Et quelle est la meilleure manière d'obtenir des informations d'une personne?... Tout naturellement en les lui demandant. Ainsi, le phishing utilise le principe simple qu'un utilisateur en confiance et peu informé des risques qu'il court ou qu'il fait courir, est crédule.
Initialement utilisé pour obtenir des informations confidentielles de "simples" particuliers: numéros de cartes bancaires, comptes d'identification/ authentification sur des sites de banques en ligne (la première cible fut d'ailleurs une banque australienne et les premières victimes, ses clients), le phishing est devenu un instrument de transmission de virus informatiques ainsi qu'un outil d'espionnage industriel.
En effet, il n'est plus rare actuellement que des messages soient envoyés à certains utilisateurs d'une société en leur demandant de mettre à jour des informations concernant leurs comptes d'accès au réseau et serveurs internes. Cette mise à jour est facilitée par la présence directe d'un lien (facilement "cliquable" dans le corps du message), vers un serveur se trouvant sur internet et récupérant ainsi les informations de l'utilisateur. Ces mails sont "crédibilisés" en usurpant une adresse d'administrateur interne (par exemple admin@nom_de_société.com ou supervisor@nom_de_société.com...). Sachant que dans les entreprises, mobilité oblige, de plus en plus de serveurs internes sont accessibles de l'extérieur et sans que pour autant des authentifications fortes ou différentes des authentifications internes soient mises en place, les renseignements recueillis peuvent être immédiatement exploités pour accéder à des informations pouvant être confidentielles ou tout simplement pénétrer les réseaux de ces mêmes entreprises.
Nécessité pour l'utilisateur d'acquérir un réflexe d'analyse de ses e-mails
Une fois de plus, c'est un des maillons les plus faibles de la chaîne de sécurité qui est visé: l'utilisateur final. Seules la sensibilisation et la formation des utilisateurs finaux à des principes de base concernant la sécurité informatique peuvent être un rempart efficace contre ce type d'attaques.
Cette sensibilisation doit aussi évoluer: des règles qui semblaient suffisantes il y a quelques mois ne le sont plus actuellement. Pour exemple, l'application du principe de ne pas ouvrir de pièces jointes d'émetteurs inconnus (principe compris par l'utilisateur comme une règle "je peux donc ouvrir les pièces jointes des émetteurs que je connais") n'est plus efficace actuellement. En effet, comme précisé ci-dessus, les derniers virus ou mails de pirates utilisent souvent le principe de l'usurpation (spoofing) de l'adresse de l'émetteur (réalisable sans aucune difficulté), laissant croire ainsi que le mail pirate est issu d'une personne connue ou fiable.
Au-delà de règles "de base" comme, par exemple, ne jamais donner par mail ou par téléphone des informations personnelles, un réflexe d'analyse systématique des messages reçus doit être acquis par tous les utilisateurs. À chaque message reçu, il est nécessaire d'effectuer une analyse critique. Celle-ci peut être en partie réalisée en se posant les quelques questions suivantes:
- est-il normal que je reçoive un message de cet émetteur?
- le contenu du message est-il conforme à ce que je peux attendre de cet émetteur?
- les éventuelles actions demandées sont-elles légitimes, sans danger et en cohérence avec les deux points précédents?
S'il est difficile de répondre à l'une de ces questions ou si l'une des réponses est négative, le mail doit être directement supprimé ou faire l'objet d'une analyse plus poussée. Même si cette analyse est loin d'être une garantie à 100%, son application permettra de réduire les risques.
Par ailleurs, il est indispensable que les politiques de sécurité des entreprises intègrent ces nouveaux risques et mettent en place des solutions, autant techniques que fonctionnelles et organisationnelles pour les maîtriser.
Le phishing n'en est qu'à ses débuts, même s'il fait déjà beaucoup parler de lui. Alors de grâce, ne mordez-pas à l'hameçon, car c'est bien connu, s'il n'y pas de poissons, il n'y aura plus de pêcheurs. Même si internet peut nous garantir que ces derniers trouveront sûrement et rapidement un autre métier!
* Laurent Charvériat est cofondateur et directeur général de Cyber Networks
Initialement utilisé pour obtenir des informations confidentielles de "simples" particuliers: numéros de cartes bancaires, comptes d'identification/ authentification sur des sites de banques en ligne (la première cible fut d'ailleurs une banque australienne et les premières victimes, ses clients), le phishing est devenu un instrument de transmission de virus informatiques ainsi qu'un outil d'espionnage industriel.
En effet, il n'est plus rare actuellement que des messages soient envoyés à certains utilisateurs d'une société en leur demandant de mettre à jour des informations concernant leurs comptes d'accès au réseau et serveurs internes. Cette mise à jour est facilitée par la présence directe d'un lien (facilement "cliquable" dans le corps du message), vers un serveur se trouvant sur internet et récupérant ainsi les informations de l'utilisateur. Ces mails sont "crédibilisés" en usurpant une adresse d'administrateur interne (par exemple admin@nom_de_société.com ou supervisor@nom_de_société.com...). Sachant que dans les entreprises, mobilité oblige, de plus en plus de serveurs internes sont accessibles de l'extérieur et sans que pour autant des authentifications fortes ou différentes des authentifications internes soient mises en place, les renseignements recueillis peuvent être immédiatement exploités pour accéder à des informations pouvant être confidentielles ou tout simplement pénétrer les réseaux de ces mêmes entreprises.
Nécessité pour l'utilisateur d'acquérir un réflexe d'analyse de ses e-mails
Une fois de plus, c'est un des maillons les plus faibles de la chaîne de sécurité qui est visé: l'utilisateur final. Seules la sensibilisation et la formation des utilisateurs finaux à des principes de base concernant la sécurité informatique peuvent être un rempart efficace contre ce type d'attaques.
Cette sensibilisation doit aussi évoluer: des règles qui semblaient suffisantes il y a quelques mois ne le sont plus actuellement. Pour exemple, l'application du principe de ne pas ouvrir de pièces jointes d'émetteurs inconnus (principe compris par l'utilisateur comme une règle "je peux donc ouvrir les pièces jointes des émetteurs que je connais") n'est plus efficace actuellement. En effet, comme précisé ci-dessus, les derniers virus ou mails de pirates utilisent souvent le principe de l'usurpation (spoofing) de l'adresse de l'émetteur (réalisable sans aucune difficulté), laissant croire ainsi que le mail pirate est issu d'une personne connue ou fiable.
Au-delà de règles "de base" comme, par exemple, ne jamais donner par mail ou par téléphone des informations personnelles, un réflexe d'analyse systématique des messages reçus doit être acquis par tous les utilisateurs. À chaque message reçu, il est nécessaire d'effectuer une analyse critique. Celle-ci peut être en partie réalisée en se posant les quelques questions suivantes:
- est-il normal que je reçoive un message de cet émetteur?
- le contenu du message est-il conforme à ce que je peux attendre de cet émetteur?
- les éventuelles actions demandées sont-elles légitimes, sans danger et en cohérence avec les deux points précédents?
S'il est difficile de répondre à l'une de ces questions ou si l'une des réponses est négative, le mail doit être directement supprimé ou faire l'objet d'une analyse plus poussée. Même si cette analyse est loin d'être une garantie à 100%, son application permettra de réduire les risques.
Par ailleurs, il est indispensable que les politiques de sécurité des entreprises intègrent ces nouveaux risques et mettent en place des solutions, autant techniques que fonctionnelles et organisationnelles pour les maîtriser.
Le phishing n'en est qu'à ses débuts, même s'il fait déjà beaucoup parler de lui. Alors de grâce, ne mordez-pas à l'hameçon, car c'est bien connu, s'il n'y pas de poissons, il n'y aura plus de pêcheurs. Même si internet peut nous garantir que ces derniers trouveront sûrement et rapidement un autre métier!
* Laurent Charvériat est cofondateur et directeur général de Cyber Networks