L’e-mailing est devenu un élément incontournable de communication aussi bien dans le monde professionnel que chez les particuliers. Partageant ce constat, les hackers ont trouvé un moyen pour en tirer profit : le phishing.
La base des grandes histoires de piratage
Le phishing ou l’hameçonnage est, sans conteste, le type d’attaque le plus prisé actuellement par les hackers. Quand on demande à une personne, physique ou morale, victime d’une attaque ce qui se passait après la perte de ses données, entre autres, l’histoire du courriel piégé se répète. Le phishing est ainsi au centre des grandes histoires de piratage dans le monde. Il trouve notamment du succès auprès des personnes qui ne cherchent pas à savoir l’expéditeur du courriel avant de l’ouvrir, celles ne voyant pas l’existence de fautes d’orthographe dans le message comme un « signe ».
Les victimes de ce type d’attaque ne cessent de se multiplier. La raison serait, selon Guillaume Poupar, directeur général de l’agence nationale de la sécurité des systèmes d’information, le manque de formation des employés sur risques des agents faibles. Comme on le dit souvent, l’humain est la première faille de sécurité et les pirates savent comment en profiter. Les experts présents aux Assises de la sécurité et des systèmes d’information qui se sont tenues à Monaco ont ainsi lancé une recommandation aux utilisateurs : ne pas ouvrir un courriel sans connaître l’expéditeur.
Les hackers savent pourtant contourner un utilisateur vérifiant systématiquement l’expéditeur d’un email avant de le lire : l’usurpation d’identité. Beaucoup de personnes ont sûrement déjà entendu parler des attaques perpétrées par des hackers se faisant passer pour le service d’impôt, l’EDF ou un opérateur de téléphonie mobile français. On parle dans ce cas de « spearphishing » ou de harponnage.
Comment s’y protéger ?
Pour tester leur vulnérabilité face à de telles attaques, certaines entreprises vont jusqu’à organiser, elles-mêmes, des attaques en interne, selon un haut responsable de la filiale française de l’Américaine FireEye. Constat, 40% de leurs informaticiens se sont dirigés directement vers les pièges. Pourtant, il n’est vraiment pas difficile de reconnaître des mails frauduleux, d’après les propos de la directrice des services de sécurité d’IBM France Agnieska Buyère. La croissance des vols de données liée à cette méthode est surtout due à une négligence. Tout le monde connait le style de rédaction de ses contacts les plus proches. Un changement de tournures peut donc suffire pour repérer un mail de phishing. On n’a pas à cliquer sur un lien pour savoir s’il est un peu exotique. Dans ce cas, faire passer la souris. Disposer des derniers nés des équipements informatiques et des dispositifs de sécurité ne constitue pas une garantie d’invulnérabilité face à des attaques via le phishing. En fait celles-ci peuvent toujours passer sans une meilleure compréhension des risques par les utilisateurs. Ces derniers devront ainsi être formés régulièrement sur la sécurité. A toutes ces solutions, il faut ajouter l’utilisation des outils destinés à l’analyse du contenu des mails et/ou au blocage des liens et des pièces jointes douteux.