Qu’est-ce que le phishing ?

Le phishing décrit généralement les techniques d’ingénierie sociale que les pirates utilisent pour voler des informations à des utilisateurs ou à des entreprises par email. Les attaques de phishing sont surtout efficaces lorsque les utilisateurs n’ont pas conscience de ce qui se passe.

Phishing

Le phishing est une méthode d’attaque qui existe depuis le milieu des années 1990. Elle a vu le jour lorsqu’un groupe de jeunes a conçu une fonctionnalité de salle de chat sur AOL dans laquelle ils se faisaient passer pour des administrateurs d’AOL. Ils volaient des numéros de carte de crédit à d'autres utilisateurs pour s’assurer qu’ils bénéficieraient toujours d’un accès gratuit à AOL.

La « salle de chat pour les nouveaux membres » d’AOL était conçue pour les utilisateurs qui avaient besoin d’une assistance pour l’accès au site. Les pirates informatiques ont créé ce qui semblait des pseudonymes valides d’administrateurs d’AOL tels que « BillingAccounting » (ComptabilitéFacturation) et informaient les utilisateurs de l’existence de problèmes avec leur compte. 

L’utilisateur devait fournir un numéro de carte de crédit pour résoudre les problèmes. Les criminels utilisaient ensuite ce numéro pour payer leur propre abonnement. Le terme de « phishing » a été conçu pour décrire cette attaque et d'autres semblables, mais il est désormais principalement associé aux arnaques par email. Les escroqueries par phishing continuent abondamment à ce jour. Selon le Rapport d’enquête sur les compromissions de données en 2021 Verizon, 36 % des violations étaient liées au phishing.

Étant donné que le phishing repose essentiellement sur l’ingénierie sociale, il est primordial que l’ensemble des utilisateurs comprenne comment les assaillants exploitent la nature humaine. Tout d'abord, l'ingénierie sociale est une arnaque utilisée par les pirates pour convaincre les utilisateurs de faire quelque chose qu'ils ne feraient pas en temps normal.

L'ingénierie sociale peut être aussi simple qu'une personne aux mains pleines qui demande à ce qu'on lui ouvre une porte. De même, une attaque d’ingénierie sociale peut commencer de cette manière : une personne fait tomber une clé USB portant l’inscription « Photos de famille » dans un parking. La clé USB peut contenir un malware qui s’installe sur l’ordinateur, compromettant la sécurité dans une certaine mesure. On connaît cette méthode sous le nom de « baiting » (appâtage).

Le terme de phishing désigné principalement les attaques génériques par email. Il se produit lorsqu’un attaquant envoie des emails à un maximum d'adresses, à l’aide de services courants tels que PayPal ou Bank of America.

L'email indique que le compte est compromis et vous invite à cliquer sur un lien pour vérifier que le compte est légitime. En général, le lien effectuera une ou deux choses, ou les deux :

  1. Il peut vous diriger vers un site web malveillant qui ressemble au site authentique, par exemple, « www.PayPals.com » au lieu de « www.PayPal.com ». Vous remarquerez la lettre « s » supplémentaire dans la première URL. Une fois que vous accédez au site web malveillant, le pirate peut capturer votre ID d’utilisateur et votre mot de passe lorsque vous tentez de vous connecter.

    Le pirate informatique a alors accès à votre compte bancaire et peut transférer de l’argent. Mais il y a un deuxième avantage possible. Le pirate peut désormais avoir un mot de passe à utiliser pour vos autres comptes, comme Amazon ou eBay.
  2. Il peut infecter votre ordinateur avec des logiciels malveillants téléchargés, nommés malware. Une fois installé, le logiciel peut être utilisé pour de futures attaques. Le malware peut être un enregistreur de frappe qui capture les identifiants ou numéros de carte de crédit, ou il peut s'agit d’un ransomware qui chiffre le contenu du disque dur et ne le libère que si vous versez une rançon, généralement en Bitcoins.

    Il est alors possible que le pirate utilise l’ordinateur infecté pour miner des bitcoins. Cette activité peut être effectuée lorsque vous n’êtes pas sur votre ordinateur, ou le malware peut bloquer une partie des capacités du processeur en permanence. Le pirate peut à présent miner des Bitcoins. Votre ordinateur fonctionne généralement plus lentement.

Le phishing a évolué au fil des ans pour inclure des attaques visant différents types de données. En plus de l’argent, les attaques peuvent cibler des données sensibles ou des photos.

Attaques de phishing

Une attaque de phishing est une mesure ou un ensemble des mesures que prend un pirate informatique pour vous exploiter. Le phishing par email est souvent facile à détecter en raison d’erreurs de grammaire et/ou d’orthographe. Cependant, les attaquants sont de plus en plus sophistiqués techniquement. Les nouvelles attaques se concentrent sur l’exploitation des émotions humaines pour vous pousser à agir : peur, indignation et curiosité.

L’attaque contre RSA en 2011 visait simplement quatre personnes de l’organisation. L’email en lui-même n’était pas très sophistiqué, mais il s’est avéré fructueux, car il ciblait les bonnes personnes. L’email, intitulé  « 2011 Recruitment plan.xls », était conçu pour éveiller l’intérêt de ces personnes, et n’aurait pas forcément intéressé d'autres membres de l’organisation.

Types de phishing

Il existe plusieurs types différents d’attaques de phishing. Il s'agit notamment de l'attaque classique par email, des attaques sur les réseaux sociaux et des attaques à des mots-valises comme le smishing et le vishing.

  • Phishing : généralement effectué par email
  • Spear phishing : par email finement ciblé
  • Whaling : email très ciblé, généralement vers des cadres
  • Phishing interne : attaques de phishing provenant de l’intérieur d’une organisation
  • Vishing : effectué par appels téléphoniques
  • Smishing : effectué par textos
  • Phishing sur les réseaux sociaux : publications sur Facebook ou d’autres réseaux sociaux
  • Pharming : compromission d'un cache DNS
     

Phishing interne

Les attaques de phishing interne sont une préoccupation croissante. Elles se produisent lorsqu'un utilisateur de confiance envoie un email de phishing à un autre utilisateur de la même organisation. L'utilisateur d'origine étant digne de confiance, les destinataires sont plus susceptibles de cliquer sur un lien, d’ouvrir une pièce jointe ou de répondre en fournissant les informations demandées. 

Pour envoyer des emails de phishing interne, un assaillant contrôle votre compte de messagerie avec des informations d'identification compromises. Un assaillant peut également prendre le contrôle de votre appareil, soit physiquement en raison de la perte ou du vol de l'appareil, soit par le biais d'un malware présent sur l'appareil. Les emails de phishing interne font partie d'une attaque en plusieurs étapes dont l'objectif final est l'extorsion avec un ransomware, par exemple, ou le vol d'actifs financiers ou intellectuels.

Smishing

Le smishing est une attaque qui exploite les appareils mobiles. Aujourd’hui, on vend plus d'appareils mobiles que de PC. Les pirates se sont donc tournés vers cette plateforme pour voler des données personnelles. Les attaques de smishing se produisent souvent lorsque des attaquants envoient un SMS à votre numéro de téléphone, avec un message vous informant d’un problème lié à votre compte et contenant un numéro à appeler pour résoudre le problème. Si vous appelez ce numéro, vous serez souvent mis en contact avec le pirate personnellement, ou avec un « employé » embauché par l’acteur malveillant.

Si vous n'appelez pas ce numéro, les pirates peuvent vous appeler pour vous indiquer que « votre compte a été attaqué et [que] vous devez partager les informations de votre compte pour résoudre le problème ». Pour assurer leur réussite, les pirates s'appuient souvent sur la quantité d'appels sortants. C'est ce qu'on appelle le vishing.

En savoir plus sur le smishing.

Phishing sur les réseaux sociaux

Les réseaux sociaux sont devenus une partie essentielle de notre monde en ligne, à tel point que les pirates s’en servent facilement pour mener à bien des attaques de phishing. Une attaque de phishing courante sur Facebook consiste à publier des « offres » sur des comptes d’« amis », avec des instructions pour cliquer. Pour réussir cette attaque, les pirates doivent pouvoir accéder à votre compte.

Ils peuvent y parvenir facilement sur de nombreux comptes, lorsqu’il existe une faille dans les serveurs en ligne d’une autre société qui causent une fuite des mots de passe. Les pirates essaient les mêmes combinaisons d’adresse email et de mot de passe sur d'autres plateformes courantes, comme Facebook ou LinkedIn.

En savoir plus sur le phishing sur les réseaux sociaux.

Pharming

À mesure que les utilisateurs ont appris l’existence des attaques de phishing, les pirates ont créé de nouvelles méthodes d'attaque. Le pharming compromet le cache DNS (système de noms de domaine) dans votre ordinateur. Cette opération s’effectue grâce à l’utilisation de téléchargements furtifs.

Tandis que vous naviguez sur des sites Web et cliquez d’un site à l’autre, l’assaillant exploite le manque de sécurité que l’on observe souvent sur les sites Web. C’est assez facile de modifier le texte HTML qui compose le site web pour qu’il comporte un téléchargement d’informations lorsque vous arrivez sur un site web ou cliquez pour y parvenir.

Si vous ne cliquez pas dans l’email, l’assaillant attend simplement que vous vous connectiez à votre banque. L’information du cache DNS modifiée vous dirigera vers la version piratée du site web de votre banque. Vous saisissez votre identifiant et votre mot de passe. L’attaquant récupère ainsi vos données d’identification pour accéder à votre compte bancaire et voler des fonds.

Comment évitez-vous le phishing ?

Il existe des choses très spécifiques que vous pouvez faire en tant que particulier pour vous protéger :

  • activer l’authentification à double facteur (2FA) sur tous les comptes qualifiés ;
  • utiliser des programmes antimalware ;
  • utiliser des pare-feu ;
  • se méfier des fenêtres contextuelles (pop-ups) et des fenêtres affichées à l’arrière-plan (pop-unders) ;
  • se méfier des pièces jointes aux emails de sources connues ou inconnues ;
  • se méfier des textos ou des messages instantanés de sources connues ou inconnues demandant de cliquer sur un lien vers une certaine destination ou qui aboutit sur une demande de données à caractère personnel ;
  • ne pas dévoiler de données à caractère personnel.

En tant qu’organisation, en plus des recommandations susmentionnées, vous devez :

  • filtrer les emails de phishing et le trafic malveillant sur le web dès l’entrée ;
  • authentifier les expéditeurs des emails par DMARC (Domain-Based Message Authentication, Reporting, and Conformance) ;
  • filtrer les emails de phishing en fonction de l’expéditeur et du contenu et analyser les URL et les pièces jointes à la recherche d’attributs malveillants à l’aide de techniques statiques et dynamiques ;
  • employer des techniques de filtrage avancées qui utilisent l’intelligence artificielle (IA) afin de repérer les usurpations d'identité par email et les attaques de vol d’identifiants ;
  • éviter les attaques de phishing interne grâce à une solution de sécurité intégrée au service pour votre plateforme de messagerie électronique cloud ou sur site à l'aide d'API. Celles-ci sont disponibles pour Microsoft 365, Google G Suite, Microsoft Exchange Server et IBM Domino server.

Articles associés

Recherches associées