bg-home-extralarge bg-home

Le Lab 22 Novembre 2022

Qu’est-ce que le spoofing ?

Contenu mis à jour le
spoofing-image-avant-guardia
Longtemps sous-considérées, les cybermenaces sont « enfin » devenues un sujet de premier plan pour les entreprises et la société publique en général : leurs conséquences terribles pour la sécurité des données personnelles ou la sécurité financière des personnes et des structures est désormais prise au sérieux et donne lieu à des stratégies de protection renforcées. C’est tout l’enjeu de la cybersécurité. La dangerosité des cybermenaces est non seulement liée à leur complexité technique, mais aussi à la grande variabilité de leurs formes. Pour construire une cyberdéfense efficace, il convient donc d’avoir la meilleure connaissance possible de la typologie des menaces en général, et de chaque menace en particulier. Aujourd’hui, nous vous proposons de nous pencher sur le cas du spoofing, source de bien des difficultés.

Une pratique généralisée et multiforme

Le spoofing fait incontestablement partie des attaques de type informatiques les plus redoutées, aussi bien par les particuliers au fait de ces pratiques que par les entreprises et les structures publiques. Cette « peur » du spoofing ne tient pas forcément à sa sophistication technique : ce type d’attaque peut prendre des formes très évoluées comme très basiques. Mais ceux qui le pratiquent misent surtout et avant tout sur le manque de vigilance de leurs victimes potentielles. Comment réussissent-ils à passer inaperçu et quel est le mode opératoire de cette cybermenace persistante ?

Définition générale du spoofing

Le « spoofing », en anglais, c’est le phénomène d’« usurpation ». Appliqué au monde cyber, on comprendra sans trop de difficultés que la cyberattaque dont nous parlons ici est celle qui consiste à usurper une identité électronique – la précision est importante – pour commettre des méfaits dans la sphère numérique, peu importe le vecteur ou le support choisi. 

On classe le spoofing parmi les cyberattaques relevant du social engineering : c’est bien sur un levier psychologique que jouent les pirates, en se plaçant du côté de l’abus de confiance ou de la crédulité. La partie technique du spoofing n’arrive qu’en second plan, mais elle ne doit pas être pour autant négligée.

On relève de fait différentes formes d’attaques par usurpation d’identité, selon l’identité qui est contournée. 

Les différents types de spoofing

Le spoofing désigne toutes les techniques, sans exception, qui passent par une usurpation d’identité électronique. Elles visent en règle générale à détourner des sommes d’argent en récupérant des données sensibles ou à faire usage d’autres informations confidentielles pour nuire à la victime. Voici par quels biais les hackers peuvent parvenir à leurs fins.

Le spoofing par usurpation d’adresse e-mail

C’est la forme la plus simple et la plus répandue d’usurpation d’identité électronique à des fins frauduleuses. Et c’est certainement aussi la forme de spoofing qui illustre le mieux sa complexité. Il existe en effet mille et une façons de tromper un utilisateur et de lui faire croire que l’e-mail qu’il vient de recevoir provient bien d’un parent, d’un ami, d’une administration publique bien connue ou de son employeur – en un mot, d’une personne ou d’une entité de confiance

La plupart du temps, les hackers « imitent » une adresse existante : ils se contentent de modifier un seul caractère dans le modèle de base, en ajoutant une lettre, en supprimant un signe ou en en modifiant la forme. Prenons un exemple concret : il suffit de remplacer un « l » minuscule par un « i » majuscule dans une adresse @laposte.net – qui devient dès lors @Iaposte.net – pour passer inaperçu et obtenir des informations cruciales de la part du destinataire !

Une autre méthode très courant consiste à changer une terminaison en .com en .co : le « m » manquant saute plus facilement aux yeux, mais nous sommes tellement habitués à voir ces adresses électroniques que nos propres yeux nous trompent par habitude. La lecture rapide et les biais qui sont en œuvre dans notre cerveau sont donc bien les premières armes des professionnels du spoofing !

Le spoofing par usurpation d’alias

Dans le cas du spoofing passant par l’alias, l’usurpation d’identité se fait de manière partielle : on utilise le nom d’utilisateur associé à une adresse électronique donnée, mais pas l’adresse électronique elle-même. Cette technique a plus de chances de réussir lorsque le destinataire consulte ses mails sur téléphone : en règle générale, les paramétrages d’affichage permettent de voir uniquement le nom d’utilisateur apparaître à l’écran. Une fois de plus, les spoofers – comme on désigne les as du spoofing – misent sur notre manque de vigilance et une grande envie d’immédiateté (« je veux aller le plus vite possible et faire défiler le plus vite possible ») pour réussir leur coup.

Concrètement, même si les hackers passent par une adresse suspicieuse du type klpmgtvzd@gmail.com, ils peuvent se contenter de renseigner BNP Paribas, CAF ou Fnac dans les champs d’identification « nom, prénom » pour que vous n’y voyiez que du feu et ouvriez le message sans y réfléchir à deux fois.

Le cas particulier de la Fraude au Président ou Faux Ordre de Virement (FOVI)

La Fraude au Président n’est rien d’autre qu’un cas d’usurpation d’alias spécifique. Dans ce cas de figure, il s’agit de reproduire les nom et prénom d’une personne à responsabilité dans une très grande entreprise ou un groupe d’entreprise afin de tromper la vigilance d’un employé et d’obtenir de lui qu’il effectue un virement bancaire sous les plus brefs délais. Le fraudeur demande toujours à ce que ce virement soit opéré dans les plus strictes conditions de confidentialité. La plupart du temps, la demande est effectuée auprès d’un collaborateur dans une filiale, qui a des chances minimes de connaître personnellement cette personne haut placée dans le groupe. Et, pour finir de brouiller les pistes, c’est un virement international qui est demandé dans 99 % des cas.

L’IP spoofing

La dernière figure de spoofing passe par l’usurpation d’adresse IP. C’est sur ce terrain que se déploient les techniques les plus sophistiquées. Le hacker prend pour point d’accroche une adresse IP qui n’est pas la sienne – qu’il usurpe, en d’autres termes – pour envoyer des paquets IP. Pour rappel, le paquet IP désigne de manière globale un ensemble de données transmis d’un point A à un point B d’un réseau.

L’envoi de paquets nous renseigne clairement sur l’impact de l’IP spoofing : il ne s’agit plus ici de viser un utilisateur en particulier, mais tout le réseau. Cela explique que l’IP spoofing soit l’une des meilleures bases pour lancer des attaques de type DDoS (Distributed Denial of Service Attack). À travers cette cyberattaque, le but est de compromettre le fonctionnement du réseau informatique en bloquant un serveur web, un serveur de fichier ou des boîtes mail. Des robots sont mobilisés en grand nombre pour saturer le système attaqué, provoquant des pannes et dysfonctionnements en série. 

L’intérêt de l’IP spoofing pour lancer une attaque de type déni de service ? Il permet aux hackers de se dissimuler en brouillant les pistes, puisque l’adresse IP de l’ordinateur à l’origine de la cyberattaque n’est pas la bonne !

Et le smart spoofing, c’est quoi au juste ?

Le smart spoofing reste dans le champ de l’usurpation d’adresse IP. Dans le cas présent, les fraudeurs choisissent judicieusement l’adresse IP à usurper pour s’en servir comme sésame et accéder à toute une série d’applications et services sur un réseau.

L’ARP spoofing

Il s’agit ici plus précisément d’usurper le protocole de résolution d’une adresse. La méthode est simple : la victime se connecte à l’attaquant en pensant se connecter à son réseau habituel et une récupération de données peut être opérée en toute discrétion par les hackers.

Comment lutter contre le spoofing ?

On l’aura compris : la simplicité de mise en œuvre du spoofing et l’étendue de ses champs d’application en font une menace critique pour les entreprises, les services publics et les particuliers. Prendre en compte cette pratique et adopter les bons comportements, ainsi que les bons outils, est donc la base lorsque l’on décide d’intégrer les enjeux de la cybersécurité. Voici un petit tour d’horizons des mesures de précaution à prendre, selon les possibilités de chaque entité.

Sensibilisation et formation : les meilleures armes 

Le manque de vigilance et d’attention qui favorise la réussite d’une opération de spoofing n’est pas un problème propre à cette cyberattaque. Pour toutes les attaques informatiques, c’est le facteur humain qui est la première faille exploitable – et exploitée – par les hackers. La performance technique du virus lâché dans la nature ou du logiciel qui est lancé n’est que secondaire, aussi surprenant que cela puisse paraître.

Aussi, c’est en avertissant les usagers – qu’il s’agisse de simples internautes ou d’équipes de salariés – que l’on dresse une première barrière efficace, bien que souvent non suffisante, face aux pirates. Cela peut passer par de simples actions de sensibilisation auprès du public ou des équipes. Dans le cadre professionnel, les entreprises ont tout intérêt à mettre en place des formations plus cadrées et plus détaillées : les enjeux stratégiques et financiers étant plus importants, cet investissement  s’impose de lui-même.

Pour alerter les particuliers et attirer leur attention, on préfère souvent utiliser le nom de « spammeurs » avant d’en venir à la spécificité des « spoofers » et de leurs pratiques.

Une solution simple pour tous : le filtre

Pour les particuliers comme pour les professionnels, il est fortement recommandé d’installer un filtre sur les paquets :

  • du routeur ;
  • et des passerelles de sécurité.

De cette manière, le réseau refusera automatiquement l’accès à tous les paquets de données entrants dès lors que leurs coordonnées ne sont pas reconnues par le système. La même règle de refus sera appliquée aux paquets sortants, dès lors que les adresses d’expédition ne font pas partie du réseau.

On recommande notamment aux entreprises :

  • de souscrire un abonnement à un service de filtre anti-spam en choisissant le plus haut niveau d’efficacité et de protection. Il est vivement conseillé de prendre le temps de comparer différentes solutions avant d’en retenir une ;
  • de réévaluer la pertinence de ce service de filtre sur une base annuelle, en fonction de l’évolution des menaces et des besoins de l’entreprise.

Chiffrage et cryptage : le b.a.-ba

Il est tout aussi important et efficace de vérifier que les méthodes d’authentification passent par des connexions chiffrées, dès lors que l’on veut se prémunir contre l’usurpation d’adresse IP.

Pou les structures publiques et les entreprises, s’équiper d’un système de gestion des données  (SGDD) complet est indispensable. Un système opérationnel combine et centralise différentes solutions intervenant aussi bien sur le chiffrement, les droits d’accès ou les méthodes d’authentification, pour une protection maximale.

Désigner un responsable dédié au sein de sa structure

Enfin, un geste très simple mais très porteur consiste à désigner un responsable assurant l’administration et le suivi du système de messagerie interne et du service de filtrage des spams. Ce responsable peut aussi bien être :

  • une personne désignée en interne (un employé) ;
  • une personne désignée en externe (un expert indépendant ou rattaché à un cabinet d’assurance en cybersécurité, par exemple) ;
  • une structure externe, comme une entreprise de services du numérique.

Contrairement aux appréhensions qui pourraient être légitimes, ce genre de fonction peut se révéler relativement dynamique et prenante, en raison notamment de l’évolution des équipes et de l’évolution des menaces.

En conclusion, le spoofing nous rappelle qu’en dépit de la puissance technique des hackers, la cyberdéfense peut commencer par des habitudes et des outils simples. Aucun individu et aucune structure n’est entièrement démuni face aux menaces cyber : la première arme reste la prise de conscience !
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

FAQ

Comment savoir si on est victime de spoofing ?

La meilleure façon de détecter une tentative de spoofing est de redoubler de vigilance et d’adopter des réflexes de vérification au moment de consulter ses mails et d’ouvrir ses messages électroniques. Il s’agit d’une méthode de base pour repérer les actes frauduleux et éviter de cliquer sur un contenu malhonnête. Les spoofers ont tout intérêt à être repérés le plus tard possible, notamment lorsque leur but est d’extorquer des fonds. Dans la plupart des cas, c’est d’ailleurs lorsque la victime repère une arnaque financière sur ses comptes ou celui de l’entreprise qu’elle prend connaissance du spoofing dont ses outils informatiques ont fait l’objet.

Quelle est la différence entre spoofing et phishing ?

La confusion entre spoofing et phishing est relativement commune. Dans le cas du spoofing, il s’agit de voler directement l’identité d’un utilisateur pour mettre en œuvre une action malveillante. Dans le cas du phishing, l’utilisateur – c’est-à-dire la victime – est conduit à déclencher cette action malveillante. Dans ce deuxième cas (phishing), l’utilisateur fera lui-même les frais de l’opération malveillante – ou bien la structure pour laquelle il travaille (une version extrapolée de lui-même). Dans le premier cas (spoofing), l’utilisateur-victime est un biais pour affecter un autre utilisateur – ou la structure pour laquelle il travaille (qu’on considère dans ce cas comme une personne tierce), ou encore une autre structure. Sur cette base, on qualifie le spoofing de méthode de livraison, alors que le phishing est une méthode de récupération.

Quelles sont les autres formes de spoofing ?

On parle de « spoofing carte bancaire » lorsque des codes de carte bleue sont dérobés en captant les données sur un portail numérique (un site de e-commerce, un service d’impôts, une boîte mail,…). En dehors de la sphère cyber, on parle également de « spoofing téléphonique » lorsque l’appelant affiche un faux numéro afin d’inspirer confiance à l’interlocuteur et d’obtenir son attention, puis on adhésion à une proposition plus ou moins malhonnête.

Quel est l’impact du spoofing en chiffres ?

Bien que faisant partie des cyberattaques les plus communes à l’heure actuelle, le spoofing est relativement difficile à tracer et quantifier. Il n’apparaît pas toujours dans les listes et les chiffrages des études sur la cybersécurité. Lorsqu’il est bien pris en compte, il se concentre en général sur l’usurpation d’adresse e-mail. Une attention particulière est aussi portée à la Fraude au Président mais, dans ce cas également, les chiffres semblent plus difficiles à collecter que pour les autres types d’attaques cyber.

Le lab

Analyses et démocratisation de la cybersécurité

Le Lab est un espace contributif sur la cybersécurité où Guardia invite des professionnels et des experts du secteur à partager leurs travaux de recherche.

header perspectives cybersecurite 2023

Perspectives de la cybersécurité pour 2023

En 2020, elles franchissaient la barre symbolique des 1 000... Voir la suite

spoofing-image-avant-guardia

Qu’est-ce que le spoofing ?

Longtemps sous-considérées, les cybermenaces sont « enfin » devenues un sujet de... Voir la suite

OSINT

Qu’est-ce que l’OSINT ?

Alors qu’entreprises et pouvoirs publics ont (enfin) reconnu la cybersécurité... Voir la suite