marketing digital

Phishing : comment protéger son entreprise du hameçonnage ?

Le phishing est une pratique courante et les entreprises n’en sont pas les dernières victimes. Il est courant de recevoir dans nos boîtes mail des messages frauduleux. Ceux-ci vous invitent à régler un impayé inexistant, ou à fournir ses identifiants pour « résoudre un problème technique ». C’est ce que l’on appelle le phishing ou hameçonnage. Avec cette technique, le pirate se fait passer pour un tiers de confiance pour soutirer des informations. Voici un article explicatif d’Olivier Saint Léger qui explique comment fonctionne le phishing et comment s’en prémunir.

Phishing: comment protéger son entreprise de l’hameçonnage ?

Phishing
Comment se protéger d’une attaque d’hameçonnage (alias phishing) — image produite avec Midjourney

Des messages reconnaissables… enfin presque

Souvent les fautes de français ou d’orthographe permettent d’éveiller l’attention. Mais les IA génératives permettent aujourd’hui d’améliorer les contenus et de corriger les fautes les plus flagrantes.

Les médias sociaux professionnels servent eux aussi de relais. Comme nous l’avons démontré récemment, il est facile de se faire prendre dans un moment d’inattention.

Après avoir cliqué dans le mail, la victime est attirée vers un faux site Web où elle laissera des données sensibles (identifiants bancaires, mot de passe, numéro de sécurité sociale…), potentiellement revendables par le hacker. Voici ci-dessous un schéma résumant le fonctionnement du phishing :

schéma-phishing
Schéma traduit et adapté de : https://www.elie.net/blog/anti_fraud_and_abuse/how-phishing-works

Quelques conseils pour ne pas tomber dans le panneau du phishing

Si la solution de filtrage est indispensable pour trier la plupart des mails frauduleux, d’autres réflexes sont également à adopter :

  1. En premier lieu, regardez l’orthographe. En vous méfiant des progrès des outils d’IA générative et de traduction automatisée ;
  2. Si vous avez un doute, traquez un copyright, une adresse, un contact, un numéro de téléphone.
  3. Vérifier la validité de cet email douteux en vous rapprochant de votre partenaire commercial. Celui-ci pourrait aussi être victime de la tromperie.
  4. Vérifiez les URL des pages Web et le domaine du mail de l’envoyeur.
Les entreprises de plus en plus visées par le phishing
Les entreprises sont de plus en plus visées par le phishing — image produite avec Midjourney

Voici en intégrale le billet d’Olivier sur le phishing.

Les entreprises de plus en plus visées par le phishing

« Cher abonné, nous vous informons que le règlement de votre dernière facture semble avoir échoué. Le prélèvement automatique a été rejeté par votre banque. Vous avez une démarche à accomplir : cliquez sur le lien suivant pour régler votre impayé ». Cet email, de très nombreux abonnés d’un grand opérateur Internet l’ont trouvé dans leur boîte mail. Cette technique de phishing portée par la confiance que peut avoir un internaute dans un service ou une marque n’est pas nouvelle puisqu’on voyait déjà ce genre d’attaque au milieu des années 2000.

Mais malgré cette relative ancienneté (et donc la connaissance supposée de ce problème), le phishing constitue toujours une menace importante. Pour preuve, une étude menée en 2015 par l’opérateur télécom américain Verizon a montré qu’il suffisait de quelques dizaines de secondes pour constater les premiers clics sur des liens frauduleux à la suite d’une attaque massive.

Une mise en place aisée

Par ailleurs, mettre en place une campagne de phishing ne s’avère pas particulièrement compliqué, même si certaines techniques deviennent plus complexes, quelques hackers se sont montrés capables d’envoyer des emails de phishing utilisant des liens URL qu’il est possible d’activer à distance.

Cette relative simplicité technique explique très certainement le fait que le phishing soit toujours plus en vogue auprès de hackers ou de groupes cybercriminels.

L’email constitue un véritable point faible de sécurité qui, au-delà de spécificités techniques, s’appuie essentiellement sur le manque de vigilance des utilisateurs et, parfois, sur une phase de « social engineering » qui permettra de mieux connaître la cible.

Les cybercriminels comprennent mieux leurs cibles

Les cybercriminels passent ainsi plus de temps à mieux « comprendre » leur cible en les étudiant là où ils sont visibles, sur les réseaux sociaux. Cela rend ainsi leurs attaques beaucoup plus crédibles, et donc beaucoup plus efficaces (on parle alors de « spear phishing » ou harponnage). En d’autres termes, la menace d’usurpation d’identité véhiculée par le phishing est toujours bel et bien existante auprès des utilisateurs du courrier électronique. Autrement dit, tout le monde (ou presque) est potentiellement visé.

Exemple de phishing : Des solutions techniques existent contre le phishing mais il convient également de rester vigilant et de savoir identifier les mails frauduleux
Exemple de phishing : Des solutions techniques existent contre le phishing, mais il convient également de rester vigilant et de savoir identifier les mails frauduleux

Que recherchent les hackers avec le phishing ? C’est simple : n’importe quelle donnée sensible qui pourra conduire à sa revente dans le dark Web (un mot de passe sur un service Internet, un accès à un compte client d’entreprise, un numéro de sécurité sociale, etc.) ou conduire à une action visant l’installation d’un programme malveillant qui aura des conséquences encore plus importantes.

Les entreprises n’y échappent pas

Mais si l’on pense que le phishing touche exclusivement les particuliers, il n’en est absolument rien, bien au contraire. Les entreprises sont de plus en plus impactées par des attaques de plus en plus ciblées qui les mettent en péril, ou du moins entraînent de véritables difficultés.

Rien qu’en 2015, un sondage mené par OpinionWay a montré que 81 % des entreprises sondées ont fait face à une attaque de hackers.

Plus encore, une des variantes du phishing, baptisée « whale phishing » (hameçonnage de baleine !), vise même, comme son nom tend à l’indiquer, de plus gros poissons : les chefs d’entreprise. Avec des conséquences qui sont tout aussi catastrophiques.

Si l’impact financier de ces actions est la première conséquence qui vient à l’esprit, il y en a d’autres comme la perte de réputation de la marque, la diffusion de données sensibles de partenaires ou encore le vol pur et simple de secrets industriels.

Pour rappel, il faut savoir que le phishing est dans 65 % des cas, à l’origine d’une attaque d’espionnage industriel.

Au-delà de la technique, une question humaine

Alors, comment lutter efficacement contre ces attaques néfastes ? Il y a bien sûr la réponse technologique. De plus en plus de solutions (antispam, antivirus, blocage d’URL) arrivent à détecter les emails malveillants.

Les techniques des hackers évoluent constamment. Cependant les solutions techniques s’adaptent en conséquence, limitant au mieux une grande partie des attaques.

Dans les faits, l’humain joue un rôle central dans l’aboutissement de ces attaques. La mise en place d’une solution de sécurité des messageries s’impose. Mais la formation des utilisateurs est également une nécessité grandissante.

Des lacunes dans les plans de formation

Malheureusement, peu d’entreprises ont déployé une politique de formation et de sensibilisation de leurs employés. Au-delà de la formation théorique, la preuve par l’exemple est également un bon moyen de sensibilisation. Simuler régulièrement des attaques est une « expérience » qui, à terme, pourra porter ses fruits auprès des salariés.

Une autre riposte consiste à revoir certaines procédures de l’entreprise afin d’éviter les déconvenues identiques à celles subies par l’entreprise américaine Choice Escrow. Cette dernière a vu son compte bancaire vidé à l’issue d’un vol d’identifiants réalisé par phishing.

Pour des raisons de sécurité, il est préférable d’optimiser les circuits décisionnaires sur certaines procédures sensibles. Dans le cas de Choice Escrow, par exemple, la banque avait recommandé la validation par deux personnes avant d’effectuer un virement vers un compte externe.

Cette procédure de sécurité n’ayant pas été suivie, l’entreprise n’a pu obtenir aucun recours auprès de la banque qui estime qu’elle avait prévenu des risques.

Définir les actions autorisées

Une autre solution, plus technologique cette fois, permettra de définir les actions autorisées au personnel. En fonction du niveau de responsabilité par exemple.

Par exemple, en ayant recours à une solution de filtrage des mails sortants, il sera possible d’interdire à certains employés de faire sortir par mégarde ou inattention des fichiers sensibles pour l’entreprise ou des clients.

Quelques conseils pour se prémunir du phishing

Il n’est pas inutile de terminer cet article par quelques recommandations. Si elles sont connues et paraissent basiques, il ne semble pas inutile de les rappeler. Car le phishing continue de faire chaque jour des milliers de victimes.

L’orthographe en premier lieu

En premier lieu, regardez l’orthographe. Peut-être que cette « astuce » semble bien éculée tant les hackers font des progrès (en technique et en orthographe). Toutefois, certains emails arrivent encore dans les boîtes avec des tournures qui paraîtront bien étranges aux pratiquants de la langue de Molière. Ou encore avec des fautes qui ne sont pas dignes de l’émetteur.

Si une faute est autorisée, un texte comportant au moins deux erreurs est a priori légitime pour la poubelle.

Malgré une apparence correspondant à la charte de l’entreprise, le contenu du mail peut facilement mettre la puce à l'oreille...
Malgré une apparence correspondant à la charte de l’entreprise, le contenu du mail peut facilement mettre la puce à l’oreille…

Les marques et les références

Vérifiez également les marques qu’aucune grande entreprise n’oublierait dans un courrier. Si vous avez un doute, traquez un copyright, une adresse, un contact, un numéro de téléphone.

Un exemple de phishing imitant un mail de PayPal. Vous le trouverez en compagnie d’autres copies d’écrans sur le site dédié phishing.org.

Si vous êtes en relation avec l’entreprise émettrice de l’email, rien ne devrait être plus simple que d’utiliser les canaux de communication conventionnels pour vérifier la validité de cet email douteux. Et du même coup, vous préviendrez votre partenaire commercial qu’il est aussi potentiellement victime de la tromperie.

Phishing: le lien est clé

Le lien est la clé. Il faut donc accorder une attention toute particulière à celui-ci. Vérifiez les URL des pages Web. En premier lieu, vérifiez le domaine et assurez-vous qu’il ne comporte pas de fautes ou de variantes. Exemple : Scnf.fr au lieu de sncf.fr.

Vérifiez également que le domaine du lien est identique au domaine utilisé par l’envoyeur de l’email. Dans le cas d’un lien trop complexe, n’hésitez pas à remonter l’email vers le responsable informatique de l’entreprise. En tout état de cause, en cas de doute, la règle est simple : pas de clic ! Idem pour les pièces jointes.

S’il existe le moindre doute, la règle précédente est conseillée : pas d’ouverture, une vérification, et poubelle.

Dernier point, et non des moindres, prenez votre temps ! Les hackers jouent souvent sur une situation stressante pour forcer une réponse rapide. Ceci favorise les erreurs puisque le récepteur ne prendra pas forcément le temps de vérifier.

L’astuce ? Relisez les points ci-dessus.


Note importante

Ce billet a paru en premier sur le site Secure-IT que Visionary Marketing avait réalisé pour la société Egedian. La société ayant changé d’activité, ce site a disparu. Nous avons donc repris le texte de ce billet, car ce sujet est plus que jamais d’actualité.

Yann Gourvennec
Follow me

Yann Gourvennec

Yann Gourvennec created visionarymarketing.com in 1996. He is a speaker and author of 6 books. In 2014 he went from intrapreneur to entrepreneur, when he created his digital marketing agency. ———————————————————— Yann Gourvennec a créé visionarymarketing.com en 1996. Il est conférencier et auteur de 6 livres. En 2014, il est passé d'intrapreneur à entrepreneur en créant son agence de marketing numérique. More »

Comments

Bouton retour en haut de la page