momius - Fotolia
Les messageries électroniques, vecteurs de tant de cybermenaces
Courrier électronique, SMS et autres messageries électroniques sont autant de supports de transmission de menaces. Qu’il s’agisse de chercher à faire télécharger un maliciel, visiter une page Web frauduleuse, ou encore conduire une arnaque. Et cela ne semble pas prêt de s’arrêter.
Oui, le hameçonnage se porte bien. Plus de la moitié des sondés d’une étude conduite par l’institut Ponemon avec Yubico ont indiqué avoir victime d’une telle opération dans leur vie personnelle, contre 44 % dans leur environnement professionnel. Pour expliquer l’efficacité du hameçonnage, il y a peut-être d’abord une question de sensibilisation.
Selon Proofpoint, la connaissance du concept de phishing apparaît plutôt bonne en France : 65 % des personnes interrogées dans le cadre de l’édition 2019 de son étude sur l’état du hameçonnage semblent connaître le sujet. Mais le taux tombe à 40 % pour le ransomware. Dommage, car il est plus que fréquent qu’un tel maliciel soit distribué par le même vecteur : le courrier électronique. Mais le phishing peut aussi passer par les messages texte, les SMS. Et là, le concept, dit smishing, n’apparaît connu que de 39 % des sondés dans l’Hexagone. Quant au vishing – pratique basée sur un appel vocal –, le niveau de sensibilisation tombe à 15 %.
Personne n’est à l’abri
Et que l’on ne s’y trompe pas : les natifs du numérique ne semblent pas être les mieux armés face à la menace. Selon l’étude de Proofpoint, le concept de fishing n’apparaît maîtrisé que par 58 % de cette population, et même 47 % pour celle qui la suit, les 18-21 ans. C’est à partir de 38 ans que l’on trouve la sensibilisation la plus élevée. Ce qui vaut également pour les ransomwares. Pour certaines entreprises, les conséquences peuvent être importantes.
De nombreux groupes de pirates particulièrement avancés font appel au phishing pour s’introduire sur les systèmes d’information de leurs victimes. FireEye l’a tout récemment révélé comme vecteur d’infection initial utilisé par le groupe APT39. Mais cela vaut pour les groupes malveillants GreyEnergy et Sofacy, comme l’a tout aussi récemment souligné Kaspersky.
Et justement, 83 % des professionnels de la sécurité des systèmes d’information sondés dans le cadre de l’étude de Proofpoint indiquent avoir subi des attaques par hameçonnage en 2018 – et 64 % pour du phishing ciblé. Et ils sont même 49 % à avoir été confrontés au smishing ou au vishing. La compromission de comptes utilisateurs est, sans surprise, la première conséquence évoquée, à 65 %, tout juste devant l’infection par maliciel, à 49 %.
Les outils de protection sont largement répandus. Mais ils ne font pas de miracles. Alors le recours à la formation et à la sensibilisation apparaît croissant : 95 % des sondés par Proofpoint indiquent chercher à apprendre aux utilisateurs à reconnaître les pièges. Mais là encore, cela n’apparaît pas suffisant pour éliminer pleinement le risque. Ainsi, en moyenne, 11 % des utilisateurs finaux mis à l’épreuve dans une fausse campagne de phishing se laissent aller à cliquer sur le lien menant vers le site frauduleux. Et même 4 % y fournissent les données recherchées.
Prévoir une défense à plusieurs niveaux
Une surprise ? Pas tant que ça. Car les attaquants ne tarissent pas de créativité pour leurrer les mécanismes de filtrage et les utilisateurs finaux, comme le soulignait l’APWG dans son rapport trimestriel publié en décembre dernier. Cela commence par un recours croissant à des certificats pour donner une illusion de légitimité aux sites frauduleux, pour des domaines déposés et hébergés sur des serveurs loués, plutôt que sur des espaces détournés. Mais il faut aussi compter avec le recours à des caractères spéciaux pour permettre à un domaine frauduleux de mieux prendre l’apparence d’un domaine légitime, voire à des polices de caractère spécifiques.
Pour le NCSC, l’homologue britannique de l’Anssi, il faut donc être préparé à ce que des opérations de phishing visant ses collaborateurs réussissent. Car c’est bien simple, « aucune formation, de quelque type que ce soit, ne peut apprendre aux utilisateurs à débusquer à tous les coups un [e-mail] de phishing. Et repérer le hameçonnage ciblé est encore plus difficile. Même nos experts ont du mal ».
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
Comment se défendre contre le phishing as a service et les kits de phishing
-
L’authentification à facteurs multiples : indispensable, mais pas infaillible
-
Phishing : Mailinblack et Vade Secure se renforcent dans la sensibilisation
-
Phishing : pourquoi le filtrage d’e-mail est indispensable, mais pas suffisant