Le phishing : la menace n° 1 en matière de cybersécurité

Le rapport annuel de cybermalveillance.gouv.fr est sans appel, le phishing représentait la première forme d’attaque subie par les entreprises avec 27 % en 2022. Il se trouve ainsi devant le ransomware et le piratage de compte. Le phishing, connu aussi sous le nom de « hameçonnage » en français, utilise des SMS, des e-mails ou même des appels téléphoniques pour encourager les victimes à cliquer sur un lien malveillant, télécharger des logiciels ou encore à livrer des informations sensibles. Une attaque de phishing réussie débouche souvent sur une usurpation d’identité, une violation de données, des fraudes par carte bancaire ou encore des attaques de ransomwares.

Selon le Baromètre de la cybersécurité en entreprise CESIN 2022, 54 % des entreprises ont été victimes d’une cyberattaque en France en 2021. Le phishing et le ransomware sont les formes d’attaques les plus répandues. L’ANSSI constate une hausse des attaques par ransomware de 255 % en 2020. De son côté, Vade Secure dénombre près de 19,2 millions de courriels malveillants au mois de juillet 2022. Selon le rapport, l’e-mail reste le vecteur le plus utilisé pour les attaques de phishing. Ces chiffres se traduisent en France par un ciblage des télétravailleurs. En effet, près de la moitié d’entre eux se sont déjà fait piéger par un phishing.

Le phishing est une forme de cyberattaque basée sur l’ingénierie sociale. Les pirates établissent la communication avec sa victime à travers des informations qu’ils ont obtenues sur les réseaux sociaux par exemple. La victime n’a aucun moyen de reconnaître la fraude puisque le message semble provenir d’une source fiable.

Dans le phishing, les pirates se servent généralement des e-mails ou des SMS pour communiquer. Ces messages semblent inoffensifs et incitent les destinataires à effectuer une action spécifique : téléchargement d’un logiciel malveillant, remplissage d’un formulaire, visite d’un site malveillant avec les identifiants de connexion, etc.

Le principal objectif d’une attaque de phishing vise à obtenir les données sensibles des utilisateurs à l’instar des informations personnelles identifiables, des coordonnées bancaires ou encore des identifiants de connexion, etc.

Une fois que le pirate obtient assez d’informations de connexion, il peut changer les identifiants de connexion, accéder à des données de l’entreprise sur le cloud, pénétrer dans le réseau informatique, voler des données et demander une rançon, etc.

Bien que les pirates emploient plusieurs méthodes de phishing face à l’évolution technologique, leurs méthodes se ressemblent sur plusieurs points :

• les pirates usurpent souvent l’identité d’une entreprise de service ou d’un réseau social pour ne pas susciter la méfiance du destinataire.
• les techniques évoluent sans cesse et deviennent plus sophistiquées. La dernière en date est le spear phishing que l’ANSSI définit comme une usurpation d’identité en s’appuyant sur une ingénierie sociale plus poussée. L’expéditeur se fait passer pour un partenaire ou un contact de confiance.
• une attaque de phishing réussie suffit à compromettre l’ensemble du réseau d’une entreprise.
• les pirates s’appuient sur des sentiments comme la curiosité, l’urgence et la peur pour inciter leurs victimes à cliquer sur un lien.

Le phishing reste l’une des formes d’attaques les plus fréquentes en cybercriminalité. Les techniques des pirates évoluent parallèlement aux technologies. Avant, les cibles recevaient des e-mails génériques facilement reconnaissables comme frauduleux. Les pirates envoient ces messages à des milliers de destinataires. Cette technique est révolue et a fait place à d’autres qui sont plus sophistiquées.

Le phishing par courrier électronique

Il s’agit de la méthode la plus répandue. Le pirate envoie un e-mail qui semble provenir d’une entreprise de service (Amazon par exemple) ou d’une organisation légitime (une banque) à des milliers de destinataires.

La réussite de cette méthode repose sur la popularité de l’entité usurpée. Plus elle est connue, plus le mail a de chance d’atterrir dans la boîte de réception d’un client ou d’un abonné.

Les mails sont soigneusement travaillés pour paraître légitimes. Certains pirates vont même jusqu’à usurper le nom de domaine de l’expéditeur.

L’objet du mail aborde un sujet qui paraît crédible aux yeux du destinataire et peut susciter un sentiment d’urgence ou de curiosité chez lui. Cela peut être l’expiration d’un logiciel de travail par exemple, l’échec d’une transaction, etc.

L’objectif du mail consiste à encourager le destinataire à réaliser une action logique par rapport au sujet évoqué comme la mise à jour du logiciel, la nouvelle validation de la commande, etc. Dans tous les cas, le destinataire est amené à révéler des informations sensibles comme le numéro de compte bancaire. Dans le cas d’un téléchargement, l’action ouvre une brèche pour infecter le réseau de la cible.

Le spear phishing

Contrairement à la méthode précédente, celle-ci cible une personne spécifique. Elle peut occuper un poste à responsabilité au sein de son organisation, être une célébrité, etc. En somme, cette personne a accès à des informations sensibles.

Pour atteindre une cible spécifique, le pirate réalise de l’ingénierie sociale approfondie. Il scrute ses réseaux sociaux où il a tendance à partager des informations sur des événements importants dans sa vie. Cette étude lui permet ensuite de se faire passer pour un conseiller client, un collègue ou encore un fournisseur.

Dans le cas d’un fournisseur par exemple, il peut envoyer un mail demandant le paiement d’une facture avant son départ en vacances. Lorsqu’il vise un haut cadre ou une cible plus riche, ce type d’attaque est appelé chasse à la baleine.

Business e-mail compromise (BEC) ou compromission de messagerie professionnelle

Le BEC repose sur le même principe que le spear phishing à la différence qu’il vise à voler des informations précieuses au sein d’une organisation (données clients, secrets commerciaux, etc.) Ce type d’attaque porte également le nom de fraude au PDG. En effet, l’escroc usurpe l’identité d’un dirigeant ou d’un cadre supérieur afin d’ordonner à un employé subordonné de réaliser une action précise. Le mail peut intimer l’envoi de fichiers sensibles à un destinataire non connu, le versement de fonds dans un compte, le paiement d’une facture auprès du nouveau compte d’un fournisseur, etc.

Le BEC exploite d’abord les failles des employés à travers le spear phishing. Lorsque le pirate accède au réseau, il peut enfin usurper le compte de messagerie d’un dirigeant. Selon un rapport de Microsoft, des attaques BEC réussies coûtent des millions de dollars aux entreprises chaque année. En 2012, un cabinet lyonnais a perdu sept millions d’euros à cause de ce type d’attaque. En 2021, une autre société basée dans la Marne a perdu plusieurs millions d’euros lorsque les pirates ont usurpé l’identité du dirigeant.

Selon une étude réalisée en France, les sujets des mails de phishing étaient généralement sans grand intérêt. Ils traitaient de questions banales qui n’éveillent pas la méfiance des utilisateurs. Néanmoins, elles sont suffisamment intéressantes pour qu’ils les ouvrent.

Le retard de livraison

Ce type de message est utilisé par les cybercriminels depuis de nombreuses années. Sa crédibilité est renforcée par la hausse des livraisons à domicile grâce à l’essor du e-commerce. Le mail informe que le transporteur actuel ne peut pas assurer la livraison et invite le destinataire à changer de transporteur.

La réception de message provenant des réseaux sociaux

Les fausses notifications proviennent majoritairement de LinkedIn. Les utilisateurs sont tentés de cliquer dessus de peur de passer à côté d’une opportunité d’emploi. Les cybercriminels profitent pourtant du contexte actuel pour attirer le plus de personnes.

Le retard du récapitulatif d’impôt

Le mail informe d’un retard de l’arrivée du document fiscal. Le destinataire est alerté immédiatement par ce retard et veut en savoir davantage sur sa durée.

L’envoi de document sécurisé

En apparence, le mail semble provenir des RH et invite l’utilisateur à consulter un document sécurisé. Pour cela, il doit pourtant saisir des identifiants de connexion. Cette action risque de changer les paramètres d’un ordinateur. Elle risque même de compromettre son bon fonctionnement.

La maintenance programmée du serveur

Avec l’essor du télétravail, les salariés veulent connaître les détails de cette éventuelle coupure pour s’organiser.

L’usurpation d’identité est monnaie courante dans les attaques de phishing. Elle représente 14,2 % des attaques identifiées entre mai 2022 et mai 2023 selon un rapport de Cloudflare. À ce chiffre s’ajoute l’usurpation de marque qui s’élève à 5,4. Les hackers se font passer pour une marque ou une entreprise pour mettre en confiance leurs victimes. De son côté, la compromission du courrier électronique professionnel (DEC) représente 0,5 % des attaques en France.

Sur un milliard de courriers malveillants détectés, les hackers prennent l’identité d’au moins 1000 entreprises. Néanmoins, une vingtaine de marques concentre l’usurpation d’identité. En tête du classement se trouve Microsoft. Google, SpaceX, l’OMS (Organisation mondiale de la santé) et Salesforce complètent le top 5.

Concernant les réseaux sociaux, YouTube, Instagram, Facebook, Pinterest et Whatspp sont les plateformes les plus usurpées.

Une autre étude menée par CheckPoint révèle de son côté que LinkedIn représente 52 % des attaques par usurpation de réseau social au premier trimestre 2022. Cette même étude souligne la présence des entreprises de services tels que Fedex, DHL et Maersk dans les marques les plus utilisées par les pirates.

Les hackers travaillent soigneusement l’authenticité des mails de phishing pour tromper le destinataire. Néanmoins, certains indices peuvent les alerter :

Les fautes d’orthographe

Les e-mails frauduleux contiennent généralement des fautes de grammaires et d’orthographes. Pourtant, les mails professionnels sont soumis à une vérification orthographique automatique avant l’envoi. Il est rare qu’ils contiennent des fautes.

L’utilisation d’un domaine de messagerie public

Si le destinataire a des doutes sur la provenance d’un e-mail, il peut vérifier la différence entre les adresses électroniques comme le nom de domaine par exemple. Prenons l’exemple d’un mail provenant d’un fournisseur, celui-ci devrait être envoyé depuis une adresse avec le nom de domaine de messagerie de l’entreprise. Si ce dernier ne correspond pas au nom de la société, il s’agit sûrement d’un mail de phishing.

La création d’un sentiment d’urgence

Les hackers suscitent un sentiment d’urgence chez le destinataire. Le contenu du mail intime des conséquences négatives indirectement en l’absence d’action. Face à l’urgence, le lecteur peut passer à l’action et accomplir une tâche que le hacker ordonne.

La présence de liens ou de pièces jointes suspects

La prudence est de mise à chaque ouverture d’une pièce jointe. Si l’extension du fichier ressemble à celle d’un logiciel qui demande à être installé, il s’agit d’un malware. L’analyse des pièces jointes est recommandée à leur ouverture.

Face à la hausse des attaques par phishing, le marché propose différents types de solutions pour bloquer ces attaques. Des outils spécialisés comme les pare-feux et les filtres antiphishing ont contribué à réduire les risques de cyberattaques. Néanmoins, les hackers se concentrent désormais sur le facteur humain. Les salariés deviennent le point d’entrée dans le système informatique d’une organisation.

L’humain : le facteur principal des attaques de phishing

Selon le rapport d’IBM concernant la sécurité informatique, 90 % des incidents de cybersécurité proviennent d’une erreur humaine. Cela se traduit par l’activation d’un virus, le clic sur un lien suspect, la consultation d’un site web douteux, etc.

Les cyberattaques provoquées par une erreur humaine concernent surtout les PME et TPE selon ce même rapport. Près de la moitié des entreprises ayant fait l’objet de l’étude ne sont pas confiantes dans l’aptitude de leurs salariés à reconnaître une menace.

À titre d’exemple, 46 % des entreprises estiment que la négligence et le manque d’information des employés sont à l’origine des incidents de cybersécurité.

Ces chiffres d’IBM confortent l’importance d’une sensibilisation massive à la sécurité informatique. Les salariés ont besoin d’une formation pour réveiller leur prise de conscience et les motiver à adopter les bonnes pratiques.

Les différentes formes de formation en phishing

Sachant que les techniques de phishing sont en constante évolution, les formations proposées doivent également suivre le rythme. Face à ce défi, les formes de formation les plus populaires sont :

• La simulation de phishing par e-mail : les salariés reçoivent un e-mail de phishing réaliste. L’objectif est d’évaluer leur réaction face à ce type de mail. Certains fournisseurs proposent à leur client des mails prêts à l’emploi. Le responsable informatique peut ainsi diffuser le message sans assistance technique et gagner du temps.
• La simulation d’attaque par ingénierie sociale : le contenu porte ici sur une histoire fictive afin de manipuler et influencer le comportement du destinataire. L’objectif est de tester la réaction des salariés à cette méthode plus sophistiquée.
• La simulation de phishing en ligne : cette fois, la simulation se déroule sur les réseaux sociaux. Le faux mail provient d’un ami ou d’un collègue et invite le destinataire à compromettre ses données personnelles.
• La gamification : Ce concept repose sur les jeux vidéos afin d’offrir une expérience ludique aux salariés durant la formation. De plus en plus d’entreprises se servent de la gamification afin de rendre la formation plus ludique et par conséquent, mémorable.

Afin d’optimiser l’efficacité de la sensibilisation, de nombreuses entreprises misent sur la combinaison de plusieurs méthodes.

Les bonnes pratiques à adopter

Face au sentiment d’urgence suscité par un courriel, le destinataire ne doit pas paniquer. Cela évite d’accomplir des gestes comme cliquer un lien ou ouvrir une pièce jointe. En prenant le temps d’analyser, il peut identifier quelques indices pour ne pas tomber dans le piège.

Les attaques de phishing invitent généralement les cibles à saisir des informations personnelles via un formulaire ou à envoyer ces données par mail. Avant de donner des informations sensibles, il est important de s’assurer que le site web est bien sécurisé.

Les mails de phishing contiennent souvent des liens qui redirigent vers un site malveillant. Pour s’assurer que l’URL est de confiance, il suffit de le survoler afin de vérifier que le lien mène bien à l’adresse qu’il indique. Dans certains cas, les hackers se servent des services comme bitly pour raccourcir les URL. Ceci empêche les cibles d’identifier leur destination. À noter qu’une entreprise légitime utilise rarement ce type de service pour envoyer un lien.

Avant d’activer un contenu dans Office, il est important de s’assurer de sa source. Si le destinataire a des doutes, il peut contacter l’expéditeur pour obtenir une confirmation. Celui-ci peut répondre que son identité a été usurpée ou qu’il s’agit bien de lui.

L’utilisation d’un logiciel anti-hameçonnage contribue aussi à bloquer ces menaces. Néanmoins, il faut le mettre régulièrement à jour pour éviter que les pirates exploitent leur vulnérabilité.