Les campagnes de hameçonnage (phishing) redoublent d'intensité. Les auteurs de ces menaces profitent de nos petites habitudes pour pénétrer dans nos foyers ou entreprises.
Ce printemps, c’était le 20ème anniversaire du virus Melissa, qui a préparé le terrain à ce qu'on appelle aujourd'hui l’ingénierie sociale.
Le malware Melissa s’est propagé dans le monde entier via un fichier Word en pièce jointe d'un e-mail qui affirmait « Voici le document que vous m’avez demandé . . . ne le montrez à personne d’autre;-). » L’ouverture du document Word activait une macro qui exécutait en mode silencieux des instructions pour envoyer une copie de l’e-mail, avec une autre pièce jointe infectée, aux 50 premières personnes répertoriées dans les contacts Outlook.
Et depuis Melissa ? Les systèmes de détection des malwares et de prévention des intrusions s’améliorent constamment, et les employés sont de plus en plus sensibilisés mais l'ingénierie sociale reste la méthode de piratage la plus efficace, sous forme de phishing (hameçonnage) ou spear phishing (hameçonnage ciblé).
Les meilleurs exemples nous viennent de Microsoft. Au cours des 20 dernières années, les cybercriminels se sont focalisés sur les produits phares de Microsoft, le système d’exploitation Windows et la suite bureautique Office. À son crédit, le géant du logiciel a énormément investi dans le renforcement de sa sécurité et a été une entreprise citoyenne exemplaire dans la collecte et le partage de précieux renseignements sur ce que peuvent faire les malfaiteurs.
Les auteurs de ces menaces ont bien compris que les humains sont le maillon faible de tout réseau numérique. L’ingénierie sociale leur permet de mettre un pied dans votre maison intelligente ou dans le réseau professionnel de votre entreprise.
Thématiques des attaques
Melissa est le parfait modèle d’attaque générale et à grande échelle. L’agresseur envoie des vagues d’e-mails avec des objets plausibles et crée des messages semblant provenir de quelqu'un avec qui vous avez été en contact, comme une société de transport, un détaillant en ligne voire votre banque.
Parmi les thèmes qui reviennent régulièrement, on peut citer : un avis de comparution du tribunal, un avis de remboursement IRS, une offre d'emploi de CareerBuilder, un suivi des avis de FedEx et d’UPS, un lien DropBox, une alerte de sécurité Apple Store ou une notification de messagerie Facebook.
Les attaques peuvent aussi se faire lors d'occasions particulières comme le décès d’une célébrité, un événement sportif ou tout simplement un jour férié. À la mort de Robin Williams, un acteur menaçant s'est empressé de publier un message sur Facebook invitant les gens à cliquer pour visionner une vidéo du dernier appel téléphonique de l'acteur. Il n’y avait bien sûr aucune vidéo : les victimes ont été redirigées vers une page Web rétribuant l'acteur menaçant selon le nombre de clics publicitaires.
Le problème, c’est que les malfaiteurs recourent à ce même type de ruses pour des escroqueries bien plus onéreuses, comme inciter quelqu'un à activer des services téléphoniques payants, à installer des logiciels espions ou à distribuer des ransomwares.
Escroquerie en ligne
Parlons maintenant du spear phishing (phishing ciblé). Il consiste à se concentrer sur une seule entreprise et à collecter des informations sur un employé haut placé afin d'élaborer un message de phishing spécialisé. La compromission d’e-mails professionnels (BEC) est probablement la forme la plus répandue de spear phishing.
Il peut s’agir d’un imposteur se présente en tant que cadre supérieur et demande à un subordonné de transférer par virement les fonds de la société à un compte contrôlé par les auteurs. Selon un rapport du FBI sur la cybercriminalité, les arnaques de BEC ont coûté 1,3 milliard de dollars en 2018, soit le double du montant signalé au FBI en 2017. Et ce montant ne tient compte que d’une infime partie des arnaques car il correspond seulement aux crimes signalés au FBI par des entreprises basées aux États-Unis...
En général, une attaque BEC bloque l'utilisation d'un compte de messagerie professionnel légitime et compromis. L’attaquant s’implante pour surveiller le flux des opérations de la société, collecter des informations sur les formulaires de facturation et les contrats commerciaux, et préparer des garanties usurpées. Puis il attend un moment clé pour planifier son attaque, le voyage d’un haut dirigeant, par exemple.
Responsabilité personnelle
Pourquoi l'ingénierie sociale est-elle devenue une menace du quotidien ? Parce que nous dépendons toujours plus de services sur le cloud ou de tiers, ce qui nous rend facilement manipulables. Il y a tellement de façons de contourner l'authentification. Sans compter les vols de noms d’utilisateurs et de mots de passe qui ont lieu depuis des années faute de bonnes pratiques en matière de mots de passe.
À l’avenir, ce sera aux entreprises et aux particuliers de se protéger contre les attaques d'ingénierie sociale. En effet, notre propension à prendre de petites habitudes nous rend toujours plus vulnérables. Aux entreprises de maintenir leurs employés informés de toute attaque éventuelle et de leur faire passer des tests efficaces.
En tant que citoyen numérique, chacun d’entre nous doit protéger ses empreintes numériques lorsqu’il se connecte à Internet. Développez donc certains réflexes :
- Ouvrez vos e-mails avec précaution
- N’ouvrez jamais une pièce jointe ou ne cliquez jamais sur un lien qui vous semble suspect
- Appliquez toutes les mises à jour de sécurité sur vos navigateurs et sur le principal logiciel que vous utilisez
- Utilisez un antivirus reconnu sur tous vos appareils informatiques.
Le danger est toujours aussi présent qu’aux temps de Melissa, mais votre sécurité relève désormais de votre propre responsabilité. À bientôt pour d’autres discussions !
