Qu'est-ce que le hameçonnage ?

Le hameçonnage est une pratique qui consiste à tenter de duper un internaute en attirant son attention pour l'inviter à ouvrir un e-mail malveillant. L'« expéditeur » de l'e-mail piège la victime en lui faisant croire que le message provient d'une source fiable, comme un service administratif, un fournisseur ou un client de l'entreprise.

L'e-mail de hameçonnage peut contenir une pièce jointe corrompue, un document Word ou PDF par exemple. Une fois ouvert, ce fichier infecte l'ordinateur de l'utilisateur en installant un logiciel malveillant. Le courrier frauduleux peut également comporter une URL malveillante dans le corps de son message. Lorsque l'utilisateur clique sur le lien de l'URL, il est redirigé vers un site à l'aspect fiable, mais destiné en fait à récupérer des informations confidentielles (noms d'utilisateur et mots de passe) ou à installer un logiciel malveillant sur son terminal.

Comment les pirates procèdent-ils ?

Pour parvenir à leur fin, les cybercriminels utilisent des comptes de messagerie électronique compromis ou détournent des adresses e-mail existantes en dissimulant l'identité de l'expéditeur malveillant. Cette tâche relativement simple consiste à altérer l'en-tête d'un e-mail de sorte qu'une fois arrivé dans la boîte de réception d'un utilisateur, le message semble avoir été envoyé par info@banque.com plutôt que par jeandupont@exemple.com.

Les cybercriminels utilisent de simples comptes de messagerie électronique compromis ou détournent des adresses e-mail existantes.

Malheureusement, le serveur de messagerie chargé de réceptionner l'e-mail n'est pas configuré par défaut pour vérifier que le nom de domaine exemple.com est autorisé à envoyer des e-mails au nom de banque.com. De nombreuses solutions techniques ont été proposées et déployées pour mettre fin à cette faille d'authentification par e-mail, mais leur mise en œuvre tarde à se concrétiser.1 L'une des principales difficultés réside dans le fait de configurer les serveurs de messagerie entrants et sortants de manière à permettre la réussite de l'authentification.

Les attaques par hameçonnage ne sont bien souvent que les prémices d'attaques de spams de plus grande ampleur, et sont généralement envoyées en grande quantité par des botnets d'ordinateurs compromis. En 2016, le nombre de courriers électroniques non sollicités a progressé de 400 %. Près de la moitié des e-mails envoyés dans le monde étaient considérés comme indésirables.2 Toutefois, le démantèlement du botnet Necurs a entraîné une baisse de 50 % du volume de courriers indésirables en 2017.3 Malgré cette évolution positive, l'e-mail reste la porte d'entrée préférée des logiciels malveillants.4

Types de hameçonnage

Hameçonnage insidieux : c'est la technique de hameçonnage la plus courante. Les cybercriminels se font passer pour une entreprise ou un organisme légitime et tentent de dérober des informations personnelles (PII) ou des identifiants de connexion. Cette forme de hameçonnage est bien souvent générique et perpétrée sans cible précise. Le but de l'opération consiste à espérer qu'en envoyant une masse considérable d'e-mails, un nombre suffisamment important d'utilisateurs ouvrira l'e-mail.

Pour illustrer ce type d'arnaque, prenons l'exemple d'un e-mail prétendument envoyé par une banque à une multitude de personnes dans l'espoir que certains des destinataires seront des clients de la banque dont le nom a été usurpé. L'objet de l'e-mail emploie généralement un ton urgent : « Votre compte bancaire a été piraté : mettez à jour votre mot de passe immédiatement » ou « Facture impayée ci-joint : réglez le solde immédiatement pour éviter toute poursuite judiciaire ». Comme décrit précédemment, lorsque l'utilisateur a cliqué sur le lien, saisi ses informations personnelles ou ouvert la pièce jointe, il est déjà trop tard.

« Votre compte bancaire a été piraté. Mettez à jour votre mot de passe immédiatement »

Harponnage : contrairement aux e-mails de hameçonnage génériques, les e-mails de harponnage utilisent des messages extrêmement personnalisés. Si l'objectif reste le même, à savoir duper le destinataire en l'invitant à ouvrir un lien ou une pièce jointe malveillant(e), l'expéditeur s'efforce ici de personnaliser l'e-mail associé à l'attaque pour y inclure le nom de la cible, son entreprise, son poste, ou mentionner les collègues du destinataire ou ses relations dans l'entreprise. Ces informations personnelles permettent d'accroître encore davantage l'intérêt du lecteur pour le contenu malveillant du message. Face à la multiplication des réseaux sociaux professionnels et grand public, rassembler des informations personnelles en vue de rédiger un e-mail convaincant est une opération relativement simple pour les cybercriminels.

Chasse à la baleine/Fraude au président/Compromission par e-mail d'entreprise (BEC) : ce type de hameçonnage cible l'équipe de direction d'une entreprise et a pour objectif de tromper une « baleine », autrement dit un membre de la direction, pour obtenir ses identifiants de connexion. Une fois ces informations dérobées, les cybercriminels peuvent usurper l'identité de la victime, pour ensuite commettre une « fraude au président » en ayant recours à une attaque de type BEC (Business Email Compromise, ou Compromission par e-mail d'entreprise) et autoriser des virements électroniques ou d'autres opérations importantes. À titre d'exemple, imaginez un e-mail urgent prétendument envoyé par la PDG d'une entreprise au service Finance, demandant un transfert de fonds en raison d'un voyage d'affaires en Chine l'obligeant à régler une facture impayée auprès d'un fournisseur local. Entre 2014 et 2016, la « fraude au président » a touché 12 000 entreprises et coûté 2 milliards de dollars.5

Entre 2014 et 2016, la « fraude au président » a touché 12 000 entreprises et coûté 2 milliards de dollars.

Réduire le risque de hameçonnage susceptible de compromettre votre entreprise

Formez tous les maillons de la chaîne. Le hameçonnage implique qu'un utilisateur ouvre ou clique sur un contenu malveillant. Aussi est-il impératif de veiller à ce que les employés sachent reconnaître, éviter et signaler les différents type de hameçonnage. Soumettre le personnel de l'entreprise à des exercices simulant l'envoi de faux e-mails de hameçonnage est un bon moyen de former les utilisateurs à distinguer le message d'un fournisseur réel d'un courrier indésirable portant l'objet « Urgent : Facture ci-joint à ouvrir et à régler dans les plus brefs délais ». Les entreprises ont tout intérêt à mettre en place un programme de sensibilisation et de formation continue de l'ensemble de leurs employés.

Ne négligez pas la formation des dirigeants d'entreprise. Les membres de l'équipe de direction sont tout aussi faillibles que leurs employés. Pourtant, une faute de sécurité commise par un dirigeant peut entraîner de bien plus lourdes conséquences. Face à l'évolution de ces menaces (« chasse à la baleine », « fraude au président », « attaque BEC ») et au perfectionnement des cybercriminels, les entreprises doivent s'assurer que leurs dirigeants participent aux programmes de formation et de sensibilisation mis en place.

Ne négligez pas la formation des dirigeants d'entreprise.

Adaptez vos processus financiers. Dans le monde hyperconnecté et exigeant d'aujourd'hui, les coûts imputés aux entreprises ne cessent de croître. Aussi, des sommes d'argent considérables sont chaque jour transférées dans l'urgence aux quatre coins du globe, en appliquant et/ou en acceptant des normes plus ou moins rigoureuses. Envisagez de recourir à des processus permettant de vérifier l'authenticité de tels transferts d'argent. Si personne n'apprécie de contrarier, de remettre en question ou d'importuner un dirigeant, il est nettement préférable de faire preuve d'une extrême prudence plutôt que de risquer le détournement de sommes colossales des caisses de l'entreprise.

Déployez plusieurs couches de défenses de sécurité. En partant du principe que les cybercriminels mettront tout en œuvre pour contourner vos dispositifs de sécurité et s'efforceront de constamment renouveler leurs méthodes, la meilleure pratique consiste à adopter une stratégie de défense complète. Commencez par vous munir d'un filtre de messagerie capable d'analyser tous les e-mails entrants à destination de votre entreprise. Cette mesure permettra de bloquer une partie non négligeable des tentatives de hameçonnage. Optez ensuite pour un produit antivirus proposant une protection contre le hameçonnage. Enfin, déployez une solution dédiée à la surveillance des requêtes Web sortantes dans l'éventualité où un utilisateur cliquerait sur un lien malveillant. Il peut s'agir d'une solution DNS ou proxy.

La meilleure pratique consiste à adopter une stratégie de défense complète.

Activez l'authentification multifactorielle. Même en prenant toutes les précautions précédemment citées, vous n'êtes pas entièrement à l'abri de subir une attaque de hameçonnage entraînant le vol du nom d'utilisateur et du mot de passe d'un employé. Pour limiter ce risque, le déploiement de l'authentification multifactorielle vous permettra de veiller à ce que les cybercriminels ne puissent pas accéder à vos applications, services et données sensibles, même en cas de détournement d'identifiants.


1 https://luxsci.com/blog/state-domain-based-email-authentication-part-1.html
2 https://www.ibm.com/security/data-breach/threat-intelligence-index.html
3 https://www.proofpoint.com/sites/default/files/pfpt-us-tr-q117-threat-report.pdf
4 http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/
5 https://www.ft.com/content/19ade924-d0a5-11e5-831d-09f7778e7377
6 https://www.ibm.com/security/data-breach/threat-intelligence-index.html
7 https://www.symantec.com/security-center/threat-report
8 https://www.symantec.com/security-center/threat-report
9 https://www.symantec.com/security-center/threat-report
10 https://www.proofpoint.com/us/human-factor-2017
11 https://www.proofpoint.com/us/human-factor-2017