Est-ce que le phishing est une fatalité ?
Avant d’entrer dans le vif du sujet, commençons par définir le terme « phishing ». Le terme « phishing » ou « hameçonnage » en français désigne une technique utilisée par des fraudeurs pour obtenir des renseignements personnels ou déployer un logiciel malveillant au sein de l’infrastructure de la victime.
Le but de cet article est non seulement de caractériser son évolution à travers le temps, mais surtout d’identifier des axes d’améliorations sur lesquelles les sociétés peuvent travailler pour réduire l’impact de ce type d’attaque.
Si nous remontons un peu dans l’histoire, il est possible de retrouver des traces du concept de phishing par email dès 1987 (!!!). Mais alors pourquoi, depuis plus de 30 ans, n’arrivons-nous pas à mettre un terme au phishing ?
Afin de perdurer dans le temps, les attaques de phishing ont su muter pour s’adapter à l’évolution de notre système d’information. Du simple email d’usurpation aux techniques les plus créatives, c’est une pratique qui est faite pour s’inscrire dans la durée. Le fait que les techniques utilisées se basent souvent sur des outils légitimes n’aide pas à limiter l’impact de ces attaques. Dernièrement par exemple, des attaques de phishing ont abusé de la fonctionnalité « Traduire ce site » de Google Translate afin de ne pas être bloquées par un proxy. En effet, rares sont les entreprises qui ont interdit l’usage de Google Translate sur les machines de leur parc informatique.
Il y a quelques années, une technique appelée « Punycode » était très répandue. C’est un encodage spécial qui convertit les caractères Unicode dans différentes langues en ASCII. Il permet de transcoder correctement un nom de domaine contenant des caractères non latins en adresses conformes aux normes DNS. Les cybercriminels utilisaient cette technique pour créer des pages de phishing car la plupart des navigateurs modernes géraient correctement les noms de domaine nationaux, mais ne les convertissaient pas en alphabet latin lorsqu’ils étaient affichés dans la barre d’adresse. Les fraudeurs pouvaient donc induire l’utilisateur en erreur en créant des sites Web avec des URL similaires à celles d’entreprises bien connues. Par exemple, le domaine coca[.]com saisit en lettres cyrilliques est transcodé sous la forme de xn--80a1aib.com ; malheureusement, la barre d’adresse du navigateur n’affichait pas autrefois la transformation préfixée du xn--. Les utilisateurs pensaient donc naviguer sur coca[.]com alors qu’ils étaient redirigés sur une URL frauduleuse ! (voir image ci-dessous). Heureusement, tous les navigateurs affichent désormais le préfixe « xn-- » et il n’est donc plus nécessaire d’aller vérifier dans le certificat si ce site est bien légitime.
Prenons maintenant un exemple d’actualité et étudions le cas de « Qakbot ».
Qakbot fait partie d’une famille de malware (logiciel malveillant) qui était initialement destinée à voler des données financières. Les premières traces de ce malware remontent à 2007 et il est encore très activement déployé. Un chercheur s’est penché dernièrement sur les différentes méthodes de livraison du logiciel :
Le malware Qakbot est envoyé soit sous forme d’une URL (un lien) sur laquelle il faut cliquer, soit sous forme d’une pièce jointe. En termes de défense, c’est un peu le « jeu du chat et de la souris ». Tant que l’URL n’est pas connue, elle n’est pas forcément catégorisée comme malveillante ou dans le pire des scénarios, il peut même s’agir d’un site légitime qui a été compromis pour délivrer le malware. Il est par conséquent difficile de la bloquer. Concernant les pièces jointes, même s’il peut être assez simple pour une entreprise d’interdire les .zip ainsi que les .iso, il n’en est pas de même pour les .doc.
Comme le montre le modèle de Samuel Rossier, c’est la création des sous-fichiers du malware qui intervient systématiquement après l’action d’un utilisateur qui clique sur le fichier initial. Une fois que l’utilisateur a cliqué, le poste est infecté et l’attaquant peut prendre le contrôle à distance pour continuer ses opérations malveillantes en interne.
Il est donc indispensable de sensibiliser les utilisateurs à la cybersécurité afin de réduire les impacts du phishing.
Soluss aide ses clients à combattre le phishing avec une approche basée sur 3 piliers :
- Les procédures : il est nécessaire de mettre en place des procédures internes pour le traitement des menaces liées au phishing ainsi qu’à la réponse à un incident. Afin de réduire la surface d’attaque, il est important de définir avec le métier les types de fichier qui doivent légitimement être échangés par email.
- La technologie : différentes briques technologiques permettent de réduire le nombre de phishings qui arrivent jusqu’à la boîte de l’utilisateur. Cela va de l’antispam jusqu’au logiciel permettant de supprimer instantanément un email malveillant de la boîte de tous les utilisateurs.
- L’humain : étant le dernier rempart de l’entreprise, c’est malheureusement un élément souvent négligé. Une campagne de sensibilisation une fois par an ne suffit pas. Il faut entraîner les utilisateurs à reconnaître les menaces mais également à les signaler en cas de doute. Pour cela, Soluss propose une approche sur deux axes avec d’un côté des campagnes de tests de phishing en continu pour les utilisateurs ainsi que la mise à disposition d’un service de traitement des emails malveillants.
Alors, à la question initiale « Est-ce que le phishing est une fatalité ? » je vous propose d’y répondre par une autre question intimement liée : « Est-ce qu’à l’école, nous arrivons à avoir un taux de réussite de 100% ? » La réponse est non et c’est la même chose pour le phishing. Il suffit qu’un utilisateur ne soit pas à son affaire et clique sur un lien douteux pour que votre infrastructure soit à risque. Par conséquent, il est important d’investir dans l’humain et les technologies pour minimiser le risque d’occurrence mais également de se préparer au pire pour ne pas être pris de court lorsque cela se produira.