Phishing : L’email, un vecteur initial d’attaque
Comme à chaque évènement majeur, la crise sanitaire a vu se multiplier les attaques par courriers électroniques (ciblées ou non) utilisant le thème du Coronavirus ou plus récemment celui de StopCovid. Revenons quelques instants sur cette méthode d’attaque.
L’email, le pied dans la porte du système d’information cible
L’objectif final est :
- Soit de récupérer « directement » de l’information sensible comme des identifiants de comptes, vos données bancaires, des mots de passe, etc.
- Soit d’installer sur votre système d’information ou celui de votre entreprise, un logiciel malveillant.
Pour maximiser les chances d’un « clic » effectif, les pirates informatiques vont cibler leurs emails en utilisant l’actualité ou les centres d’intérêt de l’utilisateur, qu’ils soient professionnels ou personnels.
Et après le clic ?
Dans le premier cas (récupération directe d’informations), la victime va être amenée à saisir des informations sur un site web usurpant parfaitement un site légitime. (voir sur un site web légitime qui a été compromis).
Dans le second cas (installation d’un logiciel malveillant sur le système d’information de l’entreprise), le message électronique forgé par le pirate informatique intègre soit un fichier contenant un code malveillant soit un lien internet. Ce dernier, sur un clic de la victime, va le conduire sur un site également falsifié.
Dès que le navigateur de la victime accède au site usurpé, un code malveillant est téléchargé automatiquement en arrière-plan. Ce dernier va permettre à l’attaquant d’exploiter une vulnérabilité quelconque dans, par exemple, le navigateur de la victime ou un composant tiers (lecteur pdf, flash player…) lui permettant de prendre la main sur la machine ciblée.
Ce code, peu importe la façon dont il est exécuté peut effectuer différentes actions suivant ce que souhaite l’agresseur : Exécution d’un malware (souvent un ransomware), connexion à un site de contrôle appelé « C&C » (command and control) etc.
Le code va pouvoir alors effectuer l’action pour lequel il a été conçu, bien souvent à l’insu de l’utilisateur et des administrateurs du système.
Pourquoi l’anti-virus n’a pas arrêté le code malveillant ?
Une des premières bonnes pratiques de sécurité est de posséder un anti-virus à jour sur son poste de travail. Alors, pourquoi ce dernier n’a pas arrêté le code malveillant ?
Le pirate informatique à souvent développé un code sur-mesure pour l’environnement logiciel et matériel de la victime. Cette customisation permet d’exploiter des vulnérabilités présentes sur le système et qui ne sont malheureusement pas mise à niveau.
Mais cela ne s’arrête pas qu’à une customisation sur les vulnérabilités, le pirate informatique va également employer des méthodes de chiffrement et de réécriture de code pour modifier l’empreinte du fichier et certains fonctionnements (comme les appels systèmes). Ces techniques vont lui permettre de contourner les méthodes de détection régulièrement utilisées comme les anti-virus, les systèmes de filtrages, de monitoring etc.
La technique n’est pas suffisante
Comme l’actualité le démontre depuis des années et plus récemment durant la crise du Covid-19, dans le cas d’une attaque ciblée (ou spearphishing), les moyens techniques de protection classiques tels que les anti-virus, anti-spam, passerelle mail, etc. ne suffisent pas pour se protéger. Il est absolument nécessaire de travailler sur la dimension humaine. La sensibilisation et la formation des utilisateurs et administrateurs deviennent alors indispensables tout comme la mise en place de politiques qui seront utiles en cas d’incident ou de suspicion d’attaque.
Il est pour cela nécessaire de mettre à l’épreuve nos personnels via des campagnes de tests réalistes et d’effectuer ensuite un retour d’expérience basé sur des scénarios et des mises en situations concrètes afin de créer une amélioration continue sur l’ensemble des points.
Article proposé et coécrit par :
Jean-Marie Bourbon
Mathieu Hernandez
Actis