Phishing : comment y remédier une bonne fois pour toutes
Aujourd’hui, les attaques de phishing prolifèrent, plus sophistiquées que jamais. En cause, la pandémie de Covid-19 et le basculement soudain en télétravail, terreau propice à « l’hameçonnage » de collaborateurs en manque de repères dans ce nouvel environnement.
Car le phishing consiste avant tout à duper les utilisateurs pour les convaincre de cliquer sur un lien ou un fichier en apparence authentique, mais dont le caractère est résolument malveillant. Stressés, anxieux, désorientés par les nouvelles méthodes de travail, les salariés distraits deviennent des proies faciles pour ces attaquants.
Bien sûr, ces techniques ne datent pas d’hier, et certainement pas de la pandémie. Mais malgré les efforts déployés par les équipes IT depuis de nombreuses années, le phishing continue de faire des victimes parmi les entreprises de tous secteurs. Cette situation n’a pourtant rien d’une fatalité. Processus proactifs, contrôles efficaces, technologies de pointe... découvrez les armes qui vous aideront à lutter contre ce fléau.
Des outils de sécurité web impuissants face au phishing
Au cours des dernières années, les techniques de phishing n’ont cessé d’évoluer. Or, les contrôles mis en place par les entreprises n’ont pas su suivre la tendance. Résultat : ils ne parviennent plus à les protéger des attaques ciblant les messageries ou le trafic web.
Pour preuve, nos études montrent que 90 % des kits de phishing incorporent désormais des techniques de contournement face auxquelles les dispositifs de sécurité web traditionnels ne peuvent rien faire. Avec ces kits, les attaquants accèdent à des outils de « Phishing-as-a-Service » et à des fonctionnalités clé en main qui leur permettent d’échapper aux systèmes de détection.
Les solutions de sécurité web traditionnelles utilisent depuis longtemps des bases de données d’URL pour identifier et bloquer les accès aux sites malveillants, y compris les sites de phishing. Le principe est simple. Les fournisseurs scannent Internet à l’aide de crawlers web qui détectent les sites de phishing et les répertorient dans une base de données d’URL malveillantes. Un procédé bien connu des concepteurs de kits de phishing qui ont trouvé le moyen d’échapper aux crawlers, évitant ainsi que leurs URL ne finissent sur les listes de blocage de ces bases de données.
Autre point à prendre en compte : les attaques de phishing sophistiquées ne recourent souvent à aucun malware, ce qui leur permet de passer sous le radar des technologies de détection les plus courantes. Plus furtives que jamais, les méthodes utilisées ont recours à des techniques d’obscurcissement diverses et variées pour échapper aux scans de sécurité web traditionnels.
Un ennemi insaisissable : les multiples facettes du phishing
Les attaquants utilisent différentes techniques pour éluder les bases de données de filtrage web traditionnelles. En voici quelques exemples :
Cloaking
Les crawlers web ont un défaut : ils n’analysent pas le trafic web en temps réel. Leur travail consiste en effet à scanner des pages web sur des espaces IP connus pour être utilisés par les fournisseurs de solutions de sécurité. Les attaquants le savent et conçoivent leurs kits de phishing de manière à afficher un contenu anodin ou une page blanche à chaque fois qu’un fournisseur de sécurité procède à un scan. D’où l’image de cloak (« cape » en anglais) qui permet de couvrir leurs intentions. Ainsi dupée, la base de données d’URL classe la page de phishing dans la catégorie « inoffensif » et lui permet de passer entre les mailles du filet. Mais lorsque l’utilisateur accède à la page, celle-ci affiche son véritable contenu et le piège se met en place.
Attaques multiétapes et tests CAPTCHA
Pour brouiller les pistes, les attaquants dissimulent leurs pages de phishing derrière d’autres pages inoffensives. Ces artifices permettent ainsi d’échapper à la vigilance des outils de sécurité. Parmi eux, les tests CAPTCHA. Cette technique est particulièrement sournoise, car les tests CAPTCHA sont spécifiquement conçus pour empêcher les bots automatisés (y compris les crawlers web) d’accéder au contenu. Lorsque qu’un crawler scanne la page, il ne voit que le CAPTCHA, qui ne représente en lui-même aucun danger. La page de phishing qu’il dissimule est alors classée à tort dans la catégorie « inoffensif ».
Liens temporaires et à usage unique
Les attaquants peuvent aujourd’hui générer une quantité massive d’URL de phishing entièrement nouvelles, pour un coût dérisoire. Ainsi, une page de phishing peut être utilisée pendant quelques heures seulement, voire quelques minutes, puis laisser la place à une nouvelle URL avant que les bases de données n’aient le temps de la détecter et de la répertorier. Pour les attaques ciblées, les acteurs malveillants ont généralement recours à des liens à usage unique qui se désactivent une fois leur méfait accompli.
Attaques via un site web compromis
Une fois classés dans la catégorie « inoffensif », les sites web légitimes sont réputés dignes de confiance et ce statut n’est généralement pas remis en question. Les attaquants le savent et n’hésitent pas à compromettre ces sites pour y implanter leur page de phishing, échappant ainsi à la surveillance des outils de sécurité web. Cette technique est particulièrement dévastatrice, car elle endort la vigilance des utilisateurs qui croient interagir avec un site connu et digne de confiance.
Filtrage web, sécurité des e-mails, authentification multifacteur : les solutions traditionnelles ne suffisent pas
Pour se protéger contre des attaques de phishing toujours plus sophistiquées, certaines organisations ont recours à des outils de sécurité de la messagerie et à l’authentification multifacteur.
Seulement voilà, les e-mails ne sont pas le seul vecteur des attaques de phishing. Un système de sécurité des e-mails n’aura donc aucune prise sur les attaques provenant d’un site malveillant visité par un utilisateur. En outre, les liens de phishing sont souvent dissimulés dans des documents hébergés sur les outils de collaboration SaaS, dans des publicités affichées sur les pages web et, de plus en plus souvent, dans des SMS. Toutes ces méthodes échappent aux contrôles de sécurité axés uniquement sur les e-mails.
Comment réduire le risque de phishing
Alors que faire pour lutter contre le phishing au sein de votre entreprise ? Voici trois pistes à explorer :
Une stack de sécurité anti-phishing qui ne protège pas que les e-mails
Nous l’avons vu, les attaques de phishing emploient tout un tas de vecteurs qui vont bien au-delà des e-mails. C’est pourquoi il est important de déployer une stack de sécurité capable de contrer les attaques de phishing avancées les plus invasives. Les bases de données d’URL et les crawlers web ne vous seront d’aucune utilité contre ces menaces. Ce dont vous avez besoin, ce sont des technologies performantes comme le machine learning inline qui analyse le contenu de la page telle qu’elle est présentée à l’utilisateur. Vous pouvez ainsi la bloquer rapidement avant que le piège ne se referme.
Formation et sensibilisation
Si la technologie a un rôle essentiel à jouer, il ne faut cependant pas sous-estimer l’importance de la formation pour sensibiliser vos employés au risque de phishing. En effet, une attaque par ingénierie sociale n’a pas pour but de prendre vos technologies à défaut, mais bien les faiblesses de l’âme humaine. Les actions de pédagogie vous permettront de renforcer la vigilance de vos équipes et d’en faire des acteurs à part entière de votre défense.
Une approche complète du cycle de vie de la sécurité
Pour réduire le risque de phishing, votre entreprise ne doit pas se contenter de déployer des outils disparates. Elle doit s’inscrire dans une stratégie de sécurité de bout en bout, qui couvre aussi bien les mesures proactives que réactives. Car quelle que soit la puissance de votre arsenal défensif, vous devez vous préparer à la possibilité d’une compromission. Que se passe-t-il si l’un de vos utilisateurs est victime d’une attaque de phishing ? Si ses identifiants sont compromis ? Votre entreprise est-elle capable d’identifier et de bloquer les accès malveillants ?
L’équipe de direction doit travailler en collaboration avec chaque département au sein de l’organisation afin de garantir que les technologies, les équipes et les processus sont en place pour bloquer autant d’attaques de phishing que possible. Vous devez miser à la fois sur des outils proactifs et réactifs et déployer des processus de bout en bout qui couvriront chaque scénario et chaque cas de figure. Car seule une stratégie de sécurité complète pourra vaincre ce mal protéiforme.