PiChris - Fotolia
Phishing : la formation des utilisateurs condamnée à échouer ?
Forte de plusieurs expériences conduites en interne, Karla Burnett, de Stripe, estime que la sensibilisation des utilisateurs au hameçonnage ne peut pas réussir. Elle explique pourquoi et articule une piste de réflexion technique.
Le facteur humain reste clé dans de nombreuses attaques. Selon Proofpoint, au cours du second semestre 2016, « le passage aux exploits centrés sur l’humain a été bien établi. Un total de 99 % des attaques de fraude financière par e-mail nécessitait des clics humains plutôt que de s’appuyer sur des exploits automatisés pour installer des logiciels malveillants ». Et la tendance vaut aussi pour le hameçonnage, via des courriels menant vers des pages Web frauduleuses : « en moyenne, 90 % des messages malicieux contenant des URL menaient vers des pages de vol d’identifiant », plutôt que vers des contenus provoquant le téléchargement de code malicieux. Dans le cas des rançongiciels, Malwarebyte estime que 22 % des infections en Europe trouvent leur origine dans des e-mails.
Mais alors, la sensibilisation des utilisateurs est-elle insuffisante ou inefficace ? Pour Karla Burnett, ingénieure en sécurité chez Stripe, un spécialiste du paiement en ligne, la bonne réponse est hélas la seconde.
Trop peu de temps de cerveau disponible
A l’occasion de la conférence Black Hat qui se déroule actuellement à Las Vegas, Karla Burnett a présenté ses travaux de recherche, citant notamment le livre de Daniel Kahneman publié en 2011, Penser, vite et lentement. Celui-ci décrit deux modes de pensée distincts à l’œuvre dans le cerveau humain : le premier est rapide, instinctif et souvent… crédule. Le second est plus lent, méthodique et sceptique.
Pour Karla Burnett, c’est simple : il est virtuellement impossible, y compris pour les utilisateurs les plus préparés, de faire la différence entre un mail légitime et une copie visant à le piéger : « cela ne dépend pas de vos capacités techniques. Cela s’applique à tous. Tout le monde est vulnérable à cela ». Mais pourquoi donc ?
Parce que le temps manque pour analyser les messages entrants avec le second mode pensée décrit par Daniel Kahneman : « il n’y a tout simplement pas assez de temps pour cela dans une journée ». Surtout, selon Karla Burnett, les efforts de sensibilisation et de formation sont inadaptés.
Elle estime ainsi que « pour le moment, la formation au phishing est centrée sur l’entraînement des personnes à regarder des URL ou à survoler des liens. Tout cela relève du second mode de pensée, pas du premier ». Et c’est pourtant sur celui-là qu’il conviendrait de s’appuyer car « l’entrainement au hameçonnage n’est utile que lorsque l’on est déjà méfiant ».
Des expériences édifiantes
Pour étayer sa réflexion, Karla Burnett a « testé » les ingénieurs de son entreprise, à travers trois campagnes de phishing interne. La première a été lancée fin 2014, en répliquant des messages légitimes de Slack. Le taux de conversion de l’e-mail au faux site Web mis en place était bon, mais mauvais au-delà – « domaine incorrect, et manque de connexion HTTPS alertait » les utilisateurs.
La seconde campagne a été lancée quelques mois plus tard, en copiant GitHub cette fois-ci. En essayant d’affiner, notamment avec l’utilisation d’une connexion HTTPS à la page Web frauduleuse, mais aussi un sous-domaine sur github.io : logln.github.io (mais pas login.github.io, bloqué par GitHub). La version HTML du faux e-mail a converti plus de 50 % de ses destinataires.
Karla Brunett n’indique pas ici la part des utilisateurs piégés par la page Web. Mais elle relève que certains ont ignoré les avertissements de leur gestionnaire de mots de passe et ont utilisé le copier/coller pour s’authentifier. Pire : une part très faible d’utilisateurs a signalé un e-mail ou un site Web douteux.
Fin 2016, Stripe a lancé une vaste campagne de formation, avant de lancer une troisième campagne de hameçonnage, utilisant cette fois-ci les codes graphiques d’AWS. La page Web mensongère était là particulièrement élaborée, allant jusqu’à demander un second facteur d’authentification. Et là, seulement trois mois après la formation, le taux de conversation a atteint plus de 25 %, depuis l’ouverture de l’e-mail frauduleux jusqu’à la saisie d’identifiants complets, permettant de détourner effectivement des comptes d’utilisateurs.
Combiner plusieurs solutions techniques
En fait, les expériences et l’analyse de Karla Burnett renvoient à celles de Ryan Kalember, responsable de la stratégie sécurité de Proofpoint. Car dans ce contexte, c’est la question du passage d’une culture de la confiance aveugle à celle de la défiance qui est posée : « tout le monde dans l’industrie de la sécurité le souhaiterait. Mais j’ai dû faire quelques centaines d’opérations de sensibilisation dans ma carrière et je ne crois pas qu’elles seront capables de changer le comportement de beaucoup de monde ».
Et c’est pour lui d’autant plus difficile que tout est fait pour imprégner les utilisateurs de la culture du clic : « inverser cette tendance m’apparaît très difficile ». A commencer par exemple par l’authentification à facteurs multiples.
Mais Karla Brunett souligne aussi les limites de l’authentification à double facteur pour la lutte contre la compromission de comptes d’utilisateurs par usurpation d’identité d’un service légitime. Pour elle, il convient en fait de combiner plusieurs technologies : SSO, via un service de fédération d’identités, certificats SSL clients, ou encore clés U2F comme celles de Yubico.
Dans un tel scénario, le service final délègue l’authentification au service de SSO, configuré lui pour valider non seulement un certificat SSL client mais aussi une clé U2F « pour s’assurer que l’utilisateur est bien physiquement présent ».
Avec nos confrères de SearchSecurity.com (groupe TechTarget).