Qui n’a jamais eu un léger doute face à un mail aux allures plus que suspectes ?
De nos jours, beaucoup ont déjà entendu parler de mails de « phishing », aussi appelés campagnes d’« hameçonnage» : les affaires qui les concernent font souvent la une des médias. Nous avons tous déjà reçu ce mail, bourré de fautes d’orthographe, tentant piètrement d’imiter de grandes entreprises, au contenu des plus surprenants – et parfois presque risibles. Mais aujourd’hui, la menace « phishing » a évolué tant en sophistication qu’en ingéniosité, et les mails basiques qui nous faisaient presque sourire hier sont devenus aujourd’hui de vraies campagnes malveillantes aux stratagèmes des plus malicieux. Alors, dans ce contexte de cyber menaces, peut-on toujours affirmer pouvoir être 100% phishing-proof ?
Considérées comme un réel fléau numérique, les campagnes de phishing sont aujourd’hui dépeintes comme un des principaux vecteurs de cyber-attaques en 2017 : des études montrent même que les cyber-criminels créent en moyenne plus de 1,4 millions de sites de phishing par an. (source ZDNET)
Pour rappel, le phishing est une tentative cyber-criminelle durant laquelle une ou plusieurs victimes vont recevoir un mail ou un SMS qu’ils penseront être envoyés par une institution, une entreprise ou même une personne lambda. Ce mail, ou SMS, aura pour but final de lui soutirer des informations telles que des données personnelles, des informations bancaires et autres mots de passes qui pourraient être utilisés par les hackers. Peu coûteux et relativement faciles à mettre en place, ces mails malveillants passent facilement au travers des filtres spam grâce à leurs méthodes sophistiquées et atteignent très souvent leurs cibles (bien souvent avec efficacité).
Si vous avons tous à l’esprit un mail de phishing –presque– risible que nous avons reçu ces derniers mois, ces mails ont aujourd’hui tendance à ne plus ressembler aux mails très peu crédibles d’autrefois. Ils sont aujourd’hui bien plus sophistiqués, spécifiquement adaptés aux cibles qu’ils veulent atteindre et pensés pour obtenir des informations avec un maximum d’efficacité, sans que la victime ne se doute de rien.
Si tout le monde peut être visé par ces campagnes de phishing, les hackers gardent tout de même un petit faible pour une cible en particulier : les entreprises ! Pourquoi ? Premièrement et tout simplement, parcequ’elles ont de l’argent. Deuxièmement, elles disposent de bases de données clients importantes, ainsi, leurs clients tomberont facilement dans un piège qu’ils pensent être une simple démarche – ayant confiance en leur (faux) interlocuteur.
Nous avons pu le voir au travers des récentes affaires de phishing, que ce soit des petites entreprises ou de grandes multinationales, personne n’est à l’abri de ce genre de cyber-menaces. Netflix, Free Mobile ou encore plus récemment Equifax ont fait la une de l’actualité non seulement par les attaques qu’elles ont pu connaitre (qui ont d’ailleurs eu parfois des conséquences déplorables) mais aussi parce qu’un grand nombre d’attaques par campagnes de mails malveillants ont été lancées en leur nom.
C’est aujourd’hui un fait, de grandes précautions doivent donc être prises quant à votre appréhension des emails que vous pouvez recevoir, que ce soit à la maison ou au travail. Si certains lanceurs d’alerte font un gros travail de veille et avertissent grâce à leurs réseaux et sites internet le grand public et les entreprises de ce genre de cyber attaques (comme par exemple Damien Bancal), il reste un grand effort à faire concernant la sensibilisation contre les campagnes de phishing qui peut être faite en amont.
Un très bel exemple de sensibilisation a d’ailleurs été mis en avant il y a quelques jours : le Ministère de l’Economie et des Finances a en effet choisi d’envoyer un mail malveillant à l’ensemble de ses 145 000 salariés – prétendant qu’ils avaient gagné deux places de cinéma – pour tester leur degré de prudence face à ce type de message frauduleux. Le test s’est avéré peu concluant puisque 30 000 d’entre eux ont cliqué sans aucune méfiance sur le lien en question… ! Chacune des personnes concernées s’est donc vu offert une formation concernant les dangers qui peuvent découler d’une inattention face à ces cyber-menaces.
Si un grand nombre de campagnes de phishing sont conçues sous la même forme, un « simple » mail contenant un lien corrompu, envoyé tel quel à un nombre important d’internautes, nous observons récemment une vraie sophistication des procédés utilisés par les hackers. Nous allons d’ailleurs pouvoir le vérifier grâce à l’exemple de la toute nouvelle campagne de phishing « FreeMilk », qui se révèle être d’une efficacité redoutable.
Le petit nouveau: le cas FreeMilk
L’Unité 42 de Palo Alto Networks vient en effet d’identifier une nouvelle campagne de phishing aux procédés jusqu’alors jamais vus : en effet, les mails frauduleux sont cette fois-ci envoyés au cours d’une vraie conversation par mail entre deux personnes et les piègent dans le but de leur faire télécharger un malware, en se faisant passer pour l’une des parties prenantes de la conversation.
Cette campagne malveillante, appellée FreeMilk, après que ces mots aient été trouvés dans le code du malware, profite d’une vulnérabilité de Microsoft Office et Wordpad (vulnérabilité d’exécution à distance de codes) pour exécuter le malware qu’elle contient.
Quelques solutions potentielles à mettre en place pour éviter le piège des campagnes de phishing
Voici quelques conseils pour vous aider à établir une protection maximale contre ces cyber menaces – ces conseils sont évidemment à utiliser en parallèle d’une bonne mise en application des bonnes pratiques de l’utilisation d’Internet.
Chez vous
- Utilisez la dernière version de votre système d’exploitation.
- Assurez-vous d’effectuer toutes les mises à jour nécessaires afin de protéger votre ordinateur.
- Ne cliquez pas ou ne téléchargez aucune pièce-jointe reçue par mail si vous n’êtes pas sûr de sa provenance et de l’expéditeur de cette pièce.
- Mettez régulièrement à jour votre Anti-spams.
Au travail
- Les derniers patchs doivent être immédiatement déployés sur l’intégralité des machines de votre entreprise.
- Tout équipement infecté doit être immédiatement retiré du réseau.
- Mettez régulièrement à jour votre Anti-spams.
- Sensibilisez et formez votre équipe aux dangers de ces campagnes malveillantes.
Vous pouvez aussi choisir de poursuivre cette sensibilisation à travers la mise en place de cours et de formations de sensibilisation à la sécurité des systèmes d’information, que nous pouvons vous proposer.
Aujourd’hui, personne ne peut se proclamer 100% phishing-proof, tant ce type de cyber menaces s’est développé et sophistiqué dans le temps. Cependant, les précautions présentées ici et une grande attention face aux messages que vous recevez sur votre boite mail au quotidien vous permettront surement d’éviter un grand nombre de pièges qu’essaieront de vous tendre les hackers !
