Attaques polymorphes et spear-phishing
À notre époque où 4,4 milliards de personnes utilisent internet et où le numérique est profondément ancré dans notre quotidien, le piège peut sembler quelque peu grossier. Et pourtant, « la messagerie reste encore la porte d’entrée privilégiée des cybercriminels au travers du phishing, rappelle Bernard Ourghanlian, Directeur Technique et Sécurité de Microsoft France. Selon la dernière édition du rapport Microsoft sur les données de sécurité, la part des e-mails entrants qui étaient des messages de hameçonnage a augmenté de 250 % entre janvier et décembre 2018. Une observation confirmée par les chiffres du CESIN (Club des Experts de la Sécurité de l’Information et du numérique), qui dans son baromètre publié en janvier 2019 indique que le phishing reste la menace la plus fréquemment rencontrée par les entreprises. Elles sont 73 % à le citer, bien loin devant les ransomwares ou le déni de service. Voilà donc près de 20 ans que la technique de base perdure : leurrer le destinataire du mail en se faisant passer pour quelqu’un d’autre, afin de l’inciter à cliquer sur un lien, ouvrir une pièce jointe, remplir un formulaire, etc. Mais l’exécution elle, a bien changé.
« Les attaques de hameçonnage sont devenues de plus en plus polymorphes, souligne Microsoft. Les attaquants n’utilisent pas une URL, un domaine ou une adresse IP unique pour envoyer du courrier, mais ont recours à une infrastructure variée avec plusieurs points d’attaque ». Pour brouiller encore davantage les pistes, les pirates exploitent des infrastructures de cloud public afin de dissimuler leur activité au milieu de sites légitimes. Encore plus complexe à détecter, certains hackers parviennent à compromettre de véritables comptes pour envoyer leurs e-mails malveillants au sein d’une organisation. Enfin, contrairement à I LOVE YOU qui comptait sur une diffusion la plus massive possible pour faire un maximum de dégâts, on observe dorénavant de plus en plus d’attaques dites de « spear-phishing ». Ces dernières mêlent phishing et ingénierie sociale pour mener des opérations extrêmement ciblées et adresser aux victimes des messages fortement personnalisées, et donc particulièrement difficiles à identifier comme malveillants.