Les voleurs ne prennent pas de vacances. Au contraire, les vacances étendent considérablement leur terrain de jeu puisqu’elles sont généralement synonymes de réservation de voyages ou encore de nombreux achats de Noël. D’après Médiamétrie/Netratings, 38 millions de personnes réaliseront leurs achats de Noël en ligne cette année, soit une tendance en forte hausse. Nombreux sont les hackers qui vont profiter de l’aubaine pour voler des identifiants ou pénétrer dans des smartphones pour voler des données ou de l’argent. Les entreprises ne sont évidemment pas à l’abri, elles sont même extrêmement exposées à des failles de sécurité puisque pendant les vacances, leurs employés sont ciblés par de nombreuses attaques de phishing qui peuvent ouvrir les portes du réseau de l’entreprise.

En utilisant des faux emails (offres promotionnelles, etc.) et des faux sites web, le but du phishing est de piéger les employés pour récupérer leurs identifiants de connexions, leurs données personnelles ou encore pour télécharger un malware sur leurs terminaux personnels ou dans le réseau de leur entreprise. Et le but premier des attaques de phishing ciblant les employés est clairement de voler leurs identifiants pour pénétrer le réseau de leur entreprise et commettre des actes malveillants. Malheureusement, les attaques de phishing augmentent inexorablement dans le cadre professionnel et surtout elles sont de plus en plus sophistiquées. Plus de 100 000 attaques de phishing ont été recensées en 2014 alors que certaines marques reçoivent plus de 1 000 attaques de phishing chaque mois.

En moyenne, 8 personnes sur 10 tombent dans le piège  

Aux Etats-Unis, le média CBS News a mené une étude sur le phishing pendant la période de vacances de Noël 2014, en partenariat avec Intel Security, à travers un quizz proposant d’identifier des emails de phishing et des emails légitimes. Plus de 19 000 personnes ont répondu à ce quizz et le résultat est sans appel : 80% des répondants se feraient duper par au moins un phishing dans une série de dix emails, et cliqueraient ainsi sur un lien frauduleux téléchargeant un malware. En France, la société PMU a mené cette année une campagne visant à tester la réaction de ses collaborateurs face au phishing, en leur envoyant un faux email leur proposant de gagner un iPad. Le résultat est tout aussi édifiant : 22% des employés ont ouvert la pièce jointe diffusant ainsi un virus au sein de l’entreprise et 6% (soit environ 120 personnes) ont donné leurs coordonnées personnelles.

Comment cela est-il possible ?

Même les personnes les plus avisées peuvent être amenées à cliquer sur des liens dans des emails, la faute aux hackers – phisheurs – qui utilisent des techniques très sophistiquées pour usurper des identités et duper les destinataires. Les phisheurs sont capables de créer des répliques de vrais sites web qui vont par exemple tromper facilement les employés pendant les vacances. Et les employés ont tendance à baisser encore plus leur garde et leur niveau de vigilance lorsqu’ils sont ciblés par du spear phishing (phishing ciblé), soit une technique consistant à utiliser l’identité d’amis ou de collègues pour rendre leurs emails très convaincants.

> Prenons un exemple concret : un spear phisheur identifie sur LinkedIn et détermine que Pierre et Jean travaillent ensemble dans la même société. Ainsi en se présentant comme Pierre, le phisheur envoie un email à Jean disant : « Salut Jean, jette un œil à cette opération de charité sympa pour laquelle tout le monde va donner dans le bureau pendant les vacances ». Cet email contient un lien vers le site d’une association créée de toutes pièces ou encore vers une fausse version du site d’une association humanitaire bien connue. Avec cet email personnalisé, le phisheur a considérablement augmenté ses chances de voir Jean cliquer sur le lien frauduleux. Une fois que Jean a cliqué, le phisheur va pouvoir télécharger un logiciel malicieux sur le terminal de Jean et lui voler ses identifiants pour accéder au réseau corporate de l’entreprise  et aux donnés stockées.

Fausses promotions

Certains phishing incluent des fausses publicités lors des soldes par exemple. Les phisheurs se font aussi parfois passer pour des sociétés de carte de crédit qui cherchent à vérifier des « paiements suspicieux », en jouant sur l’aspect urgent d’une réaction de la part de l’utilisateur.

Un billet pour nul part

Les voyages sont un autre important vecteur d’attaques de phishing pendant les vacances. Les emails offrant des voyages de dernière minute sont un bon exemple d’emails capables de tromper facilement les utilisateurs en les incitant à cliquer sur un lien malveillant. La compagnie Air Canada a été victime en 2014 d’une attaque de phishing utilisant un faux site web créé par des hackers (source site isitphishing.org). Le site est désormais bloqué mais lorsqu’il était en ligne il était identifiable par son adresse URL (http://pupidolly.com/tr/aircanada/). C’est ce qui a incité des employés de la compagnie à s’interroger sur ce site et à remonter leurs doutes jusqu’aux responsables informatiques. Malheureusement les différentes études et campagnes démontrent que la plupart du temps les employés sont trop occupés pour remarquer ce type d’escroqueries.

Des attaques à fort impact

Les attaques de phishing peuvent avoir de lourds impacts sur le business. Le coût moyen d’un incident de sécurité d’après une étude de l’Institut Ponemone (sur 350 entreprises) s’élève à environ 3,6 millions d’euros.

Au delà du vol d’argent direct, les impacts financiers peuvent aussi se traduire par des amendes pour non respect de règlementations, la responsabilité juridique de l’entreprise, les indemnités pour compenser le vol de données des clients victimes, etc. Mais les conséquences ne sont pas seulement financières, ces attaques peuvent aussi impacter fortement la réputation, la propriété intellectuelle, les secrets industriels et les données personnelles de clients.

Pourquoi les solutions de sécurité traditionnelles ne sont pas adaptées au phishing

Le principal problème du phishing est que les contre-mesures traditionnelles telles que les filtres anti-spam, le filtrage web ou encore les protections anti-virus, ne permettent pas de se protéger efficacement contre ces attaques. Plusieurs raisons à cela, les emails de phishing échappent aux filtres anti-spam car au moment d’être examinés par les logiciels de filtrage standard ils présentent des adresses URL semblant anodines, puisqu’elles ne renvoient vers rien (quand les filtres intègrent des solutions d’exploration de liens). Après avoir franchi les filtres, les emails de phishing attendent dans la boîte de réception du destinataire, et c’est à ce moment et dans un délai très court, peut-être une heure, que les phisheurs vont rediriger le lien vers un site malicieux.

Ainsi lorsque le destinataire ouvre le mail, celui-ci contient bien un lien malveillant, qui renvoie par exemple vers un site de phishing dont le but est de voler les identifiants de l’utilisateur. Cela ne peut pas non plus être stoppé par des logiciels de filtrage web car les sites de phishing ne sont généralement pas assez longtemps en ligne pour être blacklistés. Et les systèmes anti-virus ne fonctionnent pas non plus dans ce cas puisqu’il n’y a pas de virus inclus dans l’email.

En matière de phishing, l’information et la sensibilisation restent clairement les priorités absolues pour permettre aux utilisateurs d’être plus vigilants et ainsi d’éviter d’exposer leur entreprise en offrant sur un plateau aux phisheurs l’accès au réseau de l’entreprise. Et d’un point de vue technique, il existe aujourd’hui des solutions techniques dédiées au phishing, et il devient indispensable de coupler ces solutions avec les solutions de protection traditionnelles contre les virus, les spam, etc. L’email est depuis longtemps la porte d’entrée préférée des hackers sur les réseaux d’entreprise, le phishing est aujourd’hui leur technique favorite pour piéger facilement les utilisateurs… A nous de ne pas nous laisser avoir, premier exercice pratique : les fêtes de fin d’année !