Natalia Merzlyakova - Fotolia
Phishing : vers la fin des listes noires de sites de hameçonnage ?
Près de 9 pages Web conçues pour piéger les internautes sur 10 disparaissent en moins de 24h. De quoi limiter considérablement l’efficacité des mécanismes actuels de protection par liste noire.
Ce lundi 12 décembre, un cybercriminel visant les clients de la Caisse d’Epargne en tentant de les orienter vers une copie du site Web de la banque où ils devaient saisir les identifiants leur permettant d’accéder à leurs services de banque en ligne. L’opération était montée avec méticuleusement, en s’appuyant sur un certificat SSL valide pour mieux berner l’internaute. Selon nos sources, le titulaire du nom de domaine utilisé en adresse de réponse aux courriels de hameçonnage (relevesdisponible.com) disposerait de plusieurs autres domaines conçus de matière à tromper l’internaute en se donnant l’air légitime.
Aujourd’hui, mardi 13 décembre, c’est une nouvelle campagne visant les clients de BNP Paribas qui a atterri dans les boîtes aux lettres de la rédaction. Dans les deux cas, plusieurs notifications ont conduit à des réactions rapides. Mais le sont-elles vraiment suffisamment ?
L’adresse du site de hameçonnage de la seconde campagne est, en début d’après-midi de ce mardi, connue de la Phishing Initiative et référencée comme étant du phishing. Emmenée par Lexsi, cette intiative a noué l’an dernier un partenariat avec la Police Nationale. Identifier ainsi les sites malveillants est une bonne chose, mais ce n’est pas suffisant. Encore faut-il que les éditeurs de navigateurs web mettent à jour leurs listes noires et les poussent à leurs utilisateurs. Et cela peut prendre du temps. Des heures ? Une journée ? Trop tard, bien souvent, pour les victimes, mais aussi pour que ces listes aient une réelle efficacité.
De fait, dans son rapport de décembre sur les tendances en matière de hameçonnage, Webroot évoque une tendance qu’il qualifie « d’inquiétante » : « 84 % des sites de phishing existent pour moins de 24h ». Le cycle de vie moyen de ces campagnes apparaît court, très court, et même de plus en plus court : « le cycle de vie moyen était de moins de 15h [entre septembre et octobre dernier]. Vingt sites sont restés en ligne moins d’une heure, dont un qui n’a duré que seulement 15 minutes ». Et de résumer la situation : « les technologies de sécurité traditionnelles ne peuvent pas suivre » et « bloquer les attaques par phishing est devenu bien plus compliqué ».
Dans rapport Hacker Intelligence Initiative, Imperva explorait récemment la manière dont les cybercriminels réduisent le coût et augmenter l’efficacité de leurs campagnes de hameçonnage en ayant recours à des services clés en main et à des serveurs Web compromis. De quoi faire dire à son cofondateur et directeur technique, Amichai Shulman, qu’il « n’est plus possible pour les entreprises combattre les tentatives de phishing au niveau des logiciels clients car les utilisateurs continuent de cliquer sur des liens malveillants dans les e-mails ». Le filtrage, donc ? Mais l’on en revient à la question de la base sur laquelle filtrer… A moins que la situation ne souligne l’importance de la formation. Même si elle ne produit pas 100 % de résultats probants. Comme pour les rançongiciels ou encore la fraude au président.