Une pratique généralisée et multiforme
Le spoofing fait incontestablement partie des attaques les plus redoutées, aussi bien par les particuliers que par les entreprises et les structures publiques. Cette « peur » du spoofing ne tient pas forcément à sa sophistication technique : ce type d’attaque peut prendre des formes très évoluées comme très basiques. Mais ceux qui le pratiquent misent surtout et avant tout sur le manque de vigilance de leurs victimes potentielles. Comment réussissent-ils à passer inaperçu et quel est le mode opératoire de cette cybermenace persistante ?
Définition générale du spoofing
Le « spoofing », en anglais, c’est le phénomène d’« usurpation ». Appliqué au monde cyber, on comprendra sans trop de difficultés que la cyberattaque dont nous parlons ici est celle qui consiste à usurper une identité électronique – la précision est importante – pour commettre des méfaits dans la sphère numérique, peu importe le vecteur ou le support choisi.
On classe le spoofing parmi les cyberattaques relevant du social engineering : c’est bien sur un levier psychologique que jouent les pirates, en se plaçant du côté de l’abus de confiance ou de la crédulité. La partie technique du spoofing n’arrive qu’en second plan, mais elle ne doit pas être pour autant négligée.
On relève de fait différentes formes d’attaques par usurpation d’identité.
Les différents types de spoofing
Le spoofing désigne toutes les techniques, sans exception, qui passent par une usurpation d’identité électronique. Elles visent en règle générale à détourner des sommes d’argent en récupérant des données sensibles ou à faire usage d’autres informations confidentielles pour nuire à la victime. Voici par quels biais les hackers peuvent parvenir à leurs fins.
Le spoofing par usurpation d’adresse e-mail
C’est la forme la plus simple et la plus répandue d’usurpation d’identité électronique à des fins frauduleuses. Et c’est certainement aussi la forme de spoofing qui illustre le mieux sa complexité. Il existe en effet mille et une façons de tromper un utilisateur et de lui faire croire que l’e-mail qu’il vient de recevoir provient bien d’un parent, d’un ami, d’une administration publique bien connue ou de son employeur – en un mot, d’une personne ou d’une entité de confiance.
La plupart du temps, les hackers « imitent » une adresse existante : ils se contentent de modifier un seul caractère dans le modèle de base, en ajoutant une lettre, en supprimant un signe ou en en modifiant la forme (address mail typosquatting). Prenons un exemple concret : il suffit de remplacer un « l » minuscule par un « i » majuscule dans une adresse @laposte.net – qui devient dès lors @Iaposte.net – pour passer inaperçu et obtenir des informations cruciales de la part du destinataire !
Une autre méthode très courante consiste à changer une terminaison en .com en .co : le « m » manquant saute plus facilement aux yeux, mais nous sommes tellement habitués à voir ces adresses électroniques que nos propres yeux nous trompent par habitude. La lecture rapide et les biais qui sont en œuvre dans notre cerveau sont donc bien les premières armes des professionnels du spoofing !
Le spoofing par usurpation d’alias
Dans le cas du spoofing passant par l’alias, l’usurpation d’identité se fait de manière partielle : on utilise le nom d’utilisateur associé à une adresse électronique donnée, mais pas l’adresse électronique elle-même. Cette technique a plus de chances de réussir lorsque le destinataire consulte ses mails sur téléphone : en règle générale, les paramètres d’affichage permettent de voir uniquement le nom d’utilisateur apparaître à l’écran. Une fois de plus, les spoofers – comme on désigne les as du spoofing – misent sur notre manque de vigilance et une grande envie d’immédiateté (« je veux aller le plus vite possible et faire défiler le plus vite possible ») pour réussir leur coup.
Concrètement, même si les hackers passent par une adresse suspicieuse du type klpmgtvzd@gmail.com, ils peuvent se contenter de renseigner BNP Paribas, CAF ou Fnac dans les champs d’identification « nom, prénom » pour que vous n’y voyiez que du feu et ouvriez le message sans y réfléchir à deux fois.
Le cas particulier de la Fraude au Président ou Faux Ordre de Virement (FOVI)
La Fraude au Président n’est rien d’autre qu’un cas d’usurpation d’alias spécifique. Dans ce cas de figure, il s’agit de reproduire les nom et prénom d’une personne à responsabilité dans une très grande entreprise ou un groupe d’entreprise afin de tromper la vigilance d’un employé et d’obtenir de lui qu’il effectue un virement bancaire sous les plus brefs délais. Le fraudeur demande toujours à ce que ce virement soit opéré dans les plus strictes conditions de confidentialité. La plupart du temps, la demande est effectuée auprès d’un collaborateur dans une filiale, qui a des chances minimes de connaître personnellement cette personne haut placée dans le groupe. Et, pour finir de brouiller les pistes, c’est un virement international qui est demandé dans 99 % des cas.
L’IP spoofing
La dernière figure de spoofing passe par l’usurpation d’adresse IP. C’est sur ce terrain que se déploient les techniques les plus sophistiquées. Le hacker prend pour point d’accroche une adresse IP qui n’est pas la sienne – qu’il usurpe, en d’autres termes – pour envoyer des paquets IP. Pour rappel, le paquet IP désigne de manière globale un ensemble de données transmis d’un point A à un point B d’un réseau.
L’envoi de paquets nous renseigne clairement sur l’impact de l’IP spoofing : il ne s’agit plus ici de viser un utilisateur en particulier, mais tout le réseau. Cela explique que l’IP spoofing soit l’une des meilleures bases pour lancer des attaques de type DDoS (Distributed Denial of Service Attack). À travers cette cyberattaque, le but est de compromettre le fonctionnement du réseau informatique en bloquant un serveur web, un serveur de fichier ou des boîtes mail. Des robots sont mobilisés en grand nombre pour saturer le système attaqué, provoquant des pannes et dysfonctionnements en série.
L’intérêt de l’IP spoofing pour lancer une attaque de type déni de service ? Il permet aux hackers de se dissimuler en brouillant les pistes, puisque l’adresse IP de l’ordinateur à l’origine de la cyberattaque n’est pas la bonne !
Et le smart spoofing, c’est quoi au juste ?
Le smart spoofing reste dans le champ de l’usurpation d’adresse IP. Dans le cas présent, les fraudeurs choisissent judicieusement l’adresse IP à usurper pour s’en servir comme sésame et accéder à toute une série d’applications et services sur un réseau.
L’ARP spoofing
Il s’agit ici plus précisément d’usurper le protocole de résolution d’une adresse. La méthode est simple : la victime se connecte à l’attaquant en pensant se connecter à son réseau habituel et une récupération de données peut être opérée en toute discrétion par les hackers.
Comment lutter contre le spoofing ?
On l’aura compris : la simplicité de mise en œuvre du spoofing et l’étendue de ses champs d’application en font une menace critique pour les entreprises, les services publics et les particuliers. Prendre en compte cette pratique et adopter les bons comportements, ainsi que les bons outils, est donc la base lorsque l’on décide d’intégrer les enjeux de la cybersécurité. Voici un petit tour d’horizons des mesures de précaution à prendre, selon les possibilités de chaque entité.
Sensibilisation et formation : les meilleures armes
Le manque de vigilance et d’attention qui favorise la réussite d’une opération de spoofing n’est pas un problème propre à cette cyberattaque. Pour toutes les attaques informatiques, c’est le facteur humain qui est la première faille exploitable – et exploitée – par les hackers. La performance technique du virus lâché dans la nature ou du logiciel qui est lancé n’est que secondaire, aussi surprenant que cela puisse paraître.
Aussi, c’est en avertissant les usagers – qu’il s’agisse de simples internautes ou d’équipes de salariés – que l’on dresse une première barrière efficace, bien que souvent non suffisante, face aux pirates. Cela peut passer par de simples actions de sensibilisation auprès du public ou des équipes. Dans le cadre professionnel, les entreprises ont tout intérêt à mettre en place des formations. Les enjeux stratégiques et financiers étant plus importants, cet investissement s’impose de lui-même.
Pour alerter les particuliers et attirer leur attention, on préfère souvent utiliser le nom de « spammeurs » avant d’en venir à la spécificité des « spoofers » et de leurs pratiques.
Une solution simple pour tous : le filtre
Pour les particuliers comme pour les professionnels, il est fortement recommandé d’installer un filtre sur les paquets :
- Du routeur ;
- Des passerelles de sécurité.
De cette manière, le réseau refusera automatiquement l’accès à tous les paquets de données entrant dès lors que leurs coordonnées ne sont pas reconnues par le système. La même règle de refus sera appliquée aux paquets sortants, dès lors que les adresses d’expédition ne font pas partie du réseau.
On recommande notamment aux entreprises :
- De souscrire un abonnement à un service de filtre anti-spam en choisissant le plus haut niveau d’efficacité et de protection. Il est vivement conseillé de prendre le temps de comparer différentes solutions avant d’en retenir une ;
- De réévaluer la pertinence de ce service de filtre sur une base annuelle, en fonction de l’évolution des menaces et des besoins de l’entreprise.
- D’implémenter DKIM, SPF et DMARC sur le serveur mail. Ce sont des protections qui garantissent la provenance et permettent d’éviter le spoofing du mail de la société.
Chiffrement et certificats : le b.a.-ba
Il est tout aussi important et efficace de vérifier que les méthodes d’authentification passent par des connexions chiffrées, dès lors que l’on veut se prémunir contre l’usurpation d’adresse IP.
Pour les structures publiques et les entreprises, s’équiper d’un système de gestion de base de données (SGBD) complet peut être utile, ainsi que de déployer une PKI (Public Key Infrastructure) afin de pouvoir délivrer des certificats sur les différents applicatifs. Un système opérationnel combiné qui centralise différentes solutions intervenant aussi bien sur le chiffrement, les droits d’accès ou les méthodes d’authentification, pour une protection maximale. Il peut également être utile d’implémenter le chiffrement des mails (via le protocole PGP). »
Désigner un responsable dédié au sein de sa structure
Enfin, un geste très simple mais très porteur consiste à désigner un responsable assurant l’administration et le suivi du système de messagerie interne et du service de filtrage des spams. Ce responsable peut aussi bien être :
- Une personne en interne (un employé) ;
- Une personne en externe (un expert indépendant ou rattaché à un cabinet d’assurance en cybersécurité, par exemple) ;
- Une structure externe, comme une entreprise de services du numérique.
Contrairement aux appréhensions qui pourraient être légitimes, ce genre de fonction peut se révéler relativement dynamique et prenante, en raison notamment de l’évolution des équipes et de l’évolution des menaces.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
FAQ
La meilleure façon de détecter une tentative de spoofing est de redoubler de vigilance et d’adopter des réflexes de vérification au moment de consulter ses mails et d’ouvrir ses messages électroniques. Il s’agit d’une méthode de base pour repérer les actes frauduleux et éviter de cliquer sur un contenu malhonnête. Les spoofers ont tout intérêt à être repérés le plus tard possible, notamment lorsque leur but est d’extorquer des fonds. Dans la plupart des cas, c’est d’ailleurs lorsque la victime repère une arnaque financière sur ses comptes ou celui de l’entreprise qu’elle prend connaissance du spoofing dont ses outils informatiques ont fait l’objet.
La confusion entre spoofing et phishing est relativement commune. Dans le cas du spoofing, il s’agit de voler directement l’identité d’un utilisateur pour mettre en œuvre une action malveillante. Dans le cas du phishing, l’utilisateur – c’est-à-dire la victime – est conduit à déclencher cette action malveillante. Dans ce deuxième cas (phishing), l’utilisateur fera lui-même les frais de l’opération malveillante – ou bien la structure pour laquelle il travaille (une version extrapolée de lui-même). Dans le premier cas (spoofing), l’utilisateur-victime est un biais pour affecter un autre utilisateur – ou la structure pour laquelle il travaille (qu’on considère dans ce cas comme une personne tierce), ou encore une autre structure. Sur cette base, on qualifie le spoofing de méthode de livraison, alors que le phishing est une méthode de récupération.
On parle de « spoofing carte bancaire » lorsque des codes de carte bleue sont dérobés en captant les données sur un portail numérique (un site de e-commerce, un service d’impôts, une boîte mail,…). En dehors de la sphère cyber, on parle également de « spoofing téléphonique » lorsque l’appelant affiche un faux numéro afin d’inspirer confiance à l’interlocuteur et d’obtenir son attention, puis on adhésion à une proposition plus ou moins malhonnête.
Bien que faisant partie des cyberattaques les plus communes à l’heure actuelle, le spoofing est relativement difficile à tracer et quantifier. Il n’apparaît pas toujours dans les listes et les chiffrages des études sur la cybersécurité. Lorsqu’il est bien pris en compte, il se concentre en général sur l’usurpation d’adresse e-mail. Une attention particulière est aussi portée à la Fraude au Président mais, dans ce cas également, les chiffres semblent plus difficiles à collecter que pour les autres types d’attaques cyber.
