Norton blog

« Retour au Blog Norton

Qu'est-ce que le spear-phishing et comment fonctionne-t-il ?

by Norton-Team

Le spear-phishing (littéralement pêche au harpon) peut donner l'idée d’une technique de pêche ancestrale, mais il s'agit en fait d'une forme assez sournoise de cyber-attaque. La plupart des gens connaissent le phishing, le spear-phishing n'est en fait que son petit frère plus futé.

Imaginez que le grand frère envoie de nombreux e-mails à des destinataires au hasard en leur demandant de cliquer sur un lien malveillant ou pour essayer de leur soutirer certaines informations sensibles les concernant. Le petit frère, quant à lui, fait des recherches sur quelques personnes triées sur le volet, puis leur envoie des e-mails personnalisés beaucoup plus crédibles.

Le spear-phishing est en fait une version plus sophistiquée du phishing, les pirates se faisant passer pour un associé, un ami ou un prestataire de services comme votre banque ou PayPal. Ils utilisent un nom reconnaissable pour détourner votre méfiance et vous demandent de cliquer sur un lien malveillant ou de fournir des informations sensibles comme vos mots de passe, coordonnées bancaires ou numéros de sécurité sociale.

 

Les attaques de spear-phishing ont tendance à être dirigées contre une personne ou une entreprise en particulier plutôt que de viser un grand nombre de victimes potentielles. Il utilise des tactiques comme l'usurpation d'identité de l'expéditeur, la personnalisation de l'e-mail envoyé et des informations détaillées pour parvenir à ses fins. Tout cela n'est souvent que le préambule à la véritable attaque et vous pourriez ne pas comprendre que vous avez été dupé jusqu'à ce qu'il soit trop tard.

Alors, qu'est-ce que le spear-phishing ?

Le spear-phishing utilise généralement la correspondance truquée en provenance d'amis ou de collègues pour inciter une personne à télécharger involontairement un élément de malware ou à divulguer des informations sensibles. Le premier contact avec une victime potentielle se fait généralement par e-mail ou sur les réseaux sociaux. Après la définition du piège, les pirates attendent de voir si une victime mord à l'hameçon.

Les pirates peuvent concentrer leur attention sur des employés ou des personnes particulières grâce à une approche de discernement au piège. Si la victime tombe dans le piège, cela ouvre la porte à une attaque plus importante sur sa personne ou son employeur.

Si vous êtes l'objet d'un de ces types d'attaques de spear-phishing, l'attaquant vous a sûrement « étudié » avant de passer à l'action. Il connait votre nom, votre adresse e-mail et vous a probablement suivi sur vos comptes en ligne pour trouver des informations personnelles vous concernant.

Il a peut-être lu vos messages sur les réseaux sociaux pour obtenir des informations concernant un de vos récents achats, a cherché où vous aviez voyagé dernièrement et trouvé le nom de vos amis et collègues. Tant d'informations se trouvant aujourd'hui en ligne, il est plus facile que jamais d'établir un profil approximatif d'une cible et de ses activités. Ces informations offrent alors aux attaquants une brèche qu'ils peuvent exploiter.

 

Les attaques de spear-phishing dirigées sur une entreprise ciblent les maillons les plus faibles dans sa chaîne de sécurité, à savoir ses employés. Une attaque typique peut par exemple cibler un plus large groupe d'employés en envoyant ce qui semble être à un e-mail lié au travail. Ainsi, vous pourriez recevoir un e-mail professionnel venant de votre « responsable » qui contiendrait un lien ou une pièce jointe infectée et qui pourrait exposer l'ensemble de votre réseau à des attaques.

Il pourrait aussi concerner une demande de « vérification » des identifiants ou mots de passe.

Une « bonne » attaque de spear-phishing repose sur un individu ou une entreprise digne de confiance pour « mettre le pied dans la porte » et ainsi avoir accès à suffisamment d'informations pour ensuite réussir à faire passer un message plus légitime puis exploiter une cible en lui transmettant une demande plausible ou en lui présentant un bon appât. Les e-mails ou les comptes de réseaux sociaux sont généralement utilisés pour faire l'approche.

Les experts en sécurité soupçonnent qu'une attaque de spear-phishing est peut-être responsable d'un récent piratage du Département d'État des États-Unis. La théorie est que la violation s'est produite après le piratage réussi qui avait ciblé de jeunes employés sur leurs comptes de réseaux sociaux et de messagerie électronique. Ce moyen facile permet aux pirates à la solde d'une nation d'infiltrer les systèmes de sécurité de gouvernements ou pays rivaux.

Le dernier rapport Norton Internet Security Threat a montré une augmentation de 8 % des attaques de spear-phishing en 2014, avec 83 % des entreprises de plus de 2 500 employés ciblées par une attaque de spear-phishing. Les petites et moyennes entreprises ont également vu leurs attaques augmenter de 26 % et 30 % respectivement. 

Le rapport a également constaté que les attaques de spear-phishing commençaient à délaisser les e-mails de masse de type spam pour passer à des envois réduits à des destinataires plus ciblés avec une approche plus coordonnée. Prendre plus de temps pour planifier des attaques moins nombreuses peut cependant être rentable sur le long terme.

Alors pourquoi les gens tombent-ils dans le panneau ?

La plupart des employés informatiques sont fatigués d'expliquer de ne pas cliquer sur des liens suspects. Leur service peut être en mesure d'intercepter la plupart des risques avant qu'ils atteignent votre boîte de réception, mais certains messages passent tout de même à travers les mailles du filet. La plupart des gens savent qu'il ne faut pas cliquer sur des liens douteux. C'est même la base de la sécurité sur Internet.

Cependant, il semblerait que plus cela soit répété, plus la curiosité est forte de savoir ce que cachent ces liens. Bien que nous sachions que c'est une chose à ne pas faire, nous restons tentés par cette pièce jointe qui semble amusante ou par ce message d'alerte de notre banque ou encore l'invitation d'un « ami ».

 

Le spear-phishing compte sur la curiosité et la naïveté de ses victimes face à un message convaincant. Comme la plupart des tours de magie reposant sur la confiance, il utilise des astuces psychologiques courantes et efficaces. Si ce n'est pas cassé, pourquoi le réparer ?

En fin de compte, la raison pour laquelle les pirates utilisent cette forme d'attaque pour infiltrer des organisations ou des entreprises est simple. Il est beaucoup plus facile d'exploiter la curiosité ou la crédulité humaine que de pirater une infrastructure de sécurité complexe.

Pourquoi perdre du temps à orchestrer une attaque frontale quand il est beaucoup plus facile de se faufiler par la porte arrière ?

Une autre tendance est l'abandon des fichiers exécutables infectés (se terminant par un .exe) comme principale source d'attaque. Les documents malveillants en pièce jointe sont maintenant la forme la plus courante d'attaque. Ils étaient utilisés dans 39 % des attaques en 2014.. Les pirates peuvent utiliser des documents, PDF, JPEG ou d'autres pièces jointes pour leurrer les victimes et les inciter à ouvrir un fichier d'apparence inoffensive. 

Même un géant de la sécurité comme RSA peut être victime d'une attaque de spear-phishing. L'attaque a été lancée sur l'entreprise lorsque quatre personnes ont reçu une pièce jointe malveillante intitulée « Plan de recrutement 2011.xls ». Ce titre seul aurait suffi pour piquer la curiosité de la plupart des gens. Un des employés a ouvert le message et la sécurité de l'entreprise a été compromise.

Les cibles n'étaient pas des employés de haut niveau mais l'infection a pu se frayer un chemin dans le réseau de l'entreprise après son ouverture sur le PC de l'employé. Les attaquants ont continué à essayer de pirater d'autres entreprises de défense comme Lockheed Martin en utilisant les informations obtenues auprès de RSA.
 

 

La raison pour laquelle les attaques de spear-phishing sont en hausse est parce qu'elles fonctionnent. Diriger une attaque sur un petit groupe et adopter une approche sur mesure est plus susceptible d'aboutir que d'envoyer de nombreux messages relatifs à une cyber-menaces à un large public.

Les pirates sont très forts pour créer des e-mails qui semblent tout à fait réels. En fait, certains d'entre eux semblent assez authentiques pour passer à travers les filtres anti-spam. Cette approche est beaucoup plus sophistiquée que la terrible arnaque du prince étranger, nous devons donc rester constamment en alerte face à la menace.

Que pouvez-vous faire pour l'éviter ?

La meilleure façon de rester protégé est de savoir ce qu'il faut chercher dans une attaque de spear-phishing commune. Si vous recevez une lettre de votre banque demandant vos mots de passe ou des informations sensibles, contactez directement la banque plutôt que de répondre à l'e-mail. Aucune institution financière ne vous demandera ces détails par e-mail.

La même chose s'applique si un « ami» vous contacte et vous fait une demande étrange ou vous envoie un message qui contient un lien suspect. Si vous êtes sur les réseaux sociaux, il y a des chances que vous tombiez sur ce genre de chose à un moment ou un autre.

Au moins l'un de vos amis cliquera sur un lien corrompu qui finira par générer lui-même un e-mail corrompu qui arrivera dans votre boîte de réception.

L'autre conseil évident est d'éviter de trop en dire sur les réseaux sociaux. Il n'y a pas de mal à partager avec vos amis ce que vous faites, mais demandez-vous si ces statuts ne pourraient pas être utilisés contre vous. Soyez particulièrement prudent avant de publier sur des comptes publics comme Twitter et Instagram. Si vous pensez que les gens ne sont pas assez bêtes pour partager des informations sensibles, consultez ce compte Twitter dédié aux personnes qui postent des photos de leurs cartes de crédit.

Méfiez-vous des liens qui semblent douteux ou qui ont des URL inhabituelles. Une astuce consiste à passer sur une URL avec votre souris sans cliquer dessus pour voir où cette adresse vous redirigera. Vous pourrez alors voir l'adresse complète au bas de votre navigateur. Si vous avez toujours des doutes, essayez de contacter l'expéditeur.

Le moyen le plus évident de vous protéger du spear-phishing est de vous munir d'un bon logiciel de sécurité pour vous donner une solide défense contre les attaques ou les infections. Assurez-vous d'installer les mises à jour de votre navigateur et de votre système d'exploitation dès qu'elles sont disponibles pour vous assurer que les correctifs de sécurité ou les mises à jour soient appliquées.

Le bon sens sera votre première défense contre la plupart des escroqueries de spear-phishing. Et si quelque chose semble louche ou tire la sonnette d'alarme, alors faites confiance à votre instinct.

Ce billet a été publié le jeu. nov. 24, 2016, sous mobile safety , online safety , online security tips , online threats et social media

VOUS VOULEZ EN SAVOIR PLUS ?

Suivez-nous pour connaître les dernières actualités, astuces et mises à jour.