Prévention des risques liés au phishing€¦ · Prévention des risques liés au phishing 2...

Prévention des risques liés au phishing 1

Prévention des risques liés au phishingÉvolution des techniques de phishing et stratégies défensives


Résumé analytiqueLe phishing est un phénomène vieux d’au moins 20 ans et pourtant, il représente encore plus de 90 % des attaques ciblées. La raison est très simple : il s’agit d’une technique qui marche.

Près d’une personne sur quatre qui reçoit un courrier électronique de phishing l’ouvre, et plus de 10 % cliquent sur le lien malveillant qu’il contient, ou ouvrent la pièce jointe frauduleuse. En envoyant ne serait-ce que 10 messages, un attaquant a donc 90 % de chances de piéger l’une de ses victimes. Selon l’institut Ponemon, une organisation de taille moyenne perd 3,7 millions de dollars par an suite à des opérations de phishing.1 Et on ne considère là que les coûts mesurables.

Principes du phishing : tendances et tactiquesContrairement aux autres cybermenaces, les attaques par phishing évoluent peu sur un plan technique. En revanche, les adeptes de cette méthode imaginent des leurres chaque fois plus convaincants, afin de tirer parti des faiblesses humaines. Les courriers de phishing sont conçus de manière à échapper à la surveillance des filtres traditionnels. Une fois dans la boîte de réception, certains de leurs destinataires les ouvriront, qu’ils aient bénéficié ou non des formations adéquates. Les stratégies suivantes ont été couramment observées ces derniers mois :

• Envoi d’un message semblant provenir du service informatique de l’entreprise pour laquelle travaille le destinataire ;

• Ciblage d’utilisateurs ou services spécifiques ;

• Utilisation de documents incluant des macros malveillantes ;

• Association à une attaque de type « watering-hole ».

Évolution des ciblesLes escrocs sont motivés par l’appât du gain. 40 % des campagnes de phishing ciblées visent les fournisseurs de services financiers et de paiement. Les fournisseurs d’accès à Internet sont également des cibles fréquentes, car des services d’hébergement et noms de domaine compromis permettent la diffusion d’autres menaces.

Au sein d’une même entreprise, le taux de clic varie en fonction du service et de la fonction du destinataire. Étonnamment, les employés les plus consciencieux comptent parmi les plus à même de cliquer, surtout si le message revêt un caractère d’urgence, ou s’il fait appel à leur sens de l’efficacité.

Le phishing permet aux attaquants de s’enrichir de diverses manières. Certains vendent les identifiants dérobés. D’autres commercialisent des documents confidentiels. D’autres encore utilisent les identifiants volés pour réaliser des transactions financières frauduleuses.

L’exploitation des faiblesses humaines, clé de la réussite des campagnes de phishingLes attaquants usent de toutes sortes de stratagèmes pour que leurs liens et documents malveillants échappent aux filtres et pare-feu. Ils y parviennent en exploitant la seule faille qui ne puisse être corrigée : le facteur humain.

Afin de contourner les systèmes standard de protection des messageries, ils modifient continuellement les URL et noms de domaine et, pour ne pas éveiller les soupçons, n’agissent qu’à petite échelle. Ils usurpent l’identité d’amis et de collègues, de manière à tromper la vigilance de leur destinataire et, grâce à des techniques d’ingénierie sociale, ils conçoivent des messages des plus convaincants. Enfin, ils tirent parti de l’accroissement constant de l’empreinte numérique des employés pour trouver de nouvelles portes d’entrée.

Se prémunir des attaques par phishing : quelques recommandationsLes employés sont désormais la cible privilégiée des attaquants. Il est donc nécessaire de les protéger par le biais de méthodes adéquates, et d’évaluer les risques encourus avant que vos systèmes ne soient compromis.

Vous trouverez ci-dessous quelques recommandations pour lutter contre le phishing :

• Limitez les cibles potentielles. Déployez des outils permettant de surveiller et d’analyser les messages, les URL, les pièces jointes et les clics de façon statique et dynamique.

• Utilisez des systèmes de protection basés dans le cloud, afin de protéger vos employés où qu’ils se trouvent.

• Tirez parti des Big Data et des technologies d’apprentissage automatique, afin d’identifier les menaces inédites avant même qu’un utilisateur n’ait le temps de cliquer.

• Améliorez la visibilité sur votre environnement et sur les tendances générales en matière de menaces. Des informations en temps réel et une connaissance des activités frauduleuses dont vous êtes la cible vous aideront à réagir plus rapidement et à limiter les conséquences indésirables. Déployez des outils qui vous indiqueront la nature et la cible des menaces, les éléments frauduleux ayant échappé aux systèmes de sécurité et les personnes touchées.

Face à l’augmentation des données sensibles et confidentielles, ainsi qu’à la diversification des appareils, applications dans le cloud et réseaux utilisés, les systèmes de défense traditionnels ne sont plus suffisants. Des outils novateurs agissent au cœur du flux de travail, afin de surveiller les URL et pièces jointes, de fournir des informations en temps réel sur les menaces et d’observer l’activité des utilisateurs, qu’ils soient connectés ou non au réseau de l’entreprise.

Les solutions de protection contre les attaques ciblées vous aideront à détecter et à endiguer les menaces avant qu’elles ne compromettent votre sécurité.

1 Ponemon, The Cost of Phishing & Value of Employee Training, août 2015.


Table of Contents

Résumé analytique .................................................................................................................................................................................... 2

Introduction ............................................................................................................................................................................................... 4

Les entreprises prises pour cible ............................................................................................................................................................. 4

Pourquoi les campagnes de phishing sont-elles encore efficaces ? ..................................................................................................... 4

Menaces avancées, tendances et tactiques ............................................................................................................................................ 5

Tendance : envoi de messages semblant provenir du service informatique ..................................................................................................................................................................5

Tendance : des campagnes hautement ciblées grâce à l’ingénierie sociale ..................................................................................................................................................................5

Tactique : le retour des macros ........................................................................................................................................................................................................................................6

Tactique : les attaques de type « watering-hole » .............................................................................................................................................................................................................6

Quelles sont les personnes ciblées ? ...................................................................................................................................................... 6

Destinataires des courriers de phishing et taux de clic ...................................................................................................................................................................................................6

Who Gets Phishing Emails—and Who Clicks Them ........................................................................................................................................................................................................7

Services financiers, fournisseurs de services Internet et secteur de la vente .................................................................................................................................................................7

Les raisons du succès des attaques ........................................................................................................................................................ 7

Contournement des filtres ................................................................................................................................................................................................................................................7

Usurpation de l’identité d’amis et de collègues ...............................................................................................................................................................................................................8

Usurpation d’URL et sites Web .........................................................................................................................................................................................................................................8

Ingénierie sociale ..............................................................................................................................................................................................................................................................8

Opportunités de propagation croissantes ........................................................................................................................................................................................................................8

Solutions de défense contre les méthodes de phishing actuelles ....................................................................................................... 8

Limiter les cibles potentielles ............................................................................................................................................................................................................................................8

Une solution basée dans le cloud pour une protection étendue .....................................................................................................................................................................................9

Procédés prédictifs ...........................................................................................................................................................................................................................................................9

Surveillance et visibilité améliorées ..................................................................................................................................................................................................................................9

Les avantages d’un système de protection efficace et intégré .............................................................................................................. 9

Comment Proofpoint peut vous aider ...................................................................................................................................................... 10

Conclusions et recommandations ........................................................................................................................................................... 11


IntroductionVous venez de recevoir une notification du service Google Drive, qui vous informe que l’un de vos collègues a partagé un document avec vous. Une fois vos identifiants saisis, vous réalisez que l’invitation ne provenait pas réellement de votre collègue. Malheureusement, il est déjà trop tard : vous êtes la victime d’une tentative de phishing d’identifiants réussie. Vous venez de communiquer votre mot de passe, et vos documents confidentiels sont en passe d’être vendus voire publiés.

Autre scénario, plus coûteux cette fois : vous recevez un message relatif à un problème de paiement, ou contenant des informations d’ordre bancaire. En cliquant sur le lien ou le document joint, vous êtes redirigé vers ce qui semble être la page de connexion de votre banque. Il s’agit en réalité d’un site Web frauduleux ressemblant trait pour trait au site officiel. Vous venez de fournir vos identifiants à un cybercriminel, qui pourra les utiliser pour réaliser de nombreux transferts d’argent.

Le phishing est un phénomène vieux d’au moins 20 ans et pourtant, il représente encore plus de 90 % des attaques ciblées. D’après le rapport Data Breach Investigations de Verizon, publié en 2015, 61 % des attaques débutent par un vol d’identifiants.2 Les cyber-escrocs font désormais appel à des techniques d’ingénierie sociale pour inciter leur victime à cliquer. En d’autres termes, ils effectuent des recherches en amont pour concevoir des leurres crédibles, adaptés à leur cible.

Ces attaques hautement ciblées affectent les entreprises de toutes tailles et, trop souvent, font mouche.

Selon l’institut Ponemon, une organisation de taille moyenne perd 3,7 millions de dollars par an suite à des opérations de phishing.3 On parle là uniquement des coûts mesurables : perte de productivité, temps consacré à réagir aux incidents et nettoyage des systèmes infectés, entre autres. Ne sont pas pris en compte les coûts, plus difficilement évaluables mais non moins réels, liés à la perte de clientèle, à l’affaiblissement des relations de partenariat et à une fragilisation de la réputation.

Le présent document décrit le fonctionnement des attaques de phishing actuelles et les raisons de leur efficacité. Vous découvrirez également comment éviter que l’une d’elles ne cause de dommages durables à votre entreprise.

Les entreprises prises pour cibleD’après le rapport de 2016 sur le facteur humain, les campagnes de phishing ciblent désormais les entreprises. Les leurres les plus fréquemment rencontrés au cours de cette étude étaient les notifications de message vocal aux couleurs de l’entreprise, les courriers relatifs à la livraison de colis, les factures et autres documents financiers. Les campagnes étaient diffusées entre 9 et 10 heures, heure locale, afin de solliciter les utilisateurs dès leur arrivée au travail, mais avant que les services informatiques n’aient eu le temps de détecter et de supprimer les messages frauduleux.

Les recherches précédentes sur le facteur humain ont également révélé un changement de cible. Les courriers malveillants envoyés en milieu de journée visent le personnel polyvalent et les cadres intermédiaires, lesquels sont deux fois plus enclins à cliquer que l’équipe dirigeante. Au sein des services commerciaux, financiers et d’approvisionnement, on note une propension à cliquer supérieure de 50 à 80 % par rapport aux autres services.

Pourquoi les campagnes de phishing sont-elles encore efficaces ?Cette technique d’attaque demeure populaire car elle fonctionne. Près d’un quart des destinataires ouvrent les messages de phishing, et 10 % au moins cliquent sur le lien malveillant ou ouvrent la pièce jointe. En envoyant ne serait-ce que 10 messages, un attaquant a donc 90 % de chances de piéger l’une de ses victimes. D’ailleurs, plus des deux tiers des attaques ayant porté leurs fruits impliquaient au moins une manœuvre de phishing.4 Selon l’Anti-Phishing Working Group, un consortium international qui regroupe des fournisseurs de solutions de sécurité et des agences gouvernementales, le nombre d’incidents déclarés a plus que doublé entre 2014 et 2015.5 En outre, l’association a dénombré l’an passé près de 900 000 sites Web de phishing différents à travers le monde.

Le phishing permet aux attaquants de s’enrichir de diverses manières. Certains vendent les identifiants dérobés. D’autres commercialisent des documents confidentiels. D’autres encore utilisent les identifiants volés pour opérer des transactions financières frauduleuses.

2 Verizon, “Data Breach Investigation Report”, 2015, http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigation-report-2015_en_xg.pdf

3 Ponemon. “The Cost of Phishing & Value of Employee Training.” August 2015.

4 Verizon, “Data Breach Investigation Report”, 2015, http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigation-report-2015_en_xg.pdf

5 Anti-phishing Working Group “Phishing activity trends report: 1st-3rd quarters 2015” http://docs.apwg.org/reports/apwg_trends_report_q1-q3_2015.pdf


Selon une récente étude menée par le fournisseur de services de sécurité RSA, le phishing peut faire perdre plus de 400 millions de dollars par mois aux entreprises du monde entier.6 La réussite constante de ces attaques encourage les fraudeurs à redoubler d’activité et d’ingéniosité. Tandis que de nouveaux cybercriminels font leur arrivée, les anciens cherchent d’autres cibles, ou modifient leurs stratégies en raison de l’évolution des systèmes de protection.

Menaces avancées, tendances et tactiquesPour porter leurs fruits, les campagnes de phishing doivent d’abord passer au travers des filtres de sécurité. Les stratégies antérieures reposaient sur l’envoi d’un grand nombre de messages, dans l’espoir que quelques-uns parviennent à destination. Dorénavant, les attaques sont plus sophistiquées. Une quantité importante de messages de phishing mal conçus continue d’être diffusée, mais la grande majorité parvient à être filtrée. Les rares qui réussissent à atteindre leur destinataire ont une apparence plus légitime et fiable. Conçus par le biais de techniques d’ingénierie sociale, ils contiennent des leurres efficaces.

Le rapport de 2016 sur le facteur humain a mis en évidence trois types de victimes :

• Les activateurs sont la cible des campagnes de grande envergure, qui les poussent à désactiver les systèmes de défense, cliquer sur des liens, ou ouvrir des fichiers permettant l’installation d’un logiciel malveillant.

• Les facilitateurs sont touchés par des campagnes d’envergure moyenne, qui utilisent des écrans de connexion frauduleux, mais très réalistes, pour inciter leur victime à saisir ses identifiants.

• Les messagers sont, quant à eux, hautement ciblés. Il s’agit d’individus disposant d’accès stratégiques qui, pensant suivre un ordre de leur hiérarchie, effectuent des transferts de fonds ou redirigent des marchandises.

Tendance : envoi de messages semblant provenir du service informatique Une étude menée ces deux dernières années auprès d’une grande société américaine a révélé que, sur l’ensemble des messages de phishing ayant échappé aux filtres, 75 % semblaient provenir d’un service interne à l’entreprise, dont 45 % du service informatique. Les 25 % restants traitaient de sujets divers : thèmes génériques, demandes de vérification de compte externe, problèmes urgents, transactions financières ou encore avis émanant du gouvernement

L’objet des messages (quotas applicables à la messagerie, demandes d’assistance, partage de fichiers, factures ou paiements litigieux, etc.) semble souvent familier à leur destinataire. La grande majorité des liens malveillants permet le vol d’identifiants, plutôt que le téléchargement de logiciels dangereux. Quant aux pages de phishing les plus efficaces, elles ressemblent trait pour trait aux sites de partage de fichiers.

Tendance : des campagnes hautement ciblées grâce à l’ingénierie sociale Une étude menée en 2015 a analysé plus de 1 000 messages de phishing collectés entre 2002 et 2014, afin de comprendre l’évolution des stratégies adoptées.7 Tous les messages analysés sont passés au travers des filtres anti-spams des chercheurs. En se basant sur des données existantes, ils ont étudié l’apparence et la réputation des messages. Peu de différences en termes d’apparence (fautes de grammaire ou d’orthographe, par exemple) ont été observées entre le premier groupe (avant 2007) et le dernier (2014). En revanche, les destinataires ont considérablement changé.

Alors que les plus anciens messages étaient diffusés à grande échelle, les plus récents ciblent des personnes ou services spécifiques et tirent souvent parti de l’ingénierie sociale. Les attaquants emploient des noms corrects, font allusion aux projets ou collègues appropriés, et vont même jusqu’à passer des appels ou laisser des messages vocaux pour gagner en crédibilité. Les courriers semblent parfois provenir d’un collègue ou d’un supérieur, et échappent ainsi aux systèmes basés sur la réputation.

La diffusion a lieu à des heures définies, qui correspondent généralement aux périodes d’activité accrues c’est-à-dire, le plus souvent, dans la matinée. Quant aux taux de clics, ils s’avèrent plus élevés le mardi.8 Néanmoins, pas une heure ni un jour ne passent sans qu’une activité malveillante n’ait lieu.

Les réseaux sociaux sont également concernés par les campagnes de phishing. Les cybercriminels créent en effet de faux comptes d’entreprise dans le but d’intercepter les demandes d’assistance et de dérober des informations de compte. Ainsi, plus de 55% des comptes Facebook et 25% des comptes Twitter qui semblent représenter une marque du classement Fortune 100 ne sont pas officiels.

6 http://www.emc.com/emc-plus/rsa-thought-leadership/online-fraud/index.htm

7 Yates, D. & Harris, A.L. “Phishing Attacks Over Time: A Longitudinal Study”. AMCIS, Association for Information Systems, (2015).

8 Proofpoint, Le facteur humain, rapport de 2015 : https://www.proofpoint.com/fr/id/Q215-New-Human-Factor-Report

Phishing Subjects

Internal IT45%

Other Urgent Internal

30%

External25%


Tactique : le retour des macros Autre évolution : la résurgence des pièces jointes malveillantes au détriment des URL.9 Puisque les utilisateurs ont pris l’habitude de vérifier les liens contenus dans les messages, les attaquants ont opté pour un retour aux pièces jointes. Mais plutôt que d’utiliser des fichiers exécutables qui ne trompent plus personne, ils préfèrent recourir à l’ancienne technique des macros.

Par souci de sécurité, Microsoft propose, depuis plus d’une dizaine d’années, la désactivation par défaut des macros incluses dans les fichiers Office, ainsi que l’affichage d’un avertissement. Les macros sont ainsi exécutées uniquement si l’utilisateur les active expressément. Malheureusement, comme beaucoup d’entreprises en intègrent dans leurs propres documents Office, les employés ont pris l’habitude d’ignorer ces avertissements. Cette disposition, mêlée à la finesse des méthodes d’ingénierie sociale, explique l’efficacité des campagnes impliquant des macros malveillantes. D’ailleurs, les messages de phishing accompagnés de fichiers .doc ou .xls sont désormais légion.

Tactique : les attaques de type « watering-hole » On pense généralement que les attaques de type « watering-hole » appartiennent à la catégorie des menaces liées au Web, plutôt qu’à la messagerie. En effet, elles impliquent de compromettre un site Web fréquemment visité par le public cible, afin d’infecter les systèmes via un logiciel malveillant. Toutefois, dans de nombreux cas, ces attaques ont pour départ un courrier de phishing.

Une fois de plus, les escrocs s’appuient sur les réseaux sociaux pour identifier les sites Web les plus consultés par l’entreprise. Puis, ils diffusent des courriers électroniques proposant coupons, bons de réduction, mises à jour de logiciels, ou autres offres tout à fait plausibles, afin de conduire leur cible vers le site compromis.

Quelles sont les personnes ciblées ?Contrairement aux autres formes de cyberattaque, le phishing tire davantage parti du facteur humain que des failles techniques.

Au fil des ans, les concepteurs de logiciels malveillants se sont adaptés au perfectionnement des systèmes de protection. Ils ont appris à contourner les solutions de sandboxing et cherchent à profiter d’avantages technologiques. Bien que le format des messages et leur esthétisme aient évolué, les campagnes de phishing sont, elles, demeurées égales d’un point de vue technique.

Cela est dû au fait que leur efficacité dépend principalement des utilisateurs. Or, en dépit des formations et des actions de sensibilisation, ces derniers ne sont pas toujours en mesure d’évaluer les risques qu’ils encourent.

Les travailleurs méticuleux sont les plus vulnérables Les attaquants semblent apprendre de leurs succès et de leurs échecs ; cela expliquerait certaines des tendances dont nous venons de faire état.

Une récente étude a révélé que les travailleurs les plus méticuleux étaient plus à même que leurs collègues de cliquer sur les messages de phishing semblant revêtir un caractère d’urgence, ou faisant appel à leur sens de l’efficacité.

En d’autres termes, certains de vos meilleurs employés, ceux que vous ne soupçonneriez jamais de cliquer sur un message de phishing, sont en réalité les plus susceptibles de se faire prendre au jeu des cybercriminels. La raison est simple : c’est leur personnalité qui est prise pour cible, ainsi leur sens de l’efficacité et de l’urgence.10

9 http://resources.infosecinstitute.com/spear-phishing-statistics-from-2014-2015/

10 Halevi, T., Memon, N., Nov, O., “Spear-phishing in the wild: A real-world study of personality, phishing self-efficacy, and vulnerability to spear-phishing attacks”,

http://ssrn.com/abstract=2544742, January 2015.

Most Used Attachment Extensions for Spearphishing in the First Two Months of 2015 (%)

.doc

5

0

10

15

20

25

30

35

40

45

50

.class .txt .bin .xls .ace .vbs .exe .pdf .rtf .scr .rar .ppsx


Destinataires des courriers de phishing et taux de clic Tous les services d’une entreprise reçoivent des messages de phishing, mais les volumes diffèrent légèrement. Les professionnels du marketing sont les moins touchés, avec un peu moins de deux messages par jour. Réceptionnant environ trois messages par jour, les commerciaux sont les proies les fréquentes.

Quant aux taux de clic, ils sont trois fois plus élevés au sein des services commerciaux, financiers et logistiques que parmi les professionnels de l’informatique ou du service client.

L’équipe dirigeante, cible principale des précédentes campagnes, reçoit désormais autant de messages que ses subordonnés. Mais ces derniers, croyant souvent suivre un ordre de leur hiérarchie, cliquent deux fois plus que les dirigeants. Ces chiffres expliquent certainement pourquoi les campagnes de phishing tendent à imiter le style des messages internes à l’entreprise, et reposent sur l’usage de macros et pièces jointes d’apparence officielle.

Services financiers, fournisseurs de services Internet et secteur de la vente Les escrocs sont motivés par l’appât du gain. C’est pourquoi les fournisseurs de services financiers et de paiement demeurent la cible de plus de 40 % des campagnes de phishing.11 Autre cible privilégiée : les fournisseurs de service Internet. Par leur biais, les cybercriminels cherchent à obtenir des informations de compte afin de diffuser plus de spams, ainsi qu’à accéder aux services de noms de domaine et d’hébergement nécessaires à leur future campagne.

Les raisons du succès des attaquesPour qu’une attaque de phishing réussisse, les courriers doivent d’abord échapper aux systèmes de défense. Les attaquants usent de toutes sortes de stratagèmes pour que leurs liens et documents malveillants atteignent l’entreprise, sans être détectés par les filtres et pare-feu.12 Ces solutions de sécurité analysent généralement les éléments suivants :

• La source du courrier électronique ;• Les mots clés contenus dans l’objet et le corps du message ;• La réputation des URL incluses ;• La signature des pièces jointes.

Contournement des filtres Pour déjouer les systèmes de sécurité, les attaquants compromettent des serveurs de messagerie d’origine fiable et emploient des mots anodins. L’enrichissement des listes noires par le crowdsourcing et les systèmes d’apprentissage automatique a permis d’améliorer le filtrage des URL malveillantes à hauteur de 90 %. Mais avec la plupart des outils, l’identification et la propagation des informations peuvent prendre entre 8 et 12 heures.

11 Anti-phishing Working Group “Phishing activity trends report: 1st-3rd quarters 2015” http://docs.apwg.org/reports/apwg_trends_report_q1-q3_2015.pdf

12 Alsharnouby, M., Alaca, F., Chiasson, S. “Why phishing still works” International Journal of Human-Computer Studies, 2015.

Multimedia 5%

Unclassified 4%

Gaming 3%

Auction 2%

Social Networking 1%

Government 1%

ClassifiedsDelivery serviceEducationMM Reseller

GamingAuctionGovernmentSocial Networking

ClassifiedsDelivery serviceEducationMM Reseller

26222114543211

<1

ISP26%

Payment22%

Financial21%

Retail/Service

14%

< 1%


Les adeptes du phishing s’adaptent en remplaçant régulièrement leurs URL et noms de domaine, et en diffusant leurs campagnes à plus petite échelle. Plus de 15 % des campagnes de spams globales sont constituées d’attaques de plus petite envergure, qui emploient entre 100 et 5 000 courriers électroniques seulement. Ces attaques sont perpétrées sur moins de 12 heures, voire sur deux heures uniquement pour certaines. Ainsi, à peine identifiées et inscrites sur la liste noire, elles ont déjà pris fin.

Usurpation de l’identité d’amis et de collègues Les messages de phishing qui échappent aux systèmes de défense (10 %, voire moins) sont subtilement conçus. Ils sont généralement diffusés depuis des comptes compromis ou des imitations de comptes de collègues, d’amis ou de fournisseurs. Les plus efficaces incluent des messages vocaux ou des fax, ou font part de mises à niveau vers Windows 10 ou de problèmes liés à un paiement ou une facturation.

Usurpation d’URL et sites Web Bien que moins couramment employées, les URL malveillantes n’ont pas quitté la scène. Comme le disait Abraham Lincoln : « vous pouvez tromper tout le monde un certain temps ». Effectivement, les sites de phishing les plus performants dupent 90 % des utilisateurs.13 Les fenêtres de navigation affichent de nombreux indices sur la fiabilité d’un contenu, mais la plupart des gens se concentrent uniquement sur la barre d’adresse.

Les spammeurs créent des noms de domaine pratiquement identiques aux noms légitimes, en usant de techniques de substitution (remplacement de la lettre « l » minuscule par le chiffre « 1 », par exemple), en inversant des lettres, ou en utilisant des noms composés (tels que « facture_nom-legitime.com » ou « nom-legitime.com.liendephishing.com »). Dans plus de 80 % des cas, les messages de phishing qui ont échappé aux filtres utilisent des URL créées sur ces principes.

Une autre technique consiste à émuler les éléments utilisés par un site Web connu pour la saisie d’identifiants. Ces parfaites imitations prétendent, notamment, permettre l’accès à des sites de partage de fichiers, à la messagerie ou à un service financier. Agacés par ce qui apparaît comme une énième demande de connexion, les utilisateurs y répondront sans réfléchir. Beaucoup seront ensuite redirigés vers le véritable site (auquel ils sont déjà connectés), inconscients d’avoir été leurrés.

Ingénierie sociale Pour monter ces supercheries, les attaquants mènent souvent des recherches à grande échelle.15 Ils disposent ainsi de toutes les informations utiles pour renforcer leur crédibilité :

• Les appellations et titres corrects ;• Le nom des collègues, des fournisseurs et des clients ;• Les logiciels et sites Web auxquels le service a recours ;• Les informations financières utiles. Ces données sont collectées à partir des réseaux sociaux, des déclarations publiques et communiqués de presse, des mots clés utilisés dans les moteurs de recherche, ainsi que des en-têtes des messages interceptés.

L’ensemble des informations ainsi obtenues constitue une arme puissante : une connaissance approfondie de l’entreprise. Elles permettent aux attaquants d’accompagner leurs courriers frauduleux d’appels téléphoniques, de messages vocaux, de SMS ou d’autres communications urgentes semblant provenir d’un adjoint administratif, d’un consultant, ou d’une autre personne influente.

Opportunités de propagation croissantes Les attaquants tirent profit des opportunités de propagation croissantes que nous leur fournissons. La multiplication des appareils, des lieux de travail et des applications Web collaboratives représente autant de portes ouvertes sur votre entreprise. Les écrans de taille réduite compliquent la distinction entre un site ou message légitime et sa copie frauduleuse. En outre, dans un environnement où l’on nous pousse à répondre toujours plus rapidement, un message à l’apparence familière a encore plus de chances d’échapper à notre méfiance.

Les attaquants cherchent également à piéger leurs victimes où elles sont les plus vulnérables : sur des réseaux publics ou domestiques, au sein desquels les systèmes de protection sont faibles, voire inexistants.

Il est important de sensibiliser les utilisateurs au phishing. Néanmoins, aucune formation n’éliminera jamais totalement les risques. Considérant qu’en moyenne moins d’une minute s’écoule entre un clic et la survenue de l’incident, les pare-feu et systèmes de défense traditionnels, qui agissent après qu’ait lieu le clic, ne sont pas suffisants. Il est nécessaire d’agir bien avant la réception du message frauduleux.

Solutions de défense contre les méthodes de phishing actuellesLes tentatives de phishing échappent à la surveillance des systèmes de défense traditionnels et à l’attention humaine. C’est pourquoi des solutions de défense nouvelles et novatrices sont nécessaires. Ces outils vous permettront non seulement de limiter les cibles potentielles, mais aussi de mener des actions ciblées grâce à des systèmes de renseignement et d’analyse dans le cloud. Vous pourrez ainsi réagir rapidement et limiter les conséquences des attaques.

13 Dhamija, R., Tygar, J.D., Hearst, M. “Why phishing works” Proceedings of CHI-2006, Conference on Human Factors in Computing Systems, 2006

14 Infosec Institute, “Phishing attacks using public data”, 2016, http://resources.infosecinstitute.com/phishing-attacks-using-public-data/.


Limiter les cibles potentielles La première étape du processus de défense consiste à limiter les cibles potentielles. Pour procéder efficacement, vous devez connaître l’activité des utilisateurs, leur comportement, ainsi que les moments auxquels vos informations sensibles ou confidentielles sont les plus vulnérables.

L’ingénierie sociale et l’exploitation du facteur humain entrent en jeu dans une portion croissante de campagnes, qu’elles agissent par le biais de courriers électroniques, d’applications mobiles ou de réseaux sociaux. Votre solution doit donc permettre de surveiller et d’analyser les messages, URL, pièces jointes et clics en continu.

En revanche, le recours au code dynamique par les attaquants amoindrit l’intérêt d’un contrôle des signatures. Les systèmes de défense actuels doivent prendre en compte de multiples facteurs. Ils doivent être en mesure de détecter rapidement les URL malveillantes connues comme inédites, et analyser les fragments de code afin de repérer tout comportement dangereux. Ils doivent également procéder à une observation dynamique des comportements par une mise en sandbox. Cette dernière doit permettre de simuler un utilisateur réel, afin d’empêcher toute tentative d’évasion à l’aide de minuteurs, mouvements de souris, ou d’autres techniques.

Une solution basée dans le cloud pour une protection étendue L’étape suivante consiste à élargir le champ de protection. Outils de collaboration et de partage dans le cloud, réseaux sociaux, utilisation d’appareils personnels dans le cadre du travail, déplacements... de plus en plus d’activités ont lieu en dehors du réseau de l’entreprise. Il n’est donc pas étonnant qu’un clic sur cinq ait lieu hors de votre périmètre réseau.

En outre, parce qu’elles exposent à des contraintes de temps élevées et favorisent l’utilisation de petits écrans, ces conditions de travail génèrent une augmentation du taux de clic. Parce que les attaquants, tout comme les utilisateurs, ont appris à contourner les serveurs proxy, chaque lien inclus dans un courrier électronique doit être réécrit de façon dynamique, puis testé lors de chaque clic. En outre, les applications mobiles permettent souvent des comportements à risque et, par là même, la fuite de données ou le vol d’identifiants.

Les solutions basées dans le cloud peuvent être déployées rapidement et protéger des dizaines ou des centaines de milliers d’utilisateurs, quels que soient le réseau, l’application et l’équipement utilisés. À l’image d’un nombre croissant d’applications, les solutions de sécurité se doivent d’être applicables au cloud et aux appareils mobiles.

Procédés prédictifs De nombreuses organisations tirent parti des Big Data afin de mieux comprendre le comportement de leurs clients. Les systèmes de modélisation statistique et d’informations basés dans le cloud offrent des bénéfices similaires mais, en l’occurrence, contre les menaces avancées.

Les dispositifs d’apprentissage automatique créent des modèles statistiques pour chaque utilisateur et signalent les messages anormaux ou suspects. Le caractère malveillant des messages et URL est ensuite déterminé en tenant compte d’une base de données sans cesse enrichie, des campagnes de phishing existantes, des contenus inspectés et d’autres caractéristiques. On dispose ainsi d’une solution de protection capable de détecter les menaces récentes voire inédites, avant qu’un utilisateur n’ait eu le temps de cliquer.

Surveillance et visibilité améliorées Hélas, tant que les utilisateurs pourront être exploités, aucun système de sécurité ne sera efficace à 100 %. Il est donc essentiel que vous ayez connaissance des campagnes actives et des menaces dirigées contre votre personnel. Les tableaux de bord graphiques, accessibles depuis le Web, permettent de connaître :

• Les utilisateurs ciblés et les menaces concernées ;• Le moment auquel les attaquants ont pénétré dans votre environnement ;• Les menaces qui ont échappé à vos systèmes de protection ;• Les utilisateurs affectés.

Ces informations précises et détaillées vous permettront de réagir plus rapidement et efficacement, et de limiter les conséquences d’une attaque.

Les avantages d’un système de protection efficace et intégréVotre personnel, vos données et vos ressources numériques sont d’une immense valeur. Vous devez les protéger. Or, les tentatives de phishing échappent à la surveillance des systèmes de défense traditionnels. Une suite complète et moderne de solutions de sécurité peut protéger vos données sensibles et confidentielles des attaques ciblées.

Les systèmes de défense dans le cloud se déploient facilement, s’appliquent à l’ensemble de vos applications et traitent les Big Data, le tout à un coût moindre que les solutions sur site. Par ailleurs, les tableaux de bord intégrés vous procurent toutes les informations nécessaires pour réagir rapidement et limiter les risques en cas d’incident.


Comment Proofpoint peut vous aiderProofpoint propose une solution de sécurité complète dans le cloud, qui vous permettra de détecter et de maîtriser efficacement les menaces avancées en surveillant vos systèmes de messagerie, réseaux sociaux et applications mobiles. La solution Proofpoint Targeted Attack Protection (TAP) offre une protection inégalée de votre messagerie, contre les logiciels malveillants polymorphes, les documents dangereux et le phishing.

Protection adaptée aux nouvelles méthodes de travail Pour assurer une protection efficace de votre personnel, vous devez vous adapter à leurs nouvelles habitudes de travail. Cela implique :

• d’analyser les données et ressources cruciales pour l’activité de votre entreprise.

• d’évaluer les risques encourus et de limiter les cibles potentielles.

• de protéger votre personnel, quel que soit l’équipement et le réseau utilisés.

Un déploiement rapide dans le cloud, pour une efficacité immédiateL’architecture dans le cloud permet un déploiement rapide et un profit immédiat. La solution Proofpoint TAP offre les avantages suivants :

• Des mises à jour logicielles instantanées, pour une incorporation rapide des nouvelles protections ;

• Un déploiement rapide vers des centaines de milliers de systèmes en quelques jours ;

• Une protection unique des principales technologies dans le cloud, contre les menaces avancées.

Détection des menaces connues ou inédites grâce à des techniques adaptables et sophistiquesUne solution de sécurité doit être en mesure d’anticiper l’évolution des menaces. Cela implique :

• d’analyser les menaces à différents stades, par la surveillance de l’ensemble de la chaîne.

• de maîtriser et réagir efficacement aux menaces, grâce à une visibilité complète sur les cibles potentielles.

• d’adapter les techniques de défense en permanence, afin de garder une longueur d’avance sur les attaquants.

Des informations complètes, pour une détection et une réponse rapidesParce qu’elles reposent sur une base de données communautaire, les solutions Proofpoint vous font profiter des informations les plus précises disponibles. Ainsi :

• Vous profitez d’une vision globale et internationale sur les campagnes actives.

• Vous pouvez étudier la stratégie des attaquants, à l’aide d’un graphique offrant plus de 300 milliards de points de données et qui vous permettra de contrecarrer plus facilement l’attaque suivante.

• Vous disposez de toutes les informations nécessaires pour réagir efficacement en cas d’incident.

• Vous pouvez obtenir des informations sur les menaces encore plus détaillées, grâce à la fonctionnalité Proofpoint Emerging Threats Intelligence.


Conclusions et recommandationsLes tactiques de phishing ont évolué. Les employés sont désormais la cible privilégiée des attaquants. Il est donc nécessaire de les protéger par le biais de méthodes adéquates, et d’évaluer les risques encourus avant que vos systèmes ne soient compromis.

Pour faire face à ces situations, il est nécessaire d’investir dans une situation déployable rapidement. Seules les solutions dans le cloud vous permettront une analyse minutieuse en temps réel, à l’aide d’une imposante base de données. Il vous faut également des outils prédictifs, afin d’identifier les menaces inédites et d’anticiper les prochaines attaques.

Les cybercriminels ont l’art d’usurper l’identité de vos proches. Les solutions de protection contre les attaques ciblées vous aideront à détecter, à gérer et à contrecarrer les menaces avant qu’elles ne compromettent votre sécurité.

Pour en savoir plus sur nos outils de détection et de protection contre le phishing en milieu professionnel, rendez-vous à l’adresse www.proofpoint.com/fr. Pour une évaluation gratuite, contactez-nous dès à présent via la page www.proofpoint.com/cybersecurity-assessment.


www.proofpoint.com

À propos de ProofpointProofpoint Inc. (NASDAQ : PFPT) est un leader en matière de sécurité et de conformité, proposant des solutions dans le cloud. Ces dernières permettent de bénéficier de fonctionnalités de protection, conformité, archivage et gestion des données, de réponse aux incidents, ainsi que de services de réseautage et de communication mobile sécurisés. De nombreuses entreprises de par le monde comptent sur l’expertise, les technologies brevetées et le système de service à la demande de Proofpoint. Ces solutions leur permettent de se prémunir contre le phishing, les logiciels malveillants et les spams, de protéger la confidentialité de leurs données, de chiffrer leurs informations sensibles, et d’archiver leurs messages afin d’en simplifier la gestion. Pour obtenir des informations supplémentaires, rendez-vous à l’adresse www.proofpoint.com.

©Proofpoint, Inc. Proofpoint is a trademark of Proofpoint, Inc. in the United States and other countries. All other trademarks contained herein are property of their respective owners.

Prévention des risques liés au phishing€¦ · Prévention des risques liés au phishing 2...

Documents

Transcript of Prévention des risques liés au phishing€¦ · Prévention des risques liés au phishing 2...