Escroquerie par e-mail, l’hameçonnage (ou phishing) reste extrêmement répandue. Et nécessite de la part des entreprises des mesures de protection simples à mettre en place et souvent très efficaces.
Dans un arrêt du 28 mars 2018, la Cour de cassation a reconnu la négligence grave d’un particulier victime de phishing. Ce dernier avait été trompé par des courriels frauduleux provenant d’une adresse e-mail « agence@mail-mail.com » et avait dévoilé l’ensemble de ses coordonnées bancaires. La justice a décidé de retenir contre le particulier les indices évidents – fautes d’orthographe, adresse e-mail différente de celle de la banque, etc. – laissés par l’auteur de la fraude.
Si un lecteur non averti peut désormais être mis en cause pour « négligence grave », les entreprises peuvent s’attendre à voir leur responsabilité engagée à leur tour dans ce type de situation. Et ont donc tout intérêt à se prémunir contre ce type d’attaque.
Qu’est-ce que le phishing ?
Le phishing est une forme d’escroquerie par e-mail qui consiste à usurper l’identité d’une entreprise connue pour inciter les destinataires à changer ou à mettre à jour leurs coordonnées (bancaires ou de messagerie par exemple) sur des pages Internet imitant celles de l’entreprise en question. D’après une étude signée Vade Secure, on retrouve Microsoft, Paypal et… Netflix sur les premières places du classement des entreprises les plus ciblées. Une menace omniprésente, qui utilise la méconnaissance ou la naïveté de certaines personnes – parfois des collaborateurs en entreprise – pour obtenir des informations confidentielles. Dans le monde, 1 e-mail envoyé sur 100 aurait une visée malveillante selon l’étude Email Threat Report, qui a examiné plus d’un demi-milliard de courriels envoyés entre janvier et juin 2018.
Plusieurs variétés du phishing ont fait leur apparition dans le cyber espace. C’est le cas du spear phishing, ciblé sur une personne spécifique ou un ensemble de personnes spécifiques (les employés d’une même entreprise par exemple). Dans cette optique, les pirates informatiques vont d’abord rassembler une manne d’informations et de données plus ou moins importantes, pour s’adresser à eux de manière plus ciblée.
Comment se défendre contre le phishing
Face à ce volume d’e-mails malveillants, le manque de sensibilisation des destinataires est particulièrement inquiétant. En octobre 2017, le ministère de l'Économie et des finances a ainsi mené une fausse attaque de type phishing qui a piégé 30 000 des 146 000 agents de Bercy. « La formation des employés, surtout ceux aux postes les plus sensibles, est la première étape pour se défendre contre le phishing. Cela passe par des sessions de formation avec des directives à suivre et des exemples d’e-mails de phishing », note Fayçal Daira, Endpoint Security Product Manager chez Stormshield. Et les techniques de sensibilisation ne manquent pas ; de la fausse attaque au quizz en passant par des outils pédagogiques, comme le bot Twitter @isthisphish permettant de repérer des pages suspectes.
🧐 This webpage seems suspicious. Be very cautious when opening it! It might be a #phishing 🎣 page impersonating Apple! pic.twitter.com/4S6712MG3r
— is this phishing? (@isthisphish) 14 septembre 2018
La protection contre le phishing passe aussi par des solutions techniques éprouvées. « Le principal vecteur du phishing étant le courrier électronique, la première solution pour se protéger est l'anti-spam qui, via la géolocalisation ou la réputation IP, peut être très efficace », indique Marco Genovese, Network Security Product Manager chez Stormshield. Les solutions de sécurité réseau peuvent effectuer des inspections plus approfondies que les fonctionnalités anti-phishing intégrées et détecter ainsi les attaques avancées. Autre barrière de défense : installer une solution de sécurité directement sur les postes de travail.
La première solution pour se protéger est l'anti-spam qui, via la géolocalisation ou la réputation IP, peut être très efficace
Marco Genovese, Network Security Product Manager - Stormshield
« Chez Stormshield, nous avons un service de détection dans le Cloud, utilisé comme un bac à sable et capable de recevoir des informations sur le phishing en temps réel. En moyenne, une ou deux campagnes sont repérées chaque semaine, comme récemment Pony et Emotet. Et comme ces programmes malveillants ciblent généralement les mêmes vulnérabilités, nos systèmes apprennent à mieux les repérer d'une campagne à l'autre », souligne Marco Genovese.
Les nouvelles menaces du long term phishing
La tendance à une plus grande sophistication des attaques est bien réelle, avec l’avènement du long term phishing. Cet autre mécanisme d’attaque vise à faire télécharger une pièce-jointe qui viendra installer un logiciel malveillant dormant sur le poste de l’utilisateur. « On voit désormais les cybercriminels passer par une première phase consistant d’abord à installer un enregistreur de frappe sur le poste de travail visé, capable d’obtenir les noms d'utilisateur et mots de passe. Ce n'est que lorsque la cible planifie un virement à un fournisseur par exemple que le courrier électronique de phishing sera envoyé avec un compte bancaire différent », décrit Fayçal Daira. Et parce qu'il suffit d'un seul fichier malveillant pour mettre en péril toute une entreprise, notre portail Breach Fighter vous permet d'analyser n'importe quel fichier qui vous semblerait douteux et ainsi d’ouvrir les pièces-jointes que vous recevez en toute confiance.
Un point de vigilance fondamental enfin : si le courrier électronique est un vecteur privilégié pour le phishing, les réseaux sociaux deviennent des alliés involontaires dans ces campagnes de cyberattaques. Les cybercriminels ne se privent pas en effet de collecter un grand nombre de données (nom, prénom, centres d’intérêt, ancien mot de passe…) pour personnaliser et rendre plus crédibles leurs e-mails malveillants. Finalement, tout le monde est aujourd’hui une cible de choix pour les cybercriminels. D’où la nécessité pour les entreprises de se tenir informées et de communiquer régulièrement auprès de leurs collaborateurs pour les sensibiliser aux risques du phishing.
