WHITEPAPER: Le phishing ou «pêche aux victimes» Le phishing ou «pêche aux victimes» réalité, mythe et cybercriminalité



Documents pareils
WHITEPAPER: Archivage hébergé de la messagerie. Archivage hébergé de la messagerie. Guide du responsable informatique

>Guide d achat des solutions de sécurité hébergée. >Les 10 questions que doivent se poser les responsables informatiques

Symantec MessageLabs Web Security.cloud

SECURIDAY 2013 Cyber War

Les conseils & les astuces de RSA Pour être tranquille sur Internet

spam & phishing : comment les éviter?

Coupez la ligne des courriels hameçons

LE PHISHING, PÊCHE AUX POISSONS NAÏFS

Sécurité. Tendance technologique

Trusteer Pour la prévention de la fraude bancaire en ligne

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

LIVRE BLANC COMBATTRE LE PHISHING. Auteur Sébastien GOUTAL Responsable Filter Lab. Janvier

Notes de mise à jour. 4D v11 SQL Release 2 (11.2) Notes de mise à jour

Document de présentation technique. Blocage du comportement

Notes de mise à jour. 4D v11 SQL Release 3 (11.3) Notes de mise à jour

SHOPPING EN LIGNE. POURQUOI?

Les menaces sur internet, comment les reconnait-on? Sommaire

Guide de dépannage Cisco Pour tirer pleinement parti du système informatique : les dix conseils essentiels concernant la sécurité de votre entreprise

Les vols via les mobiles

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Découvrir les vulnérabilités au sein des applications Web

Microsoft Lync de votre bureau à la salle de conférence

Club des Responsables d Infrastructures et de la Production

RSA ADAPTIVE AUTHENTICATION

Solutions de sécurité des données Websense. Sécurité des données

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

GESTION DE FLOTTE MOBILE (MDM), LE GUIDE DES BONNES PRATIQUES

UNE NOUVELLE MENACE : LA PUB-ILLICITE OU QUAND LA PUBLICITE SERT DE PASSERELLE A LA CYBER CRIMINALITE

Banque en ligne et sécurité : remarques importantes

Les cyberattaques représentent ainsi une menace quasi quotidienne pour nos données. Pourquoi?

LES INSCRIPTIONS À L «UNIVERSITÉ DE LA CYBERCRIMINALITÉ» SONT OUVERTES!

Le petit liver vert du phishing. du phishing. Le petit livre vert. w w w. n o r m a n.c o m

LIVRE BLANC. Citrix XenDesktop. La virtualisation de poste de travail : la check-list de l acheteur.

L E S M E S S A G E S S P A M & P H I S H I N G

Découvrir et bien régler Avast! 7

SÉCURITÉ DES MOYENS D ACCÈS ET DE PAIEMENT

Une meilleure approche de la protection virale multiniveau

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Accompagner nos clients vers.cloud. Nicolas Luneau Business Development Manager Symantec.cloud

Achats en ligne - 10 re flexes se curite

Résumé. IronPort Web Reputation : protection et défense contre les menaces à base d URL

ACHATS EN LIGNE 10 RÉFLEXES SÉCURITÉ. Le site pratique pour les PME. N 2 LES GUIDES SÉCURITÉ BANCAIRE

Les botnets: Le côté obscur de l'informatique dans le cloud

Guide d installation et de configuration du serveur de messagerie MDaemon

Solutions AvAntGArd receivables

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.


Déjouer la fraude aux «faux» virements. MEDEF Lyon Rhône Mardi 28 avril 2015

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE

RECOMMANDATIONS ET MISES EN GARDE DE McAFEE EN MATIÈRE d achats en ligne

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Attention, menace : le Trojan Bancaire Trojan.Carberp!

Progressons vers l internet de demain

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Guide de démarrage rapide. Microsoft Windows 7 / Vista / XP / 2000 / 2003 / 2008

Comment se protéger contre les s suspicieux?

Présenté par : Mlle A.DIB

De vous familiarisez avec les concepts liés aux droits des consommateurs.

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

La protection des systèmes Mac et Linux : un besoin réel?

Passage du marketing par à l automatisation du marketing

Comment Repérer les Faux Logiciels Antivirus Par l équipe FortiGuard Labs de Fortinet.

BIEN PROTÉGER. Mes données bancaires et mes moyens de paiement

Click to edit Master title style. Yann Ferouelle Microsoft France

SOLUTIONS INTELLIGENTES DE PRÉVENTION DES FRAUDES

ÉTAT DES LIEUX DE LA GESTION DE LA SÉCURITÉ ET DU BIG DATA

TD n o 8 - Domain Name System (DNS)

Chaque année, près de 400 millions de personnes 1 sont victimes de la cybercriminalité.

NETBANKING PLUS. Votre portail e-banking pratique

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

Webroot SecureAnywhere. Foire aux questions

Symantec Endpoint Protection Fiche technique

Nokia Internet Modem Guide de l utilisateur

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Meilleures pratiques de l authentification:

Le spam introduction. Sommaire

Banque a distance - 10 re flexes se curite

Courrier électronique

Unité d enseignement

Qui représente la plus grande menace? Le personnel ou les cybercriminels

Messagerie. Dominique MARANT CRI Lille 1. Octobre 2006

RÈGLE N 1 : SAUVEGARDEZ VOS DONNÉES

Votre sécurité sur internet

Phone Manager Soutien de l'application OCTOBER 2014 DOCUMENT RELEASE 4.1 SOUTIEN DE L'APPLICATION

Cortado Corporate Server

Guide de l utilisateur Mikogo Version Windows

Présentation du logiciel Lotus Sametime 7.5 IBM

5 éléments qu une solution de gestion de mobilité pour l entreprise (EMM) doit avoir

Connaissez les risques. Protégez-vous. Protégez votre entreprise.

Primer LE CLOUD COMPUTING DÉMYSTIFIÉ PME ET CLOUD COMPUTING : 5 IDÉES REÇUES

HUAWEI TECHNOLOGIES CO., LTD. channelroad. A better way. Together.

DOSSIER DE L INDUSTRIE RELATIF AUX NOMS DE DOMAINE VOLUME 9 - NUMÉRO 1 - mars 2012

Solutions logicielles temps réel Supervision et business intelligence pour l industrie

BANQUE À DISTANCE 10 RÉFLEXES SÉCURITÉ. N 4 LES GUIDES SÉCURITÉ BANCAIRE MAI 2015

Sécuriser les achats en ligne par Carte d achat

Installer Maximizer CRM

Fiche d accompagnement Épisode 11 «Mon ordinateur a attrapé un virus

Transcription:

WHITEPAPER: Le phishing ou «pêche aux victimes» Le phishing ou «pêche aux victimes» réalité, mythe et cybercriminalité

Le phishing ou «pêche aux victimes» Sommaire Synthèse........................................................................1 Introduction : évolution dans l action............................................... 2 Mythes et réalités concernant le phishing..............................................3 Un univers souterrain................................................................5 Spear Phishing : atteindre la cible................................................... 8 Désamorçage de la menace......................................................... 10

Synthèse Apparu pour la première fois au milieu des années 90, le terme «phishing» décrit un ensemble d activités criminelles visant à détourner des données confidentielles au moyen de systèmes informatiques puis à vendre ces données pour en tirer un bénéfice. Quelle que soit la nature des informations volées (propriété intellectuelle, informations sur les clients, numéros de compte en banque ou de carte de crédit, etc.), les dommages subis par les entreprises victimes d une telle attaque peuvent être considérables. Destiné à tromper les victimes, le phishing traditionnel consiste à envoyer de faux messages électroniques supposés provenir de sociétés dignes de confiance. Ces courriers incitent l utilisateur ciblé à cliquer sur un lien menant à une fausse page Web où il est amené à saisir ses informations confidentielles. Cependant, dans bon nombre d attaques de phishing actuelles, un logiciel malveillant subrepticement installé sur l ordinateur de la victime retransmet secrètement les données aux pirates via Internet. Forme d attaque de phishing relativement nouvelle, le «spear phishing» consiste à lancer des attaques ciblées visant des entreprises ou des particuliers sélectionnés par le pirate. Les données servant à réaliser de telles attaques et à optimiser leurs chances de succès sont, pour la plupart, collectées sur le réseau Internet lui-même (sites de sociétés, réseaux sociaux en ligne, etc.). Les services hébergés de Symantec.cloud équipent les entreprises en vue de les protéger efficacement contre tous les types d attaque de phishing. Opérant sous tous les protocoles, ils assurent une protection anti-phishing maximale quel que soit le vecteur d attaque employé par le cybercriminel ou la méthode de tromperie mise en œuvre. 1

Introduction : évolution dans l action Vers le milieu des années 90, un nouveau terme a fait son apparition dans le langage. Ce mot bizarre d apparence tout à fait inoffensive est une simple transformation du mot «fishing» (en français, «pêche») dans lequel le «f» a été remplacé par les lettres «ph». L activité qu il décrit, en revanche, est manifestement criminelle. Elle consiste en effet à envoyer des messages électroniques semblant émaner d une source sûre mais qui visent en réalité à tromper le destinataire pour l amener à saisir son numéro de compte bancaire ou de carte de crédit. «Phishing» n est donc qu un mot de plus pour désigner une supercherie ou une tromperie dont l objet est de s approprier de l argent aux dépens d un tiers. A l origine, le phishing n était qu un type de cybercriminalité plus ou moins cohérent. Tromper la victime (entreprise, organisme du secteur public ou particulier) pour l amener à livrer ses informations confidentielles, utiliser ces données pour accéder à son compte bancaire et s approprier son argent. Depuis ces temps anciens, cependant, le phishing a inéluctablement évolué. Lentement mais sûrement, il s est diversifié au point qu aujourd hui ce «mot-valise» recouvre une multiplicité d activités dérivées, dont chacune est une arme légèrement différente brandie par la hautement professionnelle fraternité cybercriminelle d aujourd hui. Les bons vieux objectifs de fraude et de vol sont toujours d actualité, comme l est la pratique qui consiste à exploiter des données volées pour usurper une d identité ou créer de faux comptes en banque à des fins de blanchiment d argent, par exemple. Mais aujourd hui les adeptes du phishing sont également actifs dans le monde de l espionnage industriel. A ce titre, ils imaginent des moyens de plus en plus ingénieux pour accéder aux réseaux d ordinateurs, puis détourner la propriété intellectuelle ou d autres informations confidentielles (l élément vital dont dépend tout cybercriminel) pour les convertir en source de profit. Quel que soit l objectif précis de ces pirates, à chacun de leurs succès une chose est certaine : une entreprise, quelque part dans le monde, subit un choc brutal dont l impact est perceptible dans ses résultats, sa part de marché, la confiance de ses investisseurs et/ou la réputation de la société. Le phishing est loin d être un crime sans victime. Le présent livre blanc examine le phénomène du phishing. Il explique quelle grave menace il représente pour les entreprises de tous types. Tordant le cou à quelques mythes très répandus, il jette un peu de lumière dans les eaux troubles d où a émergé pour la première fois le phishing et où il continue à évoluer. Mais surtout, il vous éclaire sur les moyens de protéger votre entreprise contre ce danger. Les informations du présent document reposent sur l expérience de Symantec.cloud, une entreprise qui, par l intermédiaire de ses services hébergés, gère la sécurité des environnements Internet et de messagerie pour plus de 31 000 clients et 8 millions d utilisateurs à travers le monde, traitant quotidiennement près de 3 milliards de tentatives de connexion à des messageries SMTP et 1 milliard de demandes d accès Internet. 2

Mythes et réalités concernant le phishing Durant les dix ans et demi d existence du phishing, quelques mythes tenaces ont inévitablement couru à son sujet et sur la menace qu il représente. Dans certains cas, ces mythes reflètent ce qui fut à un certain moment une vérité mais ne l est plus aujourd hui. Dans d autres cas, ils reposent sur une croyance sans aucun fondement. Cependant, tous partagent une caractéristique commune : la croyance à ces mythes au sein de votre entreprise peut fragiliser vos défenses face à une attaque de phishing, et cela avec des conséquences désastreuses. Mythe 1 : «Cela n arrive qu aux autres» L excès de confiance est le pire ennemi de la sécurité sur Internet. Même s il est vrai que statistiquement, vous avez plus de chance de recevoir un message de spam qu un message de phishing, vous auriez grand tort de sous-estimer l ampleur du problème. L analyse du trafic Internet réalisée par les services hébergés de Symantec.cloud montre que le phishing à base de logiciels malveillants représente 600 millions de messages par jour - qui viennent s ajouter au gigantesque volume de messages de phishing «classiques» circulant à travers le globe. Deux autres faits méritent d être signalés. Tout d abord, le phishing est une menace classique dite «à faible pourcentage mais fort impact» : un seul de ces messages électroniques douteux peut causer des dommages considérables. Ensuite, le fait même que les messages de phishing soient moins nombreux que les messages de spam, et parfois très ciblés, peut aussi signifier qu ils seront mieux à même de contourner les défenses de sécurité. Mythe 2 : «Tant que je resterai vigilant, rien ne peut m arriver» Il n en est rien. Dans le monde aux prises avec le cybercrime d aujourd hui, l examen soupçonneux de chaque message électronique ou instantané présent dans la boîte de réception n est plus suffisant pour assurer la sécurité. Le niveau de sophistication de la plupart des outils déployés par les experts du phishing est tel que même les utilisateurs pour qui l informatique n a plus de secret peuvent en être les victimes. Par exemple, des sites tout à fait légitimes peuvent être infectés par des logiciels malveillants suite à une attaque par injection SQL (Structured Query Language). Une simple visite sur un tel site peut déclencher le téléchargement automatique d un logiciel malveillant et son installation insidieuse sur votre ordinateur. Même la présence de l icône figurant un cadenas, dans la fenêtre du navigateur, ne peut garantir que le site en question soit exempt de toute infection, ou tout simplement légitime. Mythe 3 : «On appelle phishing les faux messages électroniques semblant provenir d une banque» Faux. Il est vrai que depuis l avènement du phishing, le principal «fonds de commerce» des adeptes de cette forme d attaque est l envoi de messages, soi-disant en provenance de banques, invitant les utilisateurs à communiquer des informations confidentielles. Cependant, dans les nouveaux types de messages de phishing qui sévissent actuellement, les prétendus expéditeurs peuvent être toutes sortes d organismes, par exemple des établissements publics ou des revendeurs en ligne : 3

Secteurs d'activité les plus visés par les usurpations d'identité Banques/cartes de crédit Enchères/autres activités financières Commerce Secteur public Autres Secteur public De plus, bon nombre d attaques de phishing font maintenant appel à un logiciel malveillant qui s installe automatiquement sur l ordinateur des victimes de toutes sortes de manières et, comme nous le verrons, dans toutes sortes de buts. Chaque semaine, les services Symantec. cloud bloquent près de 1,5 millions de tentatives d attaque de phishing à base de logiciels malveillants. La principale difficulté est que les pirates imaginent constamment de nouveaux moyens de tromper l utilisateur. Ces nouvelles approches coexistent avec les méthodes déjà testées et éprouvées, ainsi qu avec des techniques plus anciennes auxquelles un «élément de modernité» a été apporté, comme c est le cas avec le détournement de la technologie VOIP (Voice Over Internet Protocol) décrit dans la suite de ce document. Mythe 4 : «Le phishing est une arme à l efficacité limitée» Une fois encore, il n en est rien. Il est vrai que beaucoup d attaques de phishing sont lancées au hasard et font appel à des techniques de courrier en masse (messages électroniques envoyés à la hâte par l intermédiaire de réseaux de bots). Cependant, en matière de phishing, le succès des pirates repose essentiellement sur l aptitude de ces derniers à prendre l apparence de quelqu un (a) en qui vous avez confiance et (b) qui possède une raison plausible de vous demander de divulguer des informations confidentielles. 4

Comme le montre le présent document, ils sont prêts à tout pour atteindre ce but, déployant des efforts considérables pour rechercher sur Internet ou ailleurs des informations sur leurs victimes afin de concevoir des attaques particulièrement efficaces qui ciblent une société donnée, un département ou un particulier. Rien de plus aisé que de tomber vous aussi victime de ces prédateurs soigneusement camouflés. Un univers souterrain Les eaux troubles dans lesquelles évoluent les cybercriminels sont un monde en grande partie occulte où toutes sortes de menaces Internet sont conçues et testées avant d être lancées. De ce point de vue, le phishing ne se distingue en aucune manière des autres types de menaces Internet. Comme ces dernières, il a évolué en un large éventail de techniques et outils apparentés mais distincts. Genèse de ce type d attaque Le phishing est apparu pour la première fois en pleine lumière vers 1996. Dans sa forme originale, il visait essentiellement à détourner les identifiants de connexion donnant accès aux comptes AOL. Le vecteur d attaque était le plus souvent le service de messagerie instantanée d AOL. Dans leurs messages, les pirates incitaient les propriétaires de compte à leur communiquer leurs identifiants de connexion ou informations bancaires, en se faisant passer pour des employés de cette compagnie. Cette première vague de cybercriminels exploitaient ensuite les comptes ainsi détournés pour vendre et diffuser des «warez» (logiciels illégalement copiés et/ou débarrassés de leur protection, de leurs numéros de série, etc.). Le courrier électronique est très vite devenu le vecteur d attaque favori des pirates. Ceuxci avaient pris conscience de l immense potentiel de profit que recélaient les systèmes de paiement et comptes bancaire en ligne, ou tout autre dispositif offrant un moyen d accéder à l argent d autrui. Le phishing «classique» La première attaque de phishing connue visant un système de paiement en ligne remonte à 2001. A cette époque, le phishing par «emprunt d identité» était en train de s imposer comme mode opératoire favori et habituel des pirates. Dans ce type d attaque, le pirate envoie du courrier électronique en masse ou des messages instantanés en se faisant passer pour une entreprise réputée. Le message incite le destinataire à cliquer sur un lien menant à une page Web toute aussi frauduleuse mise en place par le pirate. Une fois sur cette page, la victime est invitée à saisir des informations confidentielles que le pirate peut ensuite enregistrer, conserver et exploiter (par exemple, pour «siphonner» le compte en banque de la victime ou acheter des marchandises au moyen de sa carte de crédit). 5

L image ci-dessus montre un message de phishing typique. Dans cet exemple, le pirate se fait passer pour un service de paiement en ligne. Ce n est pas un message très élaboré ; il ne contient notamment aucun logo ou détail authentique de nature à renforcer l illusion que le courrier provient bien de la source indiquée. Mais l efficacité de ce type de message réside surtout dans le fait que l adresse figurant dans le lien Internet (qui est une adresse authentique) est différente de celle vers laquelle la victime est acheminée une fois qu elle a cliqué sur ce lien. Cette dernière est en général une imitation de l adresse légitime, suffisamment proche (ne contenant, par exemple, qu un caractère en plus) pour n éveiller aucun soupçon. L évolution vers le phishing à base de logiciels malveillants Inévitablement, le phishing par emprunt d identité a été plus ou moins victime de son propre succès. Les utilisateurs d ordinateurs étant mieux avertis du danger, le taux de réussite de ces attaques a commencé à baisser. Pour atteindre leurs objectifs, les pirates ont alors mis au point une technique encore plus efficace reposant sur des logiciels malveillants Plutôt que d inciter directement la victime à saisir ses données, il est possible d employer un logiciel qui repère les informations nécessaires sur sa machine, puis les transmet aux pirates via Internet. Ces logiciels malveillants peuvent s infiltrer sur un ordinateur de diverses manières. La victime peut être amenée à cliquer sur une pièce jointe infectée ou à visiter un site malveillant. Elle peut également être contaminée en visitant un site légitime compromis. Une fois sur la machine de la victime, le logiciel malveillant peut se mettre au travail. Dans un premier temps, la victime ignore habituellement tout de sa présence et des dommages qu il est en train de causer. 6

Les formes de phishing à base de logiciels malveillants les plus courantes sont les suivantes : Enregistreurs d activité : ces programmes surveillent tout ce que fait la victime sur son ordinateur. Ils peuvent enregistrer les saisies effectuées au moyen du clavier ou de la souris ou, même, ce qui apparaît à l écran. Généralement, ils se contentent de surveiller l activité sur Internet et ne deviennent actifs que lorsqu un site particulier est visité, enregistrant alors les identifiants de connexion et autres informations. Détournement de session: là encore, l activité sur Internet est surveillée. Par exemple, dès que le logiciel malveillant détecte que la victime se connecte à un site de banque, il «détourne» la session authentifiée et effectue des transactions comme s il était cet utilisateur. Contamination de fichier hôte : dès qu une adresse URL (Uniform Resource Locator) est saisie sur un ordinateur (par exemple, www.entreprise.com), elle est convertie en adresse IP (Internet Protocol) au moyen du système de noms de domaine (DNS). La plupart des systèmes d exploitation font appel à un raccourci ou «fichier hôte» que l ordinateur vérifie avant de contacter un serveur DNS. Certains logiciels malveillants ont été conçus pour modifier les fichiers hôtes de sorte qu ils mènent à une autre adresse que l adresse IP légitime. L utilisateur accède alors, non pas au site Web qu il a demandé, mais à un autre site. Celui-ci semble parfaitement authentique et sa barre d adresse contient la bonne adresse URL mais il s agit en fait d un site malveillant permettant le détournement de toutes les données que la victime saisit. Variantes les plus récentes Opportunistes et jamais à cours d imagination, les cybercriminels recherchent constamment de nouveaux moyens de renforcer leur arsenal déjà considérable. L avènement des services VOIP, notamment, leur a permis d étendre leur technique de phishing par emprunt d identité au domaine parlé. Dans cette nouvelle forme d attaque, les cybercriminels commencent par mettre en place un système téléphonique automatique à l image de ceux qu utilisent les banques. Un faux message électronique invite ensuite l utilisateur ciblé à appeler le numéro de ce répondeur. Pendant l appel, la victime est amenée à saisir ses numéros de compte, codes PIN, mots de passe, etc., en réponse à une série de questions préenregistrées. Il arrive également que ce soit les systèmes téléphoniques automatiques, ou les pirates eux-mêmes, qui appellent directement la victime. Cette technique repose sur l hypothèse que peu de gens encore s attendent à ce que des systèmes téléphoniques puissent être détournés par des pirates. Il y a donc peu de chances qu ils vérifient l authenticité de l appel avant de divulguer leurs informations confidentielles. Les répercussions de la crise économique mondiale facilitent également la tâche des pirates. Suite aux innombrables fusions et acquisitions auquel on assiste depuis près d un an, les appels non sollicités émanant d institutions financières inconnues sont moins susceptibles qu auparavant d éveiller les soupçons. 7

Spear Phishing : atteindre la cible Le «spear phishing» est sans doute l une des techniques de phishing les plus redoutables apparues ces derniers temps. Les attaques de ce type ciblent des entreprises particulières ou parfois même, certains de leurs employés. L efficacité du spear phishing repose sur deux facteurs clés : en premier lieu, ces attaques sont extrêmement difficiles à détecter ; ensuite, elles peuvent être extrêmement destructrices, souvent même au point de menacer la survie de l entreprise ciblée. L objectif visé est le plus souvent de s infiltrer dans les systèmes informatiques en contournant les dispositifs de sécurité. Cet objectif une fois atteint, les possibilités offertes au pirate sont pratiquement illimitées : s approprier des informations confidentielles, perturber la marche de l entreprise ou réquisitionner ses ordinateurs pour les inclure dans un réseau de bots. La liste est sans fin. Cependant, ce qui distingue vraiment le spear phishing des autres formes de phishing, c est la façon dont il est méthodiquement planifié et ciblé. Du point de vue du pirate, il importe d optimiser les chances de succès de chaque attaque en envoyant des messages aussi plausibles que possible. Celui-ci doit donc faire en sorte que ses messages semblent émaner d une personne dont la victime s attend à recevoir du courrier et traitent d un sujet à propos duquel elle trouvera normal qu on la contacte. Où les pirates trouvent-ils donc les informations indispensables pour mettre sur pied leurs attaques de spear fishing? Tout simplement (pour la plupart d entre elles) sur le réseau Internet lui-même. On n a généralement pas idée de la quantité d informations précieuses (et du plus grand intérêt pour les adeptes du phishing) qui circulent librement sur Internet, qu elles concernent la structure des entreprises, les domaines d expertise, la composition des conseils d administration, etc. Les sites Web des sociétés ne sont pas les seuls gisements de données disponibles. Les sites de réseaux sociaux recèlent également une incroyable variété de données sur les utilisateurs, leur profession et leur vie personnelle, qui peuvent être mises à profit pour rendre parfaitement plausible un message de phishing. De par leur intérêt en tant qu outils de manipulation sociale, il n est pas surprenant que ces sites soient eux-mêmes la cible régulière d attaques de phishing. Les mines inépuisables de données qu ils représentent, sans parler de la possibilité d accéder à leurs «listes d amis» les rendent très attractifs aux yeux des pirates. Analysons donc une attaque de spear phishing typique sous l œil de notre microscope : 1) Identification de la cible La première étape consiste à repérer une victime potentielle et à définir l objectif de l attaque. Une société particulièrement performante proposant un produit unique, par exemple, peut être une cible tentante. Dans ce cas de figure, la stratégie du pirate sera généralement d accéder aux informations confidentielles sur le produit pour les vendre à la concurrence. 8

Il se rendra alors sur le site Web de l entreprise, consultera sa documentation et, le cas échéant, téléphonera en se faisant passer pour une personne intéressée par le produit (avec pour objectif véritable de se procurer les noms des employés pouvant faire l objet d une attaque ciblée). Les personnes sélectionnées sont généralement les responsables ou les membres de la direction les plus susceptibles d avoir accès aux données stratégiques. 2) Sélection de l attaque Le pirate décide ensuite du moyen exact par lequel il tentera d accéder au système informatique de l entreprise et aux données qu il souhaite détourner. Il peut par exemple : Se faire passer pour quelqu un de suffisamment crédible (par exemple, un employé travaillant dans un service informatique externalisé) pour demander à la personne ciblée de lui transmette ses données d utilisateur, puis employer ces données pour infiltrer le système. Se faire passer pour quelqu un de suffisamment crédible pour envoyer un certain type de fichier à la personne cible. Par exemple, le pirate peut se présenter comme l agent commercial d une imprimerie et envoyer un fichier pdf infecté contenant, soi-disant, des exemples de travaux de sa société. Instaurer une relation de confiance avec la cible. Bien que difficile à mettre en œuvre, cette tactique peut s avérer très fructueuse. Une fois de plus, l important est se faire passer pour quelqu un qui a une bonne raison de contacter la cible. Ce peut être par exemple, une personne occupant le même poste dans une autre société (éventuellement fictive). Après les premiers échanges de messages, le pirate évaluera le moment le plus propice pour envoyer un fichier à contenu malveillant que la personne cible ouvrira sans se méfier. 3) Conception de l attaque La conception de l attaque exige une bonne connaissance de l entreprise et de la personne ciblée. Comme il a été souligné plus haut, ces informations sont aisément accessibles. Le mode de communication avec la personne ciblée sera le plus souvent un message soigneusement conçu, contenant le nom ainsi que le titre du destinataire, et traitant d un sujet lié d une manière ou d une autre à son activité. 4) Lancement de l attaque Le message est envoyé. Il peut s agir d une simple demande de données d utilisateur, effectuée une fois la confiance de la personne cible acquise, mais le message peut également recéler un contenu malveillant, le plus souvent sous la forme d un document de traitement de texte, d une feuille de calcul ou autre type de fichier courant. Les fichiers de ce type peuvent aisément être infectés au moyen d un code malveillant. Une fois le fichier ouvert, le code s active et s installe automatiquement sur la machine cible. 9

5) Récolte des bénéfices A présent qu il peut accéder à toutes sortes de données confidentielles, le pirate s efforce d agir promptement, avant que l entreprise n ait le temps de détecter les atteintes à la sécurité et d appliquer les mesures de protection appropriées. Sans perdre de temps, il recherche et copie tout ce qui peut présenter un intérêt (plans de produits, listes de clients, etc.) et vend le produit de sa «pêche» au meilleur enchérisseur de sa communauté de cybercriminels. Le pirate sort vainqueur. La victime et son entreprise sont les grands perdants. Fin de partie. Désamorçage de la menace Le phishing à évolué jusqu à prendre une multiplicité de formes. Cette évolution a de fortes chances de se poursuivre. La seule façon de mettre votre entreprise à l abri de ce type de menace est d investir dans une solution capable de bloquer tous les messages contenant des éléments liés au phishing, des pièces jointes infectées ou des liens menant à des sites infectés, ainsi que toutes les invitations à visiter des sites infectés par des programmes de phishing ou se faisant passer pour des sites légitimes. Malheureusement, rares sont les solutions de sécurité Internet traditionnelles qui sont capables de fournir des fonctionnalités d un tel niveau. Les services hébergés de Symantec.cloud se distinguent des autres solutions. Opérant sous tous les protocoles (messagerie, Web et messagerie instantanée), ils offrent un niveau de protection optimal à un prix abordable, en empêchant les pirates pratiquant le phishing d accéder à votre réseau et à vos données confidentielles, quels que soient le vecteur ou les techniques de fraude qu ils emploient. Pour faire instantanément obstacle aux menaces existantes ou nouvelles, l un de nos atouts essentiels est Skeptic, la technologie prédictive propriétaire de Symantec.cloud. La technologie Skeptic, elle aussi, évolue en permanence, apprend et augmente en efficacité à chaque message traité, procure une compréhension optimale des caractéristiques du phishing et détecte toutes les attaques même les plus atypiques, quelle que soit l ingéniosité avec laquelle elles ont été conçues. Le prédateur devient alors la proie. Le chasseur devient le chassé. En optant pour les services hébergés de Symantec.cloud, vous contribuerez à convertir le phishing en une forme d attaque en voie d extinction. Pour en savoir plus sur les services de sécurité Internet entièrement gérés de Symantec. cloud contactez-nous dès aujourd hui ou visitez le site www.symanteccloud.com/fr/ 10

Bureaux EUROPE HEADQUARTERS 1270 Lansdowne Court Gloucester Business Park Gloucester GL3 4AB United Kingdom Main +44 (0) 1452 627 627 Fax +44 (0) 1452 627 628 Freephone +44(0)800917 7733 DACH Wappenhalle, Konrad-Zuse-Platz 2-5, 81829 München, Deutschland Tel +49(0)89 94320 120 Support +44(0)870 8503014 NETHERLANDS WTC Amsterdam Zuidplein 36/H-Tower NL-1077 XV Amsterdam Netherlands Tel +31 (0) 20 799 7929 Fax +31 (0) 20 799 7801 LONDON 3rd Floor 40 Whitfield Street London, W1T 2RH United Kingdom Main +44 (0) 203 009 6500 Fax +44 (0) 203 009 6552 Freephone +44(0)800 917 7733 NORDICS Business Center Nord Lyngbyvej 20 2100 Copenhagen Denmark Tel +45 33 32 37 18 Fax +45 33 32 37 06 Support +45 88 71 22 22 FRANCE 17 avenue de l Arche Tour Egée 92671 Courbevoie France Tel +33 (0) 1 41 38 57 00 Support +44 (0) 870 850 3014 AMERICAS UNITED STATES 512 Seventh Avenue 6th Floor New York, NY 10018 USA Toll-Free +1 866 460 0000 ASIA PACIFIC HONG KONG Room 3006, Central Plaza 18 Harbour Road Tower II Wanchai Hong Kong Main: +852 2528 6206 Fax: +852 2526 2646 Support: +852 6902 1130 AUSTRALIA Level 14 207 Kent Street Sydney NSW 2000 Australia Main: +61 2 8220 7000 Fax: +61 2 8220 7075 Support: 1800 088 099 CANADA 170 University Avenue Toronto ON M5H 3B3 Canada Toll-Free +1 866 460 0000 SINGAPORE 6 Temasek Boulevard #11-01 Suntec Tower 4 Singapore 038986 Main: +65 6333 6366 Fax: +65 6235 8885 Support: +800 120 4415 JAPAN Akasaka Intercity 1-11-44 Akasaka Minato-ku Tokyo 107-0052 Japan Main: + 81 3 5114 4540 Fax: + 81 3 5114 4020 Support: +531 121917 11

About Symantec.cloud More than 31,000 organisations ranging from small businesses to the Fortune 500 across 100 countries use Symantec.cloud s MessageLabs services to administer, monitor and protect their information resources more effectively. Organisations can choose from 14 pre-integrated applications to help secure and manage their business even as new technologies and devices are introduced and traditional boundaries of the workplace disappear. Services are delivered on a highly scalable, reliable and energy-efficient global infrastructure built on 14 data centers around the globe. A division within Symantec Corporation, Symantec.cloud offers customers the ability to work more productively in a connected world. For specific country offices and contact numbers, please visit our website: www.symanteccloud.com World Headquarters MessageLabs 1270 Lansdowne Court Gloucester Business Park Gloucester, GL3 4AB United Kingdom +44 (0) 1452 627 627 Copyright 2011 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. 2/2011 21167338

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back