croco secu #2 - les attaques en phishing


Voir la vidéo directement sur Dailymotion

Les attaques en phishing (ou "hameçonnage") ont pour but de vous inciter à fournir des informations sensibles ou personnelles. Ce type d'attaques exploite la confiance naturelle des personnes pour une société, une organisation ou une marque.

Il n'est pas possible de se protéger totalement contre les attaques de phishing. A ce jour, il n'existe pas de logiciel ou de solution technique "miracle" pour lutter. Se protéger nécessite des changements de comportement, au sein des organisations et à titre personnel.

un piège machiavélique

Un email de phishing commence toujours par vous raconter une belle histoire. Votre compte a été bloqué suite à une vérification de sécurité, il faut maintenant en vérifier les informations. Autre exemple, le paiement de l'une de vos factures a été refusé et il faut vérifier ou confirmer que toutes vos informations bancaires sont exactes.

Une attaque de phishing s'appuie sur un mécanisme simple et machiavélique : l’email de phishing incite le destinataire à agir rapidement. L’utilisateur, dans l’urgence, sera tenté de suivre les instructions sans réfléchir pour se protéger. Évidemment, c'est là que réside le piège. Sur Internet, a priori personne ne vous veut de bien... surtout pas en vous envoyant un email !

le Spear Phishing, une variante encore plus dangereuse

Le Spear Phishing est une variante du phishing qui cible de façon encore plus précise des personnes appartenant à une organisation ou une société. Il ne s'agit plus de pêcher à l'aveugle, mais de façon ciblée et de manière extrêmement professionnelle. Une attaque de Spear Phishing demande plus de temps et d'efforts de préparation, mais les conséquences sont de taille ! Le Spear phishing est le moyen utilisé pour pénétrer les réseaux et systèmes parmi les plus sécurisés.

des signes pour détecter un email de phishing

Ils sont souvent truffés de fautes ou de phrases mal formulées. Si le message reçu contient des fautes d'orthographe ou de grammaire, c'est qu'il s'agit très sûrement d'un email de phishing.

S’il est écrit que vous devez agir très rapidement (dans les 24 ou 48 heures), alors c'est le jackpot ! L’attaquant crée une situation d’urgence dans le but d’altérer les capacités de raisonnement de la victime. Elle passe en mode "urgence".

Enfin, il y a les liens (URLs) qui pointent vers des sites sans rapport avec leur contenu. Les attaquants prennent soin de "déguiser" les URLs insérées dans les emails pour inciter les personnes (un peu naïve) à cliquer sans se poser de questions.

tout le monde est faillible, y compris les dirigeants et les «vétérans » de l’informatique

Les emails de phishing, et a fortiori en Spear Phishing, sont redoutables. Tout le monde est potentiellement concerné, car il suffit d'une baisse de vigilance ou d'une attaque particulièrement bien préparée pour que le piège fonctionne.

Les dirigeants et autres « vétérans » de l'informatique constituent bien sûr des victimes potentielles de ce type d’attaques. Ils représentent même des cibles de choix d’ attaques en Spear phishing, malgré leur expertise établie !
 

sur Internet, personne ne vous veut de bien

OK, mais que faire ? En tant qu'utilisateur ou employé, il est essentiel d'être méfiant. Si un message reçu de la part d'un collègue vous semble suspect, c'est peut être qu'un Spear Phishing n'est pas loin.

Si vous avez cliqué sur un lien présent dans un email vérifiez systématiquement l'URL de la page affichée dans votre navigateur Internet. Assurez-vous systématiquement que vous êtes sur le bon site avant de continuer. En cas de doute, fermez votre navigateur et ouvrez une nouvelle fenêtre en saisissant vous-même l'URL du site. Ce conseil doit être respecté systématiquement et pas seulement dans le cas d’un email de phishing avéré. Ce n'est qu'au prix d'une vigilance permanente que vous pourrez vous protéger.

des situations frôlant l'absurde

Il existe des emails de phishing suivis d’emails déclarant que l’email précédant n'était pas un phishing , annulant logiquement tout risque, alors qu’il s’agissait bien d’un email de phishing.
De même, certains de ces emails d'alertes sont vrais et conseillent de ne pas cliquer... à juste titre. De quoi dérouter plus d’un utilisateur !

Le phishing est bien le paradis des pirates et des cybercriminels ! Ils l'ont malheureusement bien compris…

Jean-François (aka Jeff) Audenard

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens