Connaissez-vous le spear phishing ? Cette méthode spécifique de harponnage repose sur des techniques d’ingénierie sociale…. C’est en fait une forme d’escroquerie 2.0 utilisant les failles humaines pour lever les barrières de sécurité : une fois la victime ciblée, un mail ultrapersonnalisé – et donc extrêmement crédible – lui est envoyé dans le but de lui soutirer données et informations confidentielles.

Comment fonctionne une attaque de spear phishing ? Quelles mesures l’entreprise peut-elle mettre en place pour se protéger ? Comment sensibiliser ses collaborateurs, accroître leur vigilance et leur faire adopter les bons réflexes ? Eléments de réponse !

Harponnage au cœur de Wall Street

Etats-Unis, fin 2013. Un groupe de hackers, surnommés « FIN4 », s’attaque à plusieurs centaines d’entreprises américaines cotées en Bourse. Objectif : récolter un maximum d’informations sur les opérations financières en cours. S’il ne s’agit pas des premiers pirates informatiques à chercher à dérober des données pour commettre des délits d’initiés, cette attaque se démarque à la fois par son ampleur et par des processus d’élicitation, c’est-à-dire d’extirpation frauduleuse  des informations, particulièrement élaborés.

Première étape, le ciblage d’individus détenant des informations privées sur les opérations financières à venir (consultants externes, cadres de société de conseil…) et prise de contrôle de leurs boîtes mail. Pour cela, les pirates ont vraisemblablement inséré dans des documents Word ou Excel des macros VBA générant des boîtes de dialogues exigeant l’envoi – en toute opacité – d’identifiants et de mots de passe vers un site de phishing identique en tout point à l’application en ligne de la messagerie Office. Une fois les boîtes piratées, les hackers ont alors pu exploiter les informations y étant contenues pour écrire des mails précis et personnalisés à d’autres cibles, elles aussi phishées par la suite. De mails en mails, les hackers ont réussi à remonter jusqu’aux sociétés cotées, en se faisant passer pour les consultants : le poisson était ferré, permettant aux pirates d’aller à la pêche aux informations.

Anatomie d’une partie de pêche au harpon

En quoi le spear phishing diffère-t-il du phishing « classique » ? Déjà, le ciblage n’est pas le même. Ici, il est extrêmement fin : pas d’envoi massif mais une identification précise, grâce à l’ingénierie sociale, des individus potentiellement intéressants. Notons au passage que le destinataire du message est rarement la cible finale. Il n’est souvent qu’un intermédiaire qui permettra d’obtenir des informations qui serviront lors d’une attaque ultérieure ou pourront être monétisées.

Deuxième différence, le soin apporté aux messages et aux sites de harponnage : personnalisation des messages poussée, utilisation du jargon métier, formulaires d’authentification pré-remplis, sites plus vrais que nature… On est très loin des messages de princes ivoiriens en quête de transferts d’argent urgents ! En fait, les spear phisheurs sont capables d’écrire des mails si crédibles qu’il est nécessaire de faire preuve d’énormément de vigilance pour éviter le piratage.

Alors, Comment se protéger ?

La qualité apportée à la conception des attaques de spear phishing fait qu’elles sont particulièrement difficiles à détecter et à contrer.

Pour l’entreprise, le premier pas est de prendre conscience des risques – car ils sont bien réels : au triste Panthéon des entreprises touchées, on peut citer l’ICANN, la société pour l’attribution des noms de domaines et numéros sur Internet ou le journal Le Monde, via son compte Twitter. La société doit ensuite identifier les collaborateurs qui pourraient être ciblés, souvent les dirigeants (on parle alors parfois de whaling scam), cadres ou personnels administratifs ayant accès à des données confidentielles.

Pour se prémunir, firewalls et filtres anti-spam ne sont pas d’une grande utilisé puisqu’ils ne peuvent pas bloquer les piratages issus de tactiques d’ingénierie sociale. C’est donc sur la vigilance humaine qu’il faut miser et il est pour cela nécessaire de sensibiliser les collaborateurs et leur faire adopter de bons réflexes :

=> Surveiller les informations accessibles sur le web

Plus l’adresse mail d’un collaborateur est simple à obtenir (avec une recherche Google ou une simple déduction faite grâce au nom de domaine de l’entreprise), plus celui-ci devient une victime « facile ». A bannir donc les annuaires publics dans lesquels noms, prénoms, dates de naissance et mails sont accessibles en quelques clics. Attention aussi aux informations disponibles sur les réseaux type LinkedIn qui peuvent permettre aux pirates de récolter des données précieuses pour l’élaboration de leurs attaques (intitulés de fonction, nature de la mission, relations professionnelles…).

=> Se familiariser avec les techniques utilisées par les hackers

Il est essentiel d’éduquer les collaborateurs aux techniques utilisées par les hackers : envoi de mails contenant un lien vers un site compromis ou, dans la plupart des cas, un fichier joint (.pdf, .doc, .xls, .rar, .rtf…) incluant un morceau de code malveillant. Très pernicieux, les mails de spear phishing n’ont souvent pas d’effets visibles immédiats et continuent à paraître inoffensifs, même après ouverture du lien ou fichier corrompu. Il est donc indispensable de vérifier l’URL de destination de tous les liens reçus et de se méfier des liens raccourcis, particulièrement risqués puisqu’ils permettent de dissimuler une URL.

=> Sécuriser les communications « sensibles »

Multiplier les canaux de communication permet de diminuer sensiblement les risques, puisque les pirates ont uniquement accès aux mails et informations disponibles sur le web. En cas de doute, les collaborateurs peuvent demander à l’expéditeur s’il est bien l’auteur d’un mail « douteux » de vive voix, par téléphone ou messagerie instantanée. Un code interne, convenu à l’oral, peut aussi permettre de garantir l’authenticité des messages.

A l’heure où les hackers sont de plus en plus ingénieux, il est essentiel que les entreprises incitent leurs collaborateurs à faire toujours davantage preuve de vigilance…. Comme l’écrivait déjà La Fontaine au XVIIème siècle : « Deux sûretés valent mieux qu’une » !

 A lire aussi :