Le phishing, une menace aux multiples visages

Le phishing ou hameçonnage compte à ce jour, parmi les cybermenaces les plus répandues et les plus redoutables. Ce type d'attaque, s'appuyant sur l'ingénierie sociale vise à tromper les utilisateurs afin d'obtenir la communication de données sensibles, connait une diversification inquiétante. Du "simple" mail de phishing aujourd'hui assez classique jusqu'aux attaques plus sophistiquées du type quishing, la menace est permanente et présente derrière chaque clic.

Mécanismes de base du phishing

L’attaquant, au travers d'uen cyberattaque basée sur l’ingénierie sociale, se fait passer pour une entité de confiance (banque, service public, collègue, etc.) afin d’inciter la victime à divulguer des informations sensibles (mots de passe, coordonnées bancaires, données personnelles) ou à exécuter un code malveillant. Contrairement aux attaques techniques (comme les exploits de vulnérabilités logicielles), le phishing exploite avant tout la psychologie humaine et joue sur des aspects spécifiques tels que l'urgence, la peur, la curiosité ou l'autorité.

Il est établi que près de 90% des cyberattaques débutent par un mail de phishing ou l'une de ses nombreuses variantes. Vecteur privilégié d'infection, il favorise la diffusion des ransomwares, le vol de données et les fraudes diverses et constitue donc la première menace du monde cyber.

Déroulé typique d'une attaque de phishing

• Au cours d'une phase de préparation, l’attaquant va cibler ses potentielles victimes (soit depuis des listings existants issus de fuites de données, soit en ciblant un individu, une entreprise ou un secteur d'activité) et collecter des informations.
• Selon son approche et le type de campagne menée, il va créer un leurre imitant une source légitime et adapté à son scénario (ex. : un mail semblant provenir de Meta signalant un problème de sécurité).
• Il "distribue" son leurre au travers du vecteur choisi (mail, SMS, réseau social, etc.).
• Il mise sur une interaction de la victime (clic sur un lien, téléchargement d'une pièce jointe ou saisie d'informations sur un faux formulaire).
• Si le leurre a fonctionné, il exploite l'accès obtenu ou les données récupérées ou déploie un malware.
  
  Ne nécessitant que peu d'investissement et promettant un haut rendement, une campagne de phishing exploite la confiance (et la méconnaissance) des utilisateurs en surfant sur l'image d'un acteur légitime (Meta, EDF, Impots.gouv...) ou de relations, et possède un taux de succès élevé.
  Adaptant leurs techniques et méthodes aux nouvelles technologies (QR codes, IA, deepfakes) et à l'évolution des comportements et usages des utilisateurs (télétravail, mobilité), les pirates, eux aussi s'adaptent, et font évoluer leur arsenal malveillant.
  

  Quelques variations de la menace

  Si pour beaucoup, le terme phishing désigne un mail frauduleux, on identifie un diversification des vecteurs d'attaque, chacun s'appuyant sur des technologies et vulnérabilités spécifiques.
  La liste des attaques décrites ci-dessous n'est pas exhaustive. Par ailleurs, il convient de garder à l'esprit qu'elles ne sont généralement qu'une étape dans le processus d'une cyberattaque et qu'elles peuvent même être menées de front ou successivement pour compléter le scénario et les données et autres accès obtenus.
  
  

  Un mail malveillant

  1. Le phishing

  Le phishing (hameçonnage) est l'élément de base et le pionnier de l'attaque par ingénierie sociale.
  Un "simple" mail, imitant une entité légitime comportant soit un lien qui pointe vers un site usurpé lui aussi, soit une pièce jointe malveillante.
  Au fil du temps, ces imitations grossières et aisément détectables (fautes d'orthographe, images de mauvaise qualité, grammaire douteuse, absence de personnalisation...) laissent place à des courriels plus vrais que nature, les principaux points d'alerte disparaissant peu à peu.
  Ce type d'attaque menée en masse, concerne tous les possesseurs d'une boite mail, ne ciblant pas un individu en particulier.
  
  

  2. Le spear phishing

  Dérivé du phishing, le spear phishing (pêche au harpon) s'en démarque essentiellement par les cibles auxquelles il s'adresse. Il n'est plus ici question de campagnes de masse, mais d'attaques ciblées, visant spécifiquement un individu ou une entité particulière. Le spear phishing se distingue par le contenu du mail, celui-ci étant personnalisé en utilisant différentes données trouvées en ligne.
  
  

  3. Le whaling (Whale phishing)

  Dérivée du spear phishing, cette attaque vise "les gros poissons" (whale = baleine) en ne ciblant que les hauts dirigeants d'entreprises. Les mails utilisés peuvent imiter une communication interne pour inciter à réaliser une action (souvent un transfert de fonds) ou une menace de poursuites judiciaires qui incitera plus aisément à ouvrir une pièce jointe ou à cliquer sur un lien.
  

4. Le clone phishing

Cette technique consiste à dupliquer un mail légitime (facturation, alerte, rappel...) en remplaçant un lien ou une pièce jointe par une version malveillante.
Le clone phishing limite fortement les méthodes "classiques" de détection d'un email frauduleux, celui-ci ne possédant aucune des caractéristiques attendues quant à la structure du courriel, à son visuel, ou encore à l'orthographe utilisé.

Le SMS comme vecteur de compromission

5. Le smishing (SMS phishing)

On retrouve chez ce cousin du phishing un mode de fonctionnement similaire et des finalités identiques, à la différence qu'utilisant les SMS ce type d'attaque vise principalement les supports mobiles.
L'urgence (risque de ne pas agir à temps, risques de pertes (données, finances) ou de louper une occasion (gains)), la peur (associée à l'urgence agit comme un inhibiteur de la réflexion et incite à réagir rapidement), la curiosité (un message volontairement incomplet, au ton familier interrogatif peut inciter à initier un échange qui débouchera sur un contenu malveillant) ou encore l'autorité (injonction par une autorité (judicaire, administrative ou autre) appelant une réponse rapide) sont parmi les principaux aspects mis en avant.

Un appel trompeur

6. Le vishing (voice phishing)

Utilisé seul ou en complément d'une attaque préalable, souvent un smishing, le vishing consiste à tromper la victime via un appel téléphonique. En se faisant passer pour un conseiller (bancaire, technique) ou un représentant d'Etat, le pirate au travers d'un échange très orienté et particulièrement bien articulé incite la victime à lui communiquer des données privées, voire à installer un malware ou une porte dérobée sur son système.

Les personnes âgées apparaissent comme particulièrement vulnérables à ces 2 types d'attaque.

Un scan fatal

7. Le quishing (QR code phishing)

Susceptible d'être intégré dans un mail, au même titre qu'un lien suspect), sur un blog ou tout autre support numérique, le quishing peut également être diffusé vie des flyers, affiches, panneaux publicitaires, et ainsi sortir de son environnement cyber, et réduire quelque peu la vigilance des cibles potentielles.
La subtilité de ce type d'attaque est que sur un support non numérique, le QR code malveillant peut être collé sur un QR code valide, redirigeant la victime sur le site, ou le lien de téléchargement de l'attaquant.

Une redirection malveillante

8. Le pharming (farming by phishing)

Cette version de phishing consiste à altérer l'annuaire (DNS (1)) qui redirige les connexions internet vers un ou des sites malveillants.

Fonctionnement de l'annuaire DNS :
L'utilisateur veut se rendre sur le site "lesbonnesaffaires.com", qu'il n'a jamais consulté. Son navigateur va chercher la correspondance entre l'adresse saisie et l'adresse IP du serveur qui héberge le site. Cette recherche s'opère dans le "DNS local", si le site est inconnu, la recherche s'opère au niveau du cache du navigateur, de l'OS et du routeur, sans réponse valide, c'est ensuite au niveau du serveur DNS récursif (généralement celui du FAI) que la demande est soumise. Si l'IP est toujours inconnue, le serveur racine est ensuite sollicité il orientera en fonction de l'extension du domaine (.fr, .com..) vers le serveur TLD (top level domain) correspondant qui adressera la demande au serveur faisant autorité et qui détient les enregistrements DNS réels.

Théoriquement, chacun des serveurs interrogés peut faire l'objet d'une compromission. Plus celle-ci se positionne haut dans la chaine, plus l'impact et le nombre de victimes sera important.

Des liens (il)légitimes en ligne

9. Le phishing via les moteurs de recherche et les publicités

Par le biais de "publicités" achetées auprès de fournisseurs habituels (Google Ads, Bing, Meta...), les pirates diffusent des liens renvoyant vers des sites malveillants usurpant des visuels connus ou proposant (bien souvent) des opportunités ou solutions miracles, techniques ou non, voire du drop shipping (le "vendeur" enregistre et encaisse une commande qu'il transfère à un fournisseur, ne disposant d'aucun stock).

10. Le phishing par pop-ups

Les pop-ups, fenêtres qui s'ouvrent au dessus de la fenêtre active sont généralement utilisées pour afficher des messages publicitaires, des notifications, ou encore un avertissement. Largement utilisées dans le cadre d'attaques malveillantes (parfois plus intrusives et dérangeantes que réellement dangereuses), elles sont aujourd'hui majoritairement bloquées par les principaux logiciels antipublicités.
Bien que le but d'une pop-up soit de vous faire cliquer sur un lien pour vous rediriger voire pour télécharger un programme malveillant, il apparait assez fréquemment qu'elles soient aujourd'hui principalement utilisées pour alerter l'utilisateur d'une défaillance grave de son système (détection d'un virus ou malware, crash du système, vulnérabilité critique détectée) pour l'inciter, soit à prendre attache téléphoniquement avec un conseiller technique (vishing), soit à télécharger le logiciel qui solutionnera tous les problèmes identifiés (et installera un programme malveillant). Surfant sur le fait que la grande majorité des ordinateurs fonctionnent sous windows, le logo et, ou le nom de microsoft y est souvent associé.

11. L'angler phishing

Via les réseaux sociaux, les pirates créent de faux comptes usurpant les noms et qualités de grandes marques et enseignes et de leur service client.
Trompé par ce faux compte d'assistance, un utilisateur peut être amené à révéler des informations privées potentiellement sensibles telles que des identifiants de compte ou des coordonnées bancaires.

12. Une image pas si sage

Toujours sur les réseaux sociaux, l'utilisation d'images "piégées" utilisant la stéganographie (2), et contenant des scripts ou autre code malveillant ou des liens cachés, semble également se répandre.

Un navigateur compromis

13. Le tabnabbing

Le tabnabbing (littéralement "vol d'onglet") est l'exploitation des nombreux onglets gardés ouverts par un utilisateur pendant sa navigation. Via une compromission initiale de la machine ou un script présent sur le site visité, un attaquant peut remplacer le contenu d'un onglet inactif. Lors de la réactivation par l'utilisateur, il sera confronté à un formulaire d'identification imitant celui du site concerné. Pensant avoir été déconnecté après une période d'inactivité trop longue, il saisira ses identifiants qui seront en réalité envoyés à l'attaquant.

Le tabnabbing ou vol d'onglet

Une sécurité toute relative

Comme l'illustre l'énumération ci-dessus, internet n'est pas un endroit sûr et chaque clic peut ouvrir grand la porte à nos précieuses données.
Dès lors, la vigilance doit être systématique et l'adoption d'une politique proche du "zero trust" (confiance zéro) une nécessité. On ne le répétera jamais assez, le danger est partout et les pirates ne font aucune distinction quant au profil de leurs victimes. La moindre donnée étant, immédiatement exploitée, voire même monnayer auprès d'autres pirates.
Par ailleurs, sur la toile, aucun site même à l'apparence sûre ne peut être considéré comme inoffensif. Même un moteur de recherche peut renvoyer vers un site frauduleux.

Les risques du phishing et de ses dérivés

Dans un premier temps, la victime de phishing peut constater des tentatives de connexion à ses différents compte voire des changements de mots de passe ou autres situations particulières...
En effet, les différentes données récupérées au cours de ces attaques, généralement un couple identifiant (pseudo ou adresse mail) mot de passe, peuvent potentiellement être immédiatement exploitées. Surfant sur l'un des travers de nombre d'utilisateurs standards (réutilisation pour plusieurs comptes du même identifiant et du même mot de passe), les pirates vont rapidement tenter de prendre la main sur un maximum de comptes et récupérer ainsi davantage de renseignements sur leur victime.

Les risques sont nombreux et variés, mais on pourrait les résumer en un seul point, la poursuite de l'attaque. Comme évoqué plus haut, le phishing n'est que l'un des éléments qui composent une cyberattaque, premier acte ou étape complémentaire, il permettra d'infiltrer un système, plus ou moins frontalement.
Les vrais risques immédiats sont donc une compromission silencieuse du système avec à la clé, une fuite massive de données, ou une attaque plus brutale et rapide, du type ransomware. Entre exfiltration et cryptage des données, les conséquences sont lourdes.
En finalité, pour les victimes, la fuite de données entraine outre des risques d'exploitation de celles-ci, leur revente, multipliant davantage les risques de nouvelles attaques. Des risques financiers majeurs sont également à craindre, entre l'exploitation des éventuelles données bancaires volées et l'usurpation d'identité.

Un "simple" mail de phishing peut donc avoir des impacts et conséquences variables selon que la victime soit un particulier, une entreprise ou encore un Etat ou une infrastructure sensible.

• Pour un particulier, on peut citer :
  1. l'usurpation d'identité. 1 victime de phishing sur 3 est victime d'une usurpation d'identité, les données volées permettant la réalisation d'actions frauduleuses, l'ouverture de comptes bancaires et demandes de crédit, la souscription d'abonnements et autres contrats.
  2. les pertes financières, en lien avec la compromission des comptes bancaires officiels (virements frauduleux, assèchement des comptes), le coût d'une éventuelle usurpation d'identité, un possible ransomware et ses conséquences, fuite et perte de données, impact économique (pertes + rançon éventuelle...). Le coût moyen pour un particulier d'une attaque de phishing est estimée à 1200 €.
  3. les atteintes à la vie privée et l'impact psychologique ne sont pas à sous-estimer. Tout comme pour un cambriolage l'intrusion dans les parcelles intimes de la vie de la victime (parfois exposées au travers de réseaux sociaux mais sous un statut privé) est traumatisante. Des données sensibles et potentiellement utilisables (historique médical, correspondances privées, photos, préférences sexuelles, orientation politique...), si exposées, pourraient se révéler particulièrement nuisibles. Les démarches administratives pour faire reconnaitre son statut de victimes son longues et complexes et ajoutent mal-être. Certaines victimes, entre honte et sentiment de violation se renferment sur elles mêmes, développent une forme de paranoïa et une perte de confiance dans le numérique.
     
     
• Pour une entreprise on peut citer :
  1. l'espionnage industriel, si l'appât du gain anime majoritairement les pirates, d'autres motivations peuvent exister, le vol de données sensibles et, ou classifiées en est une. La détention d'un brevet, d'un savoir faire ou d'un ingrédient unique étant susceptible d'intéresser des groupes industriels concurrents.
  2. les pertes financières directes et indirectes, sont colossales, même (surtout) pour une petite entreprise qui peinera à retrouver une stabilité économique. Au-delà de l'impact immédiat de l'attaque elle-même, de nombreux frais et investissements vont s'imposer, parmi lesquels, l'arrêt partiel ou total de l'activité, les coûts de gestion de l'incident (nettoyage et restauration des systèmes, enquête forensique, communication de crise, sanctions éventuelles si manquement aux obligations RGPD par exemple jusqu'à 4% du CA mondial...), l'éventuelle fuite de clientèle, l'absence de rentabilité le temps de l'attaque et de la remédiation, la formation du personnel, la mise à niveau des équipements... La facture est lourde et peut atteindre plusieurs millions d'euros.
  3. l'atteinte à la réputation et la perte de clients, l'arrêt, plus ou moins prolongé, de l'exploitation, la perte d'une exclusivité et la potentielle fuite de données clients sont de nature à faire fuir la clientèle, tant l'actuelle que la future. Il est évoqué de 20% des clients d'une entreprise victime d'une cyberattaque, quittent la marque.
  4. les risques juridiques ne sont pas à négliger. La probabilité, en fonction de l'ampleur de l'attaque et des pertes avérées, qu'un client, un partenaire ou un prestataire extérieur, indirectement impacté engage des poursuites est grande, plus encore si une négligence est avérée. En l'absence de négligence et dans l'éventualité où l'entreprise est assurée contre les risques cyber, elle peut envisager être partiellement indemnisée, dans le cas contraire, elle devra faire face, seule, tant aux risques qu'aux conséquences.
     
     
• Pour un Etat ou une infrastructure critique,
  1. l'espionnage apparait comme une cause importante des cyberattaques au niveau d'un Etat. Des données extrêmement sensibles sur les avancées, les négociations et les recherches économiques, stratégiques, technologiques, militaires dans les domaines de la sécurité nationale, de la défense, voire d'éventuelles négociations ou ententes géopolitiques ou tout autre élément peuvent être une source d'intérêt et d'exploitation par un Etat adverse.
  2. l'affaiblissement technologique, au travers d'actes de sabotages contre les réseaux électriques, les infrastructures sensibles, systèmes de soins, grandes administrations...
  3. des investissements majeurs dans la cybersécurité, création de l'ANSSI, de plusieurs CERT (centre de réponse aux incidents), la sensibilisation de la population.
     
     

Lutter contre le phishing

Chiffrer l'ampleur du phénomène, tant en nombre d'attaques qu'économiquement est quasiment impossible. Aucune donnée statistique réellement fiable n'existe sur le phénomène, toutes les victimes ne se faisant pas connaitre et les chiffres communiqués par les cybercriminels eux-mêmes, pourraient ne comptabiliser que les attaques abouties.
Et pendant ce temps, le phénomène s'amplifie, se transforme, se professionnalise, évolue, se développe, se renouvelle et frappe sans arrêt... L'activité très récente du tristement célèbre ransomware Qilin en est un exemple flagrant.

Qilin le ransomware tentaculaire

La lutte contre le phishing est ses nombreux dérivés s'avère très complexe. L'adaptabilité des pirates pour innover continuellement tant dans l'adoption des nouvelles technologies (IA notamment) que dans les vecteurs d'attaque utilisés rend la tâche ardue.
Si des investissements via les gouvernements ont déjà été faits, d'autres sont encore nécessaires. Une évolution des réglementations, qui vise à imposer des mesures de protection et de réactivité ainsi qu'un cadre légal de lutte contre les auteurs sont également des avancées importantes. Une collaboration internationale permettant la traque des cybercriminels à travers le monde contribue également à cette lutte.

Lutter par tous les moyens, techniques et humains

Les outils pour combattre le phishing se multiplient, mais restent en grande partie, réservées aux entreprises.

• Les campagnes massives se heurtent assez fréquemment, mais pas systématiquement aux filtres anti-spam des principaux clients de messagerie.
• Les filtres anti-phishing avancés, s'appuyant sur des technologies d'IA et de sandboxing (3) analysent les mails en temps réel.
• L'adoption massive de la double authentification permet de réduire drastiquement les risques de compromission.
• Enfin les campagnes de simulation de phishing permettent de tester et former les utilisateurs finaux.
• Sur les infrastructures professionnelles, le cloisonnement des activités et l'adoption du principe de "moindre privilège" réduisent les risques d'escalade de l'attaque.
• Des procédures de validation et vérification des demandes financières par un second canal, quand elles sont mises en œuvre, réduisent les risques des arnaques au président ou au faux virement.
• Enfin, la mise en œuvre de plans de réponses aux incidents participe à l'identification de l'attaque au plus tôt et à établir une communication transparente.
  
  

Chez les particuliers, les moyens de lutte sont beaucoup plus réduits. Hormis les filtres logiciels des clients de messagerie et quelques outils accessibles au grand public, sans une connaissance avancée du domaine cyber, les protections à adopter restent insuffisante.
Pourtant, une protection existe, et convenablement configurée, elle permet de stopper la presque totalité des tentatives de phishing.

Cette protection, c'est l'utilisateur lui-même !

Certes, il apparait comme étant la faiblesse exploitée dans 80% des cyberattaques réussies, créant lui même, souvent par méconnaissance, parfois par imprudence, la faille qui servira de porte d'entrée aux pirates.
Pourtant, avec une acculturation à la cybersécurité, une sensibilisation aux risques et aux méthodes d'attaque, l'adoption de bonnes pratiques et de reflexes simples il serait, aujourd'hui, à même d'identifier et de signaler une tentative et donc de la déjouer.
Mais, c'est là que réside la difficulté majeure de ce paradoxe, cette éducation demande de l'investissement à plusieurs niveaux , mais la France ne semble pas être tout à fait prête à se donner les moyens collectifs ou individuels pour y parvenir.
Certains acteurs, dont l'ANSSI et les professionnels du monde des systèmes d'informations, s'investissent pleinement pour atteindre un niveau de cyber vigilance adapté à la menace, mais ils restent trop peu nombreux.
L'usage, du machine Learning dans la détection des anomalies dans les communications, de l'IA pour lutter à armes égales avec les pirates, ou encore de la blockchain dans les processus d'authentification sont également des avancées qui participeront à la lutte contre le phishing. On note également quelques initiatives qui contribuent à faire bouger les lignes et à faire prendre conscience au plus grand nombre du danger qui plane au dessus de nous.

Aujourd'hui, malgré un niveau de menace très élevé, beaucoup trop de décideurs négligent encore cet aspect, soit par "mépris" (les informaticiens sont juste là pour réparer l'imprimante), soit par méconnaissance et sous-estimation du risque (on ne craint pas un petit virus ; qui pourrait bien s'intéresser à nos données), soit par souci économique (vous avez vu ce que ça coute votre usine à gaz), quand ce n'est pas pour l'ensemble de ces raisons.

Nécessité d'une prise en compte urgente

Aujourd'hui, la situation est déjà catastrophique, mais la menace pourrait encore s'amplifier. On le voit dans l'évolution des méthodes et des outils mis en œuvre, les pirates rivalisent d'ingéniosité pour contourner les faibles résistances en place et innovent continuellement. S'appuyant sur les nouvelles technologies, et en particulier l'IA qui ne cesse de repousser ses propres limites, ils actualisent leurs modes d'actions, se renouvellent et perfectionnent leurs attaques (phishing quasiment indétectables, deepfake vocal et vidéo de qualité).
L'explosion des objets connectés et leur adoption massive, souvent sans mesure de protection particulière, contribue à élargir leur "terrain de jeu". Lunettes, montres, caméras, enceintes, tout autour de nous aujourd'hui est connecté, et donc présente un risque.

En bref

Le phishing, sous ses multiples formes, incarne la convergence entre la ruse humaine et la sophistication technologique. Des attaques massives par e-mail aux campagnes ultra-ciblées de whaling, en passant par l’exploitation des QR codes ou des publicités en ligne, les cybercriminels ne cessent d’innover pour contourner les défenses.
Les conséquences (vols d’identité, pertes financières, espionnage industriel, atteinte à la réputation...) sont aussi variées que dévastatrices, touchant indistinctement individus, entreprises et même États.

Face à cette menace protéiforme, la réponse doit être technologique, humaine et réglementaire.

Malgré les progrès, les attaquants font la course au phishing en tête, laissant leurs adversaires loin derrière. N'agissant quasiment qu'en réponse aux attaques, les défenseurs n'arrivent pas anticiper les prochains coups. C'est pourtant dans l'anticipation que réside la clé qui permettra d'adapter les défenses. Adopter une réelle culture de la cybersécurité est également primordial pour permettre à chacun de devenir un maillon actif de la protection.

Le phishing n’est pas seulement une menace technique, il agit comme un révélateur de nos vulnérabilités collectives (confiance aveugle, précipitation, méconnaissance des risques).
Finalement, peut-être que le combat ne doit pas être mené contre le phishing, mais que les forces doivent se mobiliser pour promouvoir l’éducation, la prudence et la résilience numérique. Face au niveau critique actuel, la vigilance n’est plus une option, mais une nécessité absolue.

(1) Le domain name system assure la concordance des noms de domaine (tels que www.cyber-sensi.fr) avec les adresses IP compréhensibles par les ordinateurs. Ces correspondances sont inscrites à différents niveaux de la chaine de connexion, y compris sur la machine de l'utilisateur.
(2) Technique qui consiste à dissimuler une information sensible dans un media d'apparence anodine.
(3) Bac à sable, espace numérique virtuel qui permet de tester des fichiers douteux sans aucun risque de compromission ni d'altération du système.

📷 Crédit photo : AwarenessFirst