Augmentation importante des attaques ciblées par emails

Les attaques de spear-phishing contre des entreprises ont augmenté. Quelles astuces utilisent les attaquants et comment les entreprises peuvent-elles se protéger contre ces attaques ciblées ?

Le directeur technique d’une société industrielle ouvre son courrier électronique le matin. Un de ces partenaires lui a écrit pour lui transmettre les résultats d’une analyse. Un document Excel est joint au mail. Le directeur connait l’expéditeur et échange régulièrement des fichiers avec lui, malheureusement à l’ouverture du fichier rien d’intéressant ne s’affiche, par contre un logiciel malveillant s’est installé sur son ordinateur. Un pirate informatique peut désormais espionner l’ensemble de l’entreprise sans être dérangé, consulter des données confidentielles, ou saboter la chaine de production.

Ces types d’attaques informatiques ciblés sont nommées spear-phishing. Le phishing ordinaire est reconnu par les antispams comme du spam. Il a pour objectif d’obtenir des informations personnelles (code, mots de passe, etc) afin de pouvoir pirater un compte pour exploiter ou revendre ces informations. Les attaques de type spear-phishing quant à elles sont beaucoup plus ciblées. L'attaquant a collecté des informations sur sa cible et adapte son message en fonction de son interlocuteur. Son objectif est précis, faire en sorte que la victime ouvre une pièce jointe d’un courrier indésirable ou pour faire transférer des sommes importantes (dans le cas spécifique des arnaques au président, ou FOVI).

Les attaques de spear-phishing contre les entreprises ont augmenté de manière significative ce dernier semestre

Plus de la moitié des entreprises françaises ont été victimes d'espionnage industriel, de sabotage ou de vol de données au cours des deux dernières années, d’après une étude Sekurigi. Le spear-phishing est devenu de plus en plus populaire chez les pirates. Les attaques contre les entreprises concernant un phishing ciblé ont augmenté de plus d’un tiers au cours du premier semestre, selon la société Proofpoint.

Malheureusement, les contre-mesures mises en place par les entreprises sont souvent insuffisantes face au risque encouru. Les sociétés accordent beaucoup trop d’importance à leur firewall et considèrent qu’il suffit pour lutter contre tout type d’attaques. Le firewall ne constitue qu’une brique à la sécurité d’une entreprise, celui-ci ne sera jamais en mesure d’arrêter un email d’arnaque ciblé comme ceux utilisés lors d’attaques de spear-phishing. Le phishing ciblé est une méthode qui profite de la vulnérabilité humaine. Tout le monde peut se faire duper quand le message est suffisamment bien fait et porte sur un sujet intéressant la cible.

Le spear-phishing est facilité par le volume d’informations rendues publiques

Un très grand nombre d’informations critiques sur les entreprises sont assez faciles à trouver sur Internet. Pour connaitre les systèmes et logiciels utilisés par une entreprise, il suffit d’accéder au CV des employés présents sur les sites de recherche d’emploi comme APEC ou Pole-Emploi. Un grand nombre d’informations sont également disponibles sur les profils LinkedIn. Il est ainsi possible de dresser assez rapidement une cartographie de l’entreprise en retrouvant les firewall et antivirus qu’elle utilise. Concernant la société et leurs dirigeants, les sites publics d’informations sur les entreprises, comme Infogreffe, permettent de récupérer facilement les noms, date de naissance et même signatures des directeurs, associés et présidents.

Les adresses de messagerie professionnelles ont généralement le même schéma. Grâce aux médias sociaux tels que Facebook et Xing, aux articles dans les médias en ligne et au site Web de l'entreprise, il est facile de trouver les noms des employés. Et ainsi d’en déduire les adresses emails de l’ensemble du personnel. Mais même si une entreprise est soucieuse de la sécurité, il existe de nombreuses façons de l’espionner. Actuellement, des emails de phishing profitent du prétexte de mise en conformité avec le RGPD (Règlement général sur la protection des données) pour récupérer des informations nominatives.

Avec la connaissance des firewalls, de l’architecture de la cible, de son organigramme et du nom, adresses emails et signatures des patrons, le pirate peut préparer son attaque.

Définir la cible pour une attaque plus efficace

Les personnes ciblées sont des assistants ou commerciaux dans la cinquantaine. Un employé qui connait bien l'informatique est plus difficile à tromper. Les victimes de spear-phishing travaillent souvent dans les départements juridique, marketing ou dans les ressources humaines. Elles se méfient moins des pièces jointes contenues dans les e-mails. La présentation et le message transmis seront cruciaux pour le succès de l’attaque de spear-phishing.

Dans le cas particulier des arnaques au président ou Faux Ordres de Virements Internationaux (FOVI), le pirate usurpe l’identité du PDG de la société pour demander un virement en urgence et discret à une assistante comptable. Sous prétexte d’une opération secrète et urgente, le pirate arrivera à persuader l’assistante au moment précis où le président n’est pas dans l’entreprise, mais en déplacement.

Les attaquants masquent souvent leurs logiciels malveillants dans les fichiers Zip, PDF et Microsoft Office dans le but de ne pas être détectés par les antivirus. Les fichiers Word ou Excel sont utilisés pour lancer des macros qui téléchargeront la "charge utile" sur un site distant pour l’exécuter en local.

Comment les entreprises peuvent-elles se défendre ?

Si vous pensez avoir été victime d’un virus, débranchez immédiatement le câble réseau de votre ordinateur afin d’éviter que le malware ne se propage et que le pirate n’accède par rebond à d’autres ordinateurs. Malheureusement, les attaques peuvent rester non détectées pendant plusieurs mois, le pirate a donc tout loisir de profiter de sa "porte dérobée" pour voler les données de l’entreprise sans être repéré.

Pour se protéger, il existe plusieurs types de logiciels pour assurer la sécurisation de la messagerie électronique, mais ces solutions ne vont pas toutes bloquer efficacement les arnaques par spear-phishing. Des logiciels plus poussés comme Altospam, AspamFilter ou paraspam intègrent quant à eux des mécanismes spécifiques poussés contre le spear-phishing. Altospam intègre par exemple 6 antivirus et 4 technologies de détection de virus inconnus afin de bloquer toute tentative de pénétration dans l’entreprise par la messagerie électronique.

Mais avant tout, le plus important reste la sensibilisation du personnel. Il est indispensable de prévoir des sessions spécifiques de formation et de sensibilisation aux problèmes de sécurité informatique et plus particulièrement aux risques d’attaques ciblées. Ces formations sont aussi l’occasion d’expliquer aux salariés qu’il est dangereux de diffuser trop d’informations sur l’entreprise sur les réseaux sociaux. L’ANSSI met à disposition des guides de bonnes pratiques afin d’informer les salariés des risques d’attaques ciblées.