Serg Nvns - Fotolia
Sécurité : le facteur humain, encore et toujours
Une nouvelle étude souligne le recours croissant des cyber-délinquants au hameçonnage pour piéger les internautes et utilisateurs en entreprise. Et cela de manière toujours plus ciblée.
Selon Proofpoint, au cours du second semestre 2016, « le passage aux exploits centrés sur l’humain a été bien établi. Un total de 99 % des attaques de fraude financière par e-mail nécessitait des clics humains plutôt que de s’appuyer sur des exploits automatisés pour installer des logiciels malveillants ». Et la tendance vaut aussi pour le hameçonnage, via des courriels menant vers des pages Web frauduleuses : « en moyenne, 90 % des messages malicieux contenant des URL menaient vers des pages de vol d’identifiant », plutôt que vers des contenus provoquant le téléchargement de code malicieux.
Ryan Kalember, responsable de la stratégie sécurité de Proofpoint, explique ces évolutions par « le manque de vulnérabilités facilement exploitables », mais aussi l’adoption croissante des applications en mode Cloud qui font que « voler des identifiants a plus de valeur que compromettre un simple poste de travail ». Et d’ajouter à cela que les systèmes d’exploitation modernes sont « bien plus sûrs que leurs prédécesseurs ».
Pour piéger les utilisateurs, les attaquants misent sur des copies de services populaires : compte Apple en premier, suivi de Microsoft Outlook Web Access, et Google Drive. Mais il faut aussi compter avec les comptes Adobe, Dropbox et LinkedIn.
Dans les petites campagnes, de plus d’une centaine de messages, ce qui fonctionne le mieux semble être le service postal local, avec un taux de clic de plus de 78 %. Le phishing au compte Free Mobile figure aussi dans le classement – pourtant mondial –, avec un taux de clic de 14 %. Les grandes campagnes (plus de 20 000 messages) fonctionnent globalement moins bien. Mais pour les comptes Dropbox, le taux de clic s’établit tout de même à plus de 13 %, contre 5 % pour Google Drive, ou 1,7 % pour les institutions financières.
Récemment, Michael Shaulov, de Check Point, reconnaissait que le hameçonnage « est un vrai problème sur les smartphones ». Et Proofpoint ne manque pas de lui donner raison. 37 % des clics sont faits à partir de terminaux Android, même si Windows reste en tête à 44,7 %. iOS ne représente que 5,2 % des clics, derrière MacOS, à 8,3 %.
Selon Proofpoint, c’est le jeudi que les messages malicieux sont les plus nombreux, tout juste devant le mercredi. Sans surprise, ils sont plutôt rares le week-end. Et c’est aux heures ouvrées que les clics sont les plus nombreux. Et dans les pièces jointes malveillantes, ce sont les rançongiciels qui ont dominé au second semestre de l’an passé, loin devant tout le reste.
Tous secteurs confondus, le taux de clic sur les URL malicieux s’établit à 4,6 % dans les entreprises, avec une pointe à plus de 7 % dans le secteur du BTP. Ce dernier devance les secteurs de l’extraction minière (6 %), du commerce de gros (5,9 %), ou encore de l’hospitalité et de la restauration (5,1 %). Alors que l’on pourrait s’attendre à ce que les utilisateurs y soient plus sensibilisés qu’ailleurs, le secteur des services financiers et de l’assurance pointe à 4,9 %. Celui de la santé arrive en dernière position, avec 3,4 % de taux de clic.
S’il le fallait encore, le rapport de Proofpoint plaide pour le passage à autre chose que les traditionnelles listes d’URL malicieux, dont les délais de propagation peuvent apparaître trop longs.
Durant les heures ouvrées, le délai avant clic médian est inférieur à une heure. Et 25,5 % des clics surviennent dans les 10 minutes. En décembre dernier, Webroot estimait que « 84 % des sites de phishing existent pour moins de 24h ». Et à juste raison : selon Proofpoint, 87,1 % des clics ont déjà eu lieu dans ce délai. Alors oui, pour Ryan Kalember, les mécanismes de protection par réputation d’URL sont obsolètes.
Enfin, Proofpoint alerte sur le recours croissant au hameçonnage par le biais des réseaux sociaux. A juste titre, peut-on conclure au regard d’une récente étude de chercheurs des universités d’Erlangen-Nuremberg et de la Sarre en Allemagne. Selon celle-ci, un URL frauduleux a bien plus de chances d’être cliqué s’il est adressé via Facebook que par e-mail : 42,5 % dans un cas, contre 20 % dans l’autre. A 34,2 %, c’est d’abord la curiosité qui motive le clic.
« C’est cohérent avec nos recherches. Le taux de clic [pour les attaques via les réseaux sociaux] est substantiellement plus élevé », indique Ryan Kalember. Mais cela ne va pas sans créer de nouveaux défis : il n’y a pas là d’élément d’infrastructure sur lequel se reposer pour filtrer les messages entrants. Hélas, même le filtrage sortant peut montrer ses limites : « la passerelle d’accès Web sécurisé ne fonctionnera pas si l’accès se fait depuis un terminal mobile, à moins d’une configuration très verrouillée. La seule solution est de s’intégrer à ses plateformes par le biais d’API natives et de protéger certains comptes à forte valeur ».
Sur les réseaux sociaux, toutefois, Ryan Kalember indique n’avoir observé que des arnaques mineures ou des opérations très ciblées, attribuables à des états-nations, « mais rien entre les deux ». De quoi penser que la grande majorité des cyber-délinquants n’a pas encore changé son fusil d’épaule. Pour l’instant.
Dans ce contexte, la question se pose du passage d’une culture de la confiance aveugle à celle de la suspicion : « vous avez tout à fait raison. Tout le monde dans l’industrie de la sécurité le souhaiterait. Mais j’ai dû faire quelques centaines d’opérations de sensibilisation dans ma carrière et je ne crois pas qu’elles seront capables de changer le comportement de beaucoup de monde ». Et cela d’autant plus que tout est fait pour imprégner les utilisateurs de la culture du clic : « inverser cette tendance m’apparaît très difficile ». A commencer par exemple par l’authentification à facteurs multiples.