Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

Retour aux articles

Phishing, une attaque toujours d’actualité !


Auteur : Wojciech Myszkorowski

Date de publication : 1 mai 2019 - Dernière mise à jour : 16 mai 2019


Lundi matin, il est 8h17... Vous arrivez à votre bureau, vous avez 7 e-mails non lus, mais à 8h30 vous avez un meeting et vous vous dépêchez de parcourir et de répondre à ces e-mails. Parmi les 7, se trouve un e-mail frauduleux dans le but d’extorquer certaines de vos informations personnelles.
Cet e-mail vous demande de cliquer sur un lien hypertexte vous invitant à ouvrir une session en saisissant votre identifiant et votre mot de passe pour mettre à jour les politiques de sécurité de votre poste de travail.

Voilà un cas simple du Phishing. Celui-ci face à une population non éduquée fonctionne 7 fois sur 10.

Le Phishing un problème ne datant pas de hier

L'hameçonnage, phishing ou filoutage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité afin d’obtenir des gains financiers. Environ 77% des institutions bancaires et de finances ont connu une tentative d’escroquerie en 2017.

Ce phénomène a gagné en popularité depuis l’arrivée des réseaux sociaux. L’obtention d'informations tels que noms des animaux, noms des meilleurs amis se retrouvent facilement. De plus l’accès à l’information de manière générale s’est grandement amélioré depuis maintenant 10 ans.

Énormément d’informations peuvent être retracées sur une personne grâce au fait que beaucoup de sites s’entrecoupent et possèdent diverses interactions. Que ce soit Facebook avec la publicité, que ce soit YouTube avec du machine Learning pour affiner les propositions, pour finalement venir se loger dans notre subconscient en pensant que nous maîtrisons notre environnement informatique.

Pour une personne malveillante qui aimerait venir vous dérober des informations cela représente une mine d’informations avec lesquelles, elle va essayer de vous approcher et de voler des informations encore plus personnelles.

Techniques et outils pour se prémunir d’une arnaque par email

Pour commencer, il faut mentionner que la sécurité n’est pas une option et que l’activer ne provoque pas une protection absolue contre toutes attaques.

On peut se munir de la meilleur technologie, Firewall, IDS, IPS, Reverse proxy, MFA, WAF, SCAN, et tous autres solutions qui vous protègent cela ne suffit pas toujours. En effet, si vous recevez un mail frauduleux et que vous donnez votre mot de passe… Ces outils n’auront pas servi à grand-chose ! Donc de manière générale ce qui protège une entreprise d’une attaque de phishing c’est tout d’abord la diligence de l’utilisateur ainsi que son éducation aux bonnes pratiques informatiques.

La première protection est l’attitude à adopter. Comme par exemple ; ne pas utiliser une seule adresse e-mail pour tous les comptes utilisateurs que vous possédez sur vos différents sites web. Essayez au minima de posséder deux adresses e-mails différentes et séparées : Une adresse e-mail principale à utiliser quotidiennement et une seconde dédiée à des actions ponctuelles en ligne (Par exemple, créer un compte utilisateur sur un site Web pour un seul usage).

A noter : Dans la même suite d’idées, n’utilisez pas votre e-mail professionnel à titre privé.

Cette mise en garde doit être prise dans la mesure où le fait de s’inscrire sur un site n’est pas un crime ou une mauvaise habitude. Mais dans le cas où un de ces sites serait compromis, vous n’auriez pas toutes vos adresses e-mails corrompues (Ainsi que le mot de passe associé à cette adresse e-mail).

Notre conseil est « Faîtes attention » : lorsque vous recevez un e-mail et que vous avez un doute sur sa légitimé : consultez l’équipe informatique de votre entreprise ou tout simplement ne répondez pas avec des informations qui vous semblent compromettantes.

Voici la liste des éléments à faire particulièrement attention si vous avez un doute :

Adresse d’expéditeur : Est-elle légitime ? Connaissez-vous l’expéditeur ? Est-ce normal de recevoir un mail de cette personne ? Le nom de domaine est-il écrit avec la bonne orthographe ?

Heure de l’envoie : Un collègue ou un fournisseur, vous envoie un mail à 3h du matin sans raison valable, cela doit éveiller vos soupçons.

Répondre bouton : Vérifiez que l’adresse mail pour répondre est bien la même que celle de l’expéditeur.

Pièces attachées : Vérifiez que les pièces jointes sont cohérentes par rapport à l’expéditeur et au contenu du mail et qu’elles ne portent pas de Noms étranges. Si vous avez un doute, ne les ouvrez jamais.

Contenu : Vérifiez le contenu dans son ensemble. Les bons indicateurs sont les nombreuses fautes d’orthographes, les fautes de grammaire ou encore le choix de la langue utilisée pour vous écrire. Par exemple, si vos mails avec vos collègues sont toujours rédigés en français, le fait de recevoir un mail en anglais doit éveiller « encore » un soupçon.

À ne pas oublier !!!
Les pirates mêlent du social engineering au mail frauduleux – Cette technique est le Spearphishing. Ils jouent sur les émotions, l’inattention et la rapidité d’action.

La vitesse d’action : Les mails phishing vous invitent souvent à répondre le plus rapidement possible.

Un message de peur : Le mail vous indique que votre inaction provoquera des conséquences graves et lourdes d’ordre privé ou au niveau de votre matériel. Ne cédez pas à la peur !

Propagation du message : l’expéditeur vous invite à informer l’ensemble de vos contacts – Message à divulguer au plus grand nombre et au plus vite,

L’effet de surprise : Les pirates vous font gagner à un jeu concours. Pour obtenir le lot, ils vous demandent des informations personnelles.

Voilà quelques étapes à garder en tête pour votre prochaine analyse d’e-mail avec lequel vous avez un doute. Mon conseil est donc de toujours garder la tête froide, ne pas agir précipitamment et toujours mettre un contexte autour du mail reçu. Par exemple, par rapport à l’arnaque d’Amazon : Suis-je client ? Ai-je participé à un jeu concours ? Est-ce normal de recevoir ce mail ?...

Et si vous cliquez ?

Vous êtes piégé ! il existe des briques de sécurité supplémentaires que l’on peut adopter pour limiter certaines fuites de données. Selon moi une bonne technique est le double facteur d’authentification activable depuis la plupart des plateformes

Qu’est-ce que le double facteur d’authentification ?
Un MFA repose sur le principe d’avoir au minimum deux éléments que vous connaissez et possédez.

  • Quelque chose que vous connaissez (mot de passe)
  • Quelque chose que vous possédez (une smart card)
  • Quelque chose que vous êtes (une empreinte digitale)

La double authentification ajoute une sécurité supplémentaire. Dans le cas d’un mail de phishing qui serait un succès par l’obtention de votre mot de passe. Le pirate sera vite bloqué car il ne pourra difficilement obtenir votre deuxième moyen d’authentification : Empreinte digitale ou Smart Card.

Il est donc considéré comme bonne pratique de se munir d’un deuxième facteur d’authentification pour les plateformes sensibles (comptes bancaires, boite email, etc.) Dans notre portefeuille, nous proposons différents produits d’authentification forte selon les besoins et la configuration demandée par le client (de type : Smard card, token, application mobile…).

Les e-mails sont souvent configurés pour passer à travers un relai qui va analyser le contenu, l’adresse de l’expéditeur, l’adresse IP. Cet outil est fondamental pour une protection optimale d’une entreprise possédant un domaine privé. Il en revient à l’administrateur de configurer proprement les différentes options. Il est conseillé de garder un œil dans les premiers temps sur les e-mails qui sont bloqué ou considéré comme spam pour ne pas se retrouver avec des faux positifs. Il est donc important que l’administrateur ne considère pas la configuration comme étant figé et prêt à l’emploi mais y revienne hebdomadairement pour y veiller à sa bonne exécution.

Les défenses ultimes

L’expression courante des équipes informatiques est de dire : « le problème se situe entre la chaise et le clavier ». Ce bulletin appuie ce dicton car malgré toutes les protections mises en œuvre dans l’entreprise, l’humain reste un facteur décisif.

La popularité des réseaux sociaux, la démultiplication des applications web, et l’usage quotidien des outils informatiques laissent présager une augmentation continue de ces types d’attaques basées sur le facteur humain. Car à la toute fin, c’est bien lui qui sera confronté aux menaces et c’est le bon sens qui fera la différence. Pour cette raison, pensez à sensibiliser et à former vos utilisateurs face à ces attaques. Les outils seuls ne garantiront pas une sécurité à 100%. Pour optimiser votre sécurité, mon conseil est de combiner ces deux axes : L’éducation de l’utilisateur et la protection de son environnement de travail.