Manager office expert
01 janvier 2021 / Approfondissement

Même les experts craignent le "harponnage"

L'informaticien Jeroen Baert en est certain : tout le monde peut être la cible des pirates informatiques, même les experts qui savent ce qui se prépare.


Je suis souvent frappé par le fait qu'à une époque où l'attention semble se porter sur des méthodes d'exploitation intelligentes aux noms remarquables (WannaCry ! Heartbleed ! Spectre !), ce sont souvent les méthodes relativement banales, « maison », qui permettent aux logiciels malveillants d’atteindre un système, et qui restent les techniques de piratage les plus efficaces. Pourtant, elles font rarement l'objet d'une attention particulière, alors que, selon les statistiques, ce sont précisément ces méthodes qu'il faudrait surveiller de plus près.

La technique du phishing, par exemple, est aussi vieille qu'internet lui-même, mais la manière exacte de s'y attaquer, son volume et le type d'e-mails de phishing évoluent constamment. Phished, avec sa base de données complète, est dans une position unique pour mesurer et analyser l'impact du phishing de manière non destructive et il confirme cette tendance.

La définition de spear phishing: la tactique la plus efficace

Il n'est pas surprenant que le harponnage ("Spear Phishing") - la forme spécialisée, intensive et artisanale du phishing - touche le plus les cibles. Je suis convaincu que même les utilisateurs les plus vigilants - y compris les experts dont je fais humblement partie - peuvent être victimes de spear-phishing. Il suffit d'un moment d’inattention et d'un attaquant utilisant une méthode d'approche crédible. Le dernier scandale de piratage de Twitter - où quelques employés ont été approchés personnellement pendant plusieurs mois - le prouve. Il faut également s'attendre à ce que le phishing s'inspire de l'actualité et, en outre, on ne peut éviter les effets du COVID-19 cette année, bien sûr.

Un excellent exemple est l'augmentation des tentatives d'hameçonnage réussies en utilisant le traditionnel "vous avez un colis prêt à être retiré". Si de nombreuses personnes sont obligées de rester impatiemment à la maison (pendant le confinement ou la quarantaine), en attendant des colis urgents de la part de la poignée de services de livraison de notre petit pays, les hameçonneurs seront rapidement en mesure de trouver une victime dans une situation aussi vulnérable.

Un moment d’inattention et un attaquant utilisant une méthode d'approche valide suffisent.

Travail à domicile

Le passage au télétravail a également entraîné une augmentation du trafic de courrier électronique, ce qui a ajouté toute une série de nouveaux outils et de nouvelles plates-formes avec lesquels les employés ont dû se familiariser rapidement pour pouvoir remplir leurs tâches. Le travail avec le stockage en ligne, les paiements, les nouveaux comptes pour les services de réunion, etc. sont de nouveaux ajouts à la série de scénarios que les hameçonneurs peuvent utiliser à leur avantage.

Et, grâce à l'automatisation (il existe des paquets de phishing prêts à l'emploi en vente dans les coins les plus sombres d'Internet), un phisher peut, avec un minimum d'effort, mettre en place un maximum de "lignes de phishing" pour de tels scénarios, chacune d'entre elles contenant des variations sur les millions de formes d'interaction que nous effectuons chaque jour via notre boîte aux lettres.

La sensibilisation est essentielle

Notre défense doit viser la sensibilisation, la limitation des dommages et la possibilité de vérifier la communication. J'espère qu'à l'avenir, on s'efforcera non seulement de mener les campagnes de sensibilisation nécessaires et d'assurer une gestion informatique rigoureuse, mais aussi d'encourager l'interaction entre l'expéditeur et le destinataire : prendre des dispositions claires sur la manière dont l'entreprise communiquera en interne et en externe et sur les outils cryptographiques conviviaux qu'elle utilisera à cet égard. Des tentatives ont déjà été faites à cet égard par le passé, qui - bien que techniquement solides - n'étaient trop souvent que des exercices académiques sans suite, car les utilisateurs finaux n'avaient pas toujours de connaissances techniques.

En matière de phishing, on ne peut pas toujours lever un doigt pédant et rejeter la responsabilité sur les épaules de "l'utilisateur final stupide" qui ouvre le message de phishing. C'est une bataille que nous devons mener sur tous les fronts et il est vital que nous comprenions les techniques (et le taux de réussite) des hameçonneurs. Je suis convaincu que des entreprises telles que Phished ont un rôle important à jouer à cet égard.