Phishing : le temps est venu de prendre ses responsabilités et d’agir

Alors que le nombre de victimes du phishing continue d’augmenter - un business aussi lucratif ne s’arrêtera évidemment pas de lui-même - il est grand temps d’organiser la résistance pour ne plus tomber dans le piège du phishing.

Le phishing est l’une des techniques d’attaques informatiques les plus utilisées, et pour cause elle s’avère très rentable pour les cybercriminels, sans toutefois nécessiter des connaissances techniques très complexes. En utilisant l’e-mail comme canal de diffusion, le phishing cible de très nombreux utilisateurs. Et ces attaques sont très efficaces puisque bon nombre d’entre nous - dans le contexte privé ou professionnel - par manque de vigilance ou de patience, cliquons sur des liens contenus dans les e-mails sans prendre de précaution. Ainsi, selon une étude menée par Verizon, il ne faudrait pas plus de 80 secondes après le lancement d’une attaque de masse pour que les premiers clics sur le lien frauduleux n’interviennent. Et selon cette même étude, la moitié des victimes de phishing cliqueraient sur le lien frauduleux moins d’une heure après le lancement de l’attaque.

Toutes les données numériques sont ciblées  

Face à l’ampleur du phénomène, nous sommes tous des victimes potentielles d’attaques de phishing : les particuliers, les entreprises (grands groupes internationaux et PME), les gouvernements, ministères et autres institutions publiques, sans oublier les hébergeurs de sites web.

Si nous sommes tous de potentielles victimes, c’est parce que nous possédons tous des données qui peuvent avoir une valeur pour des cybercriminels. Ces derniers vont en effet utiliser le phishing pour récolter des coordonnées bancaires ou toute donnée pouvant être vendue sur le Dark web (sur lequel numéros de sécurité sociale, identifiants et mots de passe se monnaient très bien) ou pour diffuser des malwares bancaires (ex : Dridex, Shifu) leur permettant de détourner de très importantes sommes d’argent (via un e-mail de phishing invitant à ouvrir une pièce jointe). A une plus grande échelle, les cybercriminels ciblent également la propriété intellectuelle des entreprises (secrets industriels, etc.) puisque des données de ce type peuvent susciter un intérêt pour des concurrents ou des Etats.

Des dégâts considérables pour les entreprises  

Le principe du phishing étant de créer un faux e-mail et d’y inclure un lien frauduleux sur lequel la victime doit cliquer, le plus efficace pour les hackers est d’utiliser une marque ou une entité connue et inspirant confiance pour mieux berner la victime, ou bien d’usurper le nom d’une banque ou d’un organisme public et de jouer sur le sentiment d’urgence à répondre. Exemple : annuler une procédure de radiation, annuler une commande très importante réalisée par erreur, etc. Rien d’étonnant à ce que l’image de grandes marques comme Apple, Google, Microsoft, de fournisseurs d’accès internet bien connus, de grandes banques et assureurs ou encore le Trésor Public et la sécurité sociale, soit particulièrement utilisée par les cybercriminels pour mener des attaques de phishing.

Pour ces marques, le phishing est un problème majeur car au-delà de l’impact financier, elles payent également un lourd tribu en matière de e-réputation, pouvant entrainer de grandes conséquences sur leur relation client sur le long terme.

Les hébergeurs de sites web subissent également ce type de dommages sur leur réputation car leurs services sont utilisés - à leur insu - pour héberger des sites de phishing. Héberger une page de phishing se fait aujourd’hui très simplement avec pour seul outil : une carte de crédit (préalablement volée). Précision toutefois, que les pirates sont aussi des « squatteurs » du web, en se jouant des failles de sécurité pour héberger leurs sites discrètement dans des sous dossiers de sites légitimes, à l’insu de leur propriétaire.

La résistance s’organise  

La loi tend à mieux protéger les particuliers, en imposant par exemple aux banques d’indemniser leurs clients victimes de phishing à hauteur de leur préjudice. Mais au-delà de l’argent, ce sont finalement toutes les données numériques d’un individu ou d’une entreprise qui sont potentiellement exposées.

> La meilleure arme contre le phishing : l’humain   

Il y a quelques mois, le PMU testait la réaction de ses collaborateurs face au phishing, en leur envoyant un faux email leur proposant de gagner un iPad. Ce test grandeur nature est intervenu quelques jours après l’attaque de TV5 Monde, et alors même que la société venait de procéder à plusieurs campagnes de sensibilisation sur le phishing. 22% des employés ont ouverts la pièce jointe diffusant ainsi un virus au sein de l’entreprise et 6% (soit environ 120 personnes) ont donné leurs coordonnées personnelles. Ces chiffres démontrent clairement le manque de vigilance et de patience des utilisateurs face à des attaques de phishing, mais aussi le niveau de préparation de celles-ci.

Au-delà des aspects techniques, le vrai point de défaillance reste encore le facteur humain. Les formations se multiplient mais elles sont encore trop isolées et l’exemple du PMU montre bien que cela ne suffit pas à impliquer les utilisateurs dans la politique de sécurité de leur entreprise ni dans la protection de leurs données personnelles.

Une réaction forte incombe à toutes les victimes. Les particuliers doivent prendre conscience de leur responsabilité et les entreprises (et les institutions françaises) se doivent de mieux informer afin que chacun puisse enfin agir personnellement dans la lutte contre le phishing. Car si les victimes de phishing sont certes des victimes, elles deviennent aussi en partie responsables en commettant l’erreur de cliquer sur un lien frauduleux, exposant ainsi leur vie numérique ou leur entreprise à des dégâts potentiellement considérables.

> Des mesures conjointes pour une meilleure efficacité

- L’organisation de réunions d’information régulières sur le sujet de la sécurité au sein des entreprises.

- Des formations sur le phishing pour les employés illustrées de cas concrets voire des tests réels. Quelques exemples de recommandations : éviter de donner trop d’informations personnelles sur les réseaux sociaux, sur sa personne ou l’entreprise. Par exemple, la mise en ligne d’un organigramme de l’entreprise est une aubaine pour les hackers puisque cela permet de cibler les bonnes personnes, les utilisateurs à privilèges, le Président, le Directeur financier, etc. Cette technique d’ingénierie sociale étant de plus en plus utilisée par les hackers.

- Inciter à l’utilisation d’outils de détection de liens frauduleux  gratuits tels que isitphishing.org, signal-spam.fr, apwg.org ou encore phishtank.com. Ces sites sont des initiatives gratuites d’éditeurs qui conservent une base de données de liens frauduleux et permettent de savoir simplement en copiant/collant un lien, si celui-ci est du phishing ou s’il est licite. Certains regroupent des centaines d’informations sur les marques dont l’image est utilisée pour des phishing, et propose d’informer ces marques en temps réel, voire même de bloquer instantanément les sites de phishing. Ceci est une des grandes nouveautés techniques qui peuvent grandement améliorer la lutte anti-phishing.

- Multiplier les initiatives ludiques à destination du grand public, telle que la Hack Academy réalisée par le CIGREF ; cette parodie de téléréalité informant sur les techniques utilisées par les hackers et les bonnes pratiques simples à mettre en œuvre.

- Et les initiatives publiques tel que le partenariat que vient de lancer la Police Judiciaire avec l’association privée Phishing Initiative et qui permet aux particuliers de remonter à la Police les arnaques pour une action de blocage plus rapide. 

- Pour les entreprises et grandes marques : accepter de partager des informations sur les attaques, afin d’alerter plus rapidement les clients et les organismes de lutte contre le phishing

 

Cette menace du phishing est bien réelle et concerne absolument tout le monde. Chacun doit prendre ses responsabilités. Pour conclure, rappelons quelques règles de base pour éviter de tomber dans le piège :

  • N'ouvrir les pièces jointes suspectes (fichiers .zip, .xls ou .doc) que si l'expéditeur est confirmé.
  • Supprimer le message d'un expéditeur suspect inconnu sans y répondre.
  • Refuser de confirmer l'accusé de réception dans le cas d'un expéditeur inconnu suspect. Cela risquerait de valider et diffuser l’adresse email de l’utilisateur à son insu.
  • Remonter les emails identifiés comme spam auprès de son service informatique. Ils seront ensuite transmis à l'entreprise chargée de la protection des messageries pour une prise en compte dans la technologie de filtrage. Et en cas de doute, contacter son service informatique.
  • Vérifiez les URL des pages web : certains phishing peuvent être détectés par des fautes de saisie. Et vérifier si la connexion est sécurisée, ce qui est visible par l’apparition d’un cadenas vert ou par le “s” de https:// dans l’URL.
  • Prendre son temps et ne pas se laisser intimider ou influencer par l’expéditeur, aussi légitime et sérieux qu’il puisse paraître.