Comment faire face à une attaque de Phishing
Le phishing, ou hameçonnage, est une technique de fraude en ligne qui existe depuis plusieurs décennies mais continue de faire des ravages, y compris dans les entreprises. Comment s'en prémunir ? Nos conseils.
Le mail est la forme la plus connue de hameçonnage, vecteur de "92% des attaques de phishing", selon Thomas Kerjean, dirigeant de la solution anti-spam Mail In Black. Le message, conçu pour sembler provenir d'un tiers de confiance, demande au destinataire de cliquer sur un lien qui l'amène sur la copie d'un site légitime et lui demande de saisir des informations personnelles, ensuite vendues, utilisées pour monter d'autres attaques de phishing, ou accéder aux comptes correspondants. Il arrive que l'attaque procède en deux étapes : d'abord un email impersonnel visant à recueillir les coordonnées de la cible. Ces dernières sont ensuite insérées dans un message personnalisé semblant émaner d'un autre organisme, qui cette fois demande des informations bancaires ou des identifiants de connexion. Un mail frauduleux peut également servir à installer un programme malveillant sur l'appareil, tel un rançongiciel (blocage des données personnelles qui n'est levé que contre une rançon), par le biais d'une pièce jointe ou d'un lien. Cette technique peut aussi être appliquée via une fenêtre pop-up, un message sur les réseaux sociaux, un SMS, voire un appel téléphonique.
Les entreprises ciblées
Les entreprises n'échappent pas aux tentatives d'hameçonnage, mais Thomas Kerjean explique que "si les grands groupes sont très bien préparés, les PME ne pensent jamais qu'elles peuvent être la cible d'attaque : le ROI y est donc plus important pour les pirates, et ce sont des cibles privilégiées de façon croissante. Sur 3,5 millions de mails mensuels reçus en moyenne par une PME, 25 000 sont des tentatives de phishing ou de ransomware". Il a d'ailleurs observé une "recrudescence du phishing durant le confinement : la démocratisation des outils numériques va de paire avec une démocratisation du hacking, mais il reste un manque d'éducation numérique".
"Les entreprises peuvent être la cible de phishing ciblé, par exemple avec un message semblant émaner du prestataire de messagerie demandant de confirmer ses identifiants, illustre Jérôme Notin, directeur général de la plateforme de lutte contre les menaces en ligne Cybermalveillance. L'employé est dirigé vers une page malveillante qui enregistre ses identifiants, mais il finit sur la page légitime de la messagerie. S'il y a un accès à sécuriser, c'est bien celui-ci, car il permet en général d'accéder à tout le reste ". Et quand les pirates s'introduisent dans le système d'information d'une entreprise, ils peuvent carrément utiliser ou créer un compte afin de mener des tentatives de phishing auprès d'autres organismes, par exemple en demandant aux clients d'adresser leurs paiements sur un nouveau compte.
Sur les réseaux sociaux, Thomas Kerjean observe "deux attitudes : la plus répandue est le social engineering, où l'on recueille des informations pour après lancer une attaque par mail. Et le phishing direct, pour l'instant je n'ai vu qu'une tentative : une personne a reçu un message sur messagerie privée Linkedin, avec un lien sur lequel elle a cliqué, qui l'a amenée sur un page où elle a saisi son identifiant et son mot de passe. Le hacker les a récupérés et a ensuite proposé, depuis le compte de sa victime, une invitation à consulter un document, à tous ses contacts. Ceux-ci, recevant un message depuis le compte d'un contact identifié, ont ouvert le message, et à leur tour, ont livré leurs coordonnées, dont les informations bancaires. "
Alexandre Aractingi, directeur associé du Boston Consulting Group, estime d'ailleurs que "le risque lié au social engineering est amplifié par les réseaux sociaux. Les employés et dirigeants divulguent énormément d'informations, ce qui aide à rendre plus crédibles les attaques ciblant les dirigeants. Par ailleurs, les réseaux sociaux eux-mêmes ne sont pas forcément sécurisés ".
Eviter les pièges
Les conseils classiques permettent encore de déjouer bon nombre de tentatives de phishing : ne pas répondre aux messages suspects (irréels, mal écrits, demandant une action inhabituelle, dont l'adresse mail ne correspond pas à l'alias…), ne pas cliquer sur leurs liens ou télécharger leurs pièces jointes ; se rendre sur la page d'accueil d'un site pour s'identifier ; vérifier qu'il n'y a pas une légère erreur dans un lien en lisant ses courriels en texte brut. En cas de doute, mieux vaut appeler l'expéditeur : votre fournisseur vous a-t-il vraiment envoyé ce mail de facturation suspect ? Votre associé ou supérieur veut-il vraiment un transfert de plusieurs dizaines de milliers d'euros sur ce compte inconnu ?
Pour autant, il devient de plus en plus difficile de détecter les tentatives de phishing. "Avant c'était très grossier, maintenant ces attaques sont bien plus performantes", estime Thomas Kerjean. Pour lui, il est donc primordial de s'éduquer et d'éduquer ses salariés. Mais "il faut que ce soit ludique, une formation classique ne fonctionne pas". Mail In Black teste donc un simulateur de phishing. L'idée : envoyer des (fausses) campagnes de phishing, évaluer les salariés via un système de scoring, puis lancer des campagnes éducatives selon leurs résultats. "Le but est une éducation continue, semi-automatisée selon les résultats, avec des autotests, et la désignation d'ambassadeurs. On croit à l'apprentissage par l'erreur et l'expérience". Le responsable de Mail In Black affirme que chez les 13 entreprises "bétatesteuses", plusieurs salariés ont cliqué sur une campagne de phishing.
Plus des risques sur mobile
Sur un smartphone, il est souvent plus difficile de repérer une tentative d'hameçonnage, ne serait-ce que "parce qu'on ne peut pas passer la souris sur un lien pour voir l'URL, note Benoit Grunemwald. C'est l'eldorado des cybercriminels. Suite à une attaque, ils peuvent accéder au carnet d'adresses pour se propager, aux SMS pour récupérer des codes confidentiels..."
Une partie de la réponse passe là aussi par la formation. "Il faut être très prudent, ne pas cliquer sur des liens depuis son téléphone. Nous commençons par sensibiliser sur l'usage personnel et la sécurisation de ses données, pour faire ensuite le lien avec l'entreprise". Mais Bastien Bobe, ingénieur commercial chez Lookout, éditeur d'une solution de protection des smartphones, précise que "sur les téléphones il n'y a pas de filtrage en amont des SMS, réseaux sociaux, applications avec un canal de discussion. Dans les fausses campagnes que nous menons, nous obtenons des taux d'ouverture de 15% à 20% sur le mail et de 35% à 50% sur le SMS ciblé".
Reste à faire en sorte que les salariés n'accèdent pas aux comptes de l'entreprise depuis un terminal non sécurisé. "Ce qui est souvent bien géré chez les grands comptes, mais plus rare chez les PME, et les TPE encore plus", constate Bastien Bobe. Pour l'expert, "il faut traiter le mobile comme un ordinateur comme les autres ".
Réagir après une attaque
La première urgence quand on se rend compte d'un hameçonnage est de changer tous les mots de passe, sur toutes les applications si les identifiants dérobés sont ceux d'une boite mail. Ensuite, Jérôme Notin conseille de surveiller toute activité bizarre, et en identifier l'origine : logiciel de prise de contrôle à distance d'un ordinateur (ou remote access), création de comptes à privilèges dans l'annuaire interne…
Il est possible de signaler l'attaque à différents organismes : la plateforme gouvernementale Internet-Signalement, pour les tentatives d'escroquerie, Phishing Initiative, lancé par Microsoft et Paypal, qui permet des signaler les sites de phishing et de les bloquer dans les navigateurs partenaires. Jérôme Notin conseille de télécharger le module Signal Spam, qui fait appel à l'intelligence collective. "Quand un site a déjà été signalé via ce canal comme pratiquant du phishing, il est automatiquement bloqué dans le navigateur", précise le directeur général de Cybermalveillance.