comme dans les exemples d’attaques de fraude au président. « La fraude au président est utilisée dans un but d'extorsion financière, souligne Adrien Gendre. Et est fréquemment mise en place durant les périodes de congés lorsque le dirigeant est absent. Cette usurpation est redoutable car elle permet de voler des montants extrêmement importants à une entreprise à partir d’un simple email. » C’est précisément ce qui est arrivé à un promoteur immobilier victime d’une fraude au président d’un montant record de 33 millions d’euros en France en janvier 2022. Même si la date exacte reste floue, ces premières attaques ciblées auraient émergé entre 2014 et 2015 aux États-Unis et cohabitent aujourd’hui avec les techniques de phishing ‘simple’.
Un phishing qui fera également des émules durant les années 2000. En effet, un mécanisme similaire au phishing sera observé sur les messageries en ligne MSN, Hotmail ou encore ICQ puis plus tard sur Facebook. Connue sous le nom de romance scam ou d’escroquerie à l’amour, ces usurpations sont le plus souvent l'œuvre de cyber-criminels structurés en équipe. Aussi appelés brouteurs, ces cyber-criminels charment des femmes, le plus souvent veuves, dans le but d'extorquer de grandes quantités d’argent. Les hommes ne sont pas en reste ici ; eux sont victimes de sextorsion et d’attaques à la webcam. Une technique qui s’inspire largement du phishing en jouant sur la crédulité de l’internaute.
La complexification des campagnes de phishing
Pour répondre aux parades des éditeurs de logiciels de cybersécurité et à une certaine maturité des publics face à la menace, les campagnes de phishing se sont sophistiquées. Et ont accentué leur aspect psychologique. Derrière une campagne de phishing, il s’agit toujours de faire réaliser une action à la victime ; un simple mail ne suffit pas. Le message doit être tel qu’il engage la victime au clic, par des réflexes d'urgence, de peur, de stress ou encore d'appât du gain. « Les cyber-criminels vont utiliser les émotions primaires de leurs victimes pour assurer un maximum de clic, le plus souvent la peur, précise Sébastien Viou, Directeur Cybersécurité Produits et Consultant Cyber-Évangéliste chez Stormshield. Peur de perdre de l’argent, peur d’avoir son abonnement résilié, peur d’être licencié ; souvent ces peurs sont incontrôlables et provoquent une réaction instinctive, rapide. C’est pourquoi ce type d’attaque a autant de succès... »
Les cyber-criminels vont utiliser les émotions primaires de leurs victimes pour assurer un maximum de clic, le plus souvent la peur. Peur de perdre de l’argent, peur d’avoir son abonnement résilié, peur d’être licencié ; souvent ces peurs sont incontrôlables et provoquent une réaction instinctive, rapide. C’est pourquoi ce type d’attaque a autant de succès...
Sébastien Viou, Directeur Cybersécurité Produits et Consultant Cyber-Évangéliste Stormshield
À l’aide d'outils d’automatisation de campagnes de phishing comme Gophish ou Sniperphish, les cyber-criminels utilisent désormais des templates de pages de capture et des modèles d’emails prêts à l’emploi. Et pour tromper leur victime, ces cyber-criminels s’adaptent surtout aux nouveaux usages et modes de la société. Après des années de domination des services bancaires au niveau mondial (et des impôts, de la CAF et d’EDF en France), les réseaux sociaux passent en première ligne. Sur la période 2019-2021, Facebook, LinkedIn, WhatsApp deviennent ainsi les marques les plus usurpées dans ce type de campagne, aux côtés de marques comme Google et Apple. Post vagues de Covid-19, les marques de livraison sont à leur tour ciblées en 2021 : DHL, FedEx, Amazon ou encore AliExpress trustent le top 10 des marques les plus usurpées.
Pour contrer la vigilance grandissante des systèmes de détection et des utilisateurs, les cyber-criminels mettent en place de nouvelles tactiques. Le typosquatting (ou achat de domaine voisin) est l’un des mécanismes les plus utilisés, car l’un des moins chers. En hébergeant une page de phishing sur un domaine très proche du domaine original, la victime ne se rend pas compte qu’elle visite une page de phishing. Le plus souvent, le site est similaire à une lettre près (comme l’exemple de mcrosoft.com à la place de microsoft.com). En juillet 2022, plus de 1 000 domaines voisins en .fr ont ainsi été enregistrés (comme froancefootball.fr, asemblee-nationale.fr, ou encore creditmuteuel.fr). L’affichage d’une fausse validation de l’email reçu est une autre technique permettant de briser la vigilance de la victime. Une fausse bannière a ainsi fait son apparition dans les emails, sous forme d’image signifiant que l’expéditeur et la pièce jointe sont légitimes et qu’elle a été validée par le mécanisme de filtrage. Plus c’est gros, plus ça passe. Le lien du phishing a été également été modifié et est maintenant intégré dans une chaîne de liens de redirection, de manière à ce que les filtres anti-phishing n'aient pas la capacité d’atteindre l’URL finale. Le corps de l’email a lui aussi été reconsidéré par les cyber-criminels et intégré dans une image pour contre-carrer la détection textuelle. Récemment, une nouvelle technique d’obfuscation est apparue comme le rapporte Adrien Gendre : « Dans le but de contourner les filtres de détection d’usurpation de logo, les cyber-criminels affichent aujourd’hui le logo sous la forme non pas d’une image mais d’un tableau composé d’un ensemble de cellules d’un pixel de largeur. Ainsi le logo reste identique à l'œil nu mais le tableau complexifie la tâche d’identification par un filtre anti-phishing. Cette usurpation reste néanmoins détectable avec une analyse visuelle au travers d’un algorithme de “computer vision”. »
Avant-hier, un tiers a déposé 967 domaines en .fr (soit 31% des domaines .fr déposés ce jour-là !) similaires aux noms de nombreuses organisations. Parmi elles : @InseeFr, @AcCreteil, @Conforama, @forumactif, @AlpesMaritimes, @free...
La liste complète : https://t.co/ZtE7FqHEq3
— Mikołajek (@_mikolajek_) July 22, 2022
En parallèle, les (multiples) fuites de base de données contenant des adresses email ou des numéros de téléphone sont une véritable mine d’or pour les cyber-criminels. Au palmarès des fuites de données record, citons Yahoo en 2013 avec ses 3 milliards de données clients, Facebook en 2019 avec 540 millions de données ou encore Instagram en 2020 avec 200 millions de données. Sur la période 2004 à 2022, 353 exfiltrations et publications de bases de données de plus de 30 000 enregistrements ont été comptabilisées. Malheureusement pour les victimes, l’analyse de cette masse de données laisse apparaître l’utilisation d’un même mot de passe, le plus souvent faible et utilisé à plusieurs reprises sur les comptes de réseaux sociaux ou de messagerie. Cette mauvaise hygiène numérique facilite la compromission de comptes et, par analogie, la forte augmentation du nombre de victimes de phishing. C’est par cette connaissance des victimes que des campagnes de phishing affinitaires se sont développées.
Le phishing s’exporte sur de nouveaux supports
Après avoir inondé les messageries pendant des décennies, le phishing s’exporte sur de nouveaux supports.
Appelé smishing, le phishing par SMS semble avoir connu une forte accélération durant la période des confinements, comme le rapporte Adrien Gendre. « Du fait d’une forte augmentation de la demande de livraison à domicile pendant la période du confinement, le nombre de phishing par SMS a fortement augmenté. La thématique de la livraison à domicile est aujourd’hui le scénario de smishing le plus observé. »
Du fait d’une forte augmentation de la demande de livraison à domicile pendant la période du confinement, le nombre de phishing par SMS a fortement augmenté. La thématique de la livraison à domicile est aujourd’hui le scénario de smishing le plus observé.
Adrien Gendre, Chief Tech & Product Officer Vade
Le SMS n’est d’ailleurs pas le seul support de ces campagnes puisque des campagnes de phishing sont aujourd’hui diffusées sur WhatsApp comme le rapportait L’Usine Digitale en juillet 2022. Elles sont également diffusées sur les messageries internes d’entreprise comme Microsoft Teams et Slack. Une variante sous la forme d’une voix robotisée appelée vishing pour voice phishing a également émergé – mais ne semble pas avoir rencontré son public. À la frontière entre le scam et le phishing, la prolifération de faux comptes sur les réseaux et de fausses annonces d’emploi permettent aux cyber-criminels de flouer les victimes. Le mécanisme est simple : c’est en téléchargeant une offre d’emploi contenant un spyware qu’un employé de la société Sky Mavis se serait fait dérober ses accès à la blockchain en juillet 2022, permettant au passage le vol d’une somme de 560 millions d’euros.
Dernière innovation en date, le phishing dit Browser-in-the-browser ou attaque dans le navigateur est une stratégie affichant une fausse fenêtre de navigation. En cliquant sur un bouton de connexion, la victime pense charger une nouvelle fenêtre d’authentification qui s’avère n’être qu’une illusion. L'utilisateur n’a pas changé de fenêtre et le cyber-criminel affiche une URL légitime dissipant toute vigilance de la victime. Sans le savoir, la victime entre ses identifiants sur un site malicieux. Même si elle très complexe à détecter, cette dernière innovation connaît cependant des limitations sur téléphone mobile.
À la question, quel serait l’avenir du phishing ? Adrien Gendre semble voir se dessiner une tendance à l’automatisation : « Le phishing va être fortement automatisé dans un futur proche. Avec la technologie de “text augmentation”, il est aujourd’hui possible de générer des centaines d’emails ayant un sens commun mais faisant appel à des textes totalement différents. Le phishing devrait donc passer dans les prochaines années d’une masse d’attaques dépersonnalisées à une masse de campagnes chirurgicales. » Une technique d’automatisation qui semble s’inspirer du domaine du… référencement, et de l'algorithme GPT-3. Face à l’utilisation de telles technologies open-source, les éditeurs de cybersécurité vont devoir encore innover pour répondre à ces nouveaux défis.