Le département américain de la défense a récemment reconnu recevoir 36 millions d’e-mails chaque jour recélant un malware quel que soit son type.
Avis d’expert FireEye – Un chiffre étonnant, mais pas surprenant. Après tout, le coût du lancement d’une attaque via des e-mails malicieux est généralement négligeable, et tous les types de malwares, y compris des kits de phishing et même des offres « phishing as a service » sont disponibles sur le « dark web » pour quiconque souhaite les utiliser. La seule vraie question que pose ce chiffre de 36 millions est : A quelle vitesse va-t-il augmenter, et les entreprises privées vont-elles bientôt subir les même nombre d’attaques ?
Le phishing est une tactique largement utilisée depuis longtemps, et qui n’est pas près d’être abandonnée. Le plus souvent, des e-mails de phishing sont identifiés comme le vecteur initial d’infection pour des attaques menant à des vols d’identités, des infections de malwares et des exfiltrations de données. Alors que d’autres vecteurs d’infection s’appuient largement sur un savoir-faire technique, les attaquants devant mettre en échec des stratégies de défense et tenir compte de l’infrastructure de l’entreprise, un e-mail de phishing bien conçu doit simplement convaincre un seul utilisateur de cliquer sur un lien malicieux et de saisir une information sensible – ou de télécharger un attachement malicieux – pour fournir aux attaquants accès à l’environnement de leur victime. Une fois cet accès obtenu, ils peuvent s’aventurer plus avant pour identifier les bases de données contenant le plus d’informations sensibles, ou trouver la cible la plus intéressante.
Les e-mails de phishing sont si efficaces qu’ils sont utilisés par tous les différents types d’acteurs de menaces, des cybercriminels à motivation financière aux groupes sophistiqués de cyber-espionnage, en passant par des pirates inexpérimentés à la recherche d’un gain facile. Voici deux exemples d’attaques enregistrées récemment impliquant du phishing :
- A la fin février 2017, les analystes de FireEye ont identifié une campagne d’hameçonnage (spear phishing) réalisée par un groupe baptisé FIN7. Dans cette campagne, il apparaît que FIN7 a ciblé des personnes appartenant à diverses organisations impliquées dans des enquêtes de la Commission des Opérations de Bourse américaine (SEC).
- Depuis mai 2017, FireEye a identifié des acteurs nord-coréens ciblant au moins trois plates-formes d’échange de crypto-monnaies en Corée du Sud avec des e-mails de harponnage. FireEye pensent que ces attaques ont été menées afin de voler des fonds.
Les criminels à motivation financière comme les acteurs de cyber-espionnage modifient constamment leurs tactiques, techniques et procédures afin d’éviter d’être détectés et d’accroître le taux de succès de leurs opérations de phishing. Non seulement le volume et la sophistication des campagnes de phishing ont augmenté au cours de l’année 2017, mais on observe également un nombre croissant d’attaques qui sont spécifiquement conçues pour atteindre une cible donnée et sont donc beaucoup plus difficiles à repérer.
D’un point de vue juridique, le fait que le nombre et la sophistication des cyberattaques par e-mail continuent d’augmenter soulève de sérieuses questions sur les mesures que doivent prendre les entreprises pour se protéger. Au vu des tendances actuelles, toute organisation même de taille relativement modeste devrait regarder au-delà des antivirus traditionnels basés sur des signatures et d’une formation de base de ses employés si elle veut protéger efficacement ses serveurs de messagerie contre les cyberattaques. Des solutions de sécurité considérées jusqu’à présent comme avancées ou de nouvelle génération devraient désormais être vues comme des composantes essentielles d’une architecture standard de cyberdéfense. Ceci incluant des outils de détection non basées sur des signatures, du partage automatique d’intelligence sur les menaces, et d’autres systèmes d’analyse comportementale conçus pour identifier automatiquement du code malicieux ou des liens intégrés dans des e-mails.
Même si la décision d’utiliser de telles défenses dépend des ressources et du profil des menaces affectant telle ou telle organisation, toutes les entreprises du secteur privé ont besoin pour le moins d’analyser activement et de considérer le volume considérable des cyberattaques basées sur e-mail qui ont lieu aujourd’hui avant de déterminer comment allouer leurs ressources en matière de cybersécurité. Quelles que soient les défenses qu’une entreprise décide de mettre en œuvre, elle devrait en même temps documenter pourquoi ces défenses ont été choisies et comment elles sont adaptées aux divers risques et menaces auxquels elle est confrontée.