ENTREPRISES & STRATÉGIES — Technologies

Cyberattaque

Comment mieux se protéger du phishing



Neuf cyberattaques sur dix commencent par une tentative de phishing. D’où l’intérêt de se préparer à affronter ces premiers essais... (Photo: Shutterstock)

Neuf cyberattaques sur dix commencent par une tentative de phishing. D’où l’intérêt de se préparer à affronter ces premiers essais... (Photo: Shutterstock)

Neuf cyberattaques sur dix commencent par une tentative de phishing. Un phénomène qui s’appuie de plus en plus sur la récupération d’informations disponibles sur les réseaux sociaux. Les pirates savent tout de vous.

Un jour, vous craquerez. Les pirates le savent. Pour des raisons variées, vous déciderez de cliquer sur ce mail à l’origine pourtant douteuse. La tentative de «phishing» aura marché.

C’est quoi?  

Une tentative de phishing («hameçonnage» en français) consiste à essayer de récupérer des informations personnelles comme des mots de passe, un numéro de carte de crédit ou un compte Paypal, pour voler de l’argent.

Comme 10% des internautes au moins ne résistent pas à la tentation, les criminels informatiques envoient des dizaines de mails, souvent presque identiques.

Deux tendances émergent: le phishing de l’urgence, celui qui demande à un employé de procéder rapidement à un transfert de fonds, et le phishing de la confiance, qui semble venir d’un partenaire de confiance dont les employés peuvent avoir l’habitude.

Comment ça démarre?

Vous avez reçu un mail. La banque ou les impôts veulent vous rembourser un trop-perçu? Vous avez gagné à une loterie? Elle vous a vu à l’arrêt de bus et vous invite à cliquer sur son site pour la revoir? C’est trop facile?

Alors, il y a probablement un «loup». Le courrier électronique s’adresse à vous de manière impersonnelle, il exige que vous réagissiez très vite et vous invite à cliquer sur un lien. L’adresse d’envoi du mail est étrange.

C’est arrivé près de chez nous

En avril, par exemple, l’Université du Luxembourg a été contrainte de publier un petit communiqué de presse pour expliquer que certains salariés avaient reçu «un message provenant en apparence de l’Université et leur faisant miroiter une augmentation salariale. Les victimes qui suivaient le lien indiqué étaient dirigées vers un site qui leur demandait d’enregistrer leur mot de passe institutionnel. Cela a permis de modifier les données et les coordonnées bancaires de ces personnes sur le système informatique de l’Université. En conséquence, les salaires du mois de mars d’un nombre très limité de personnes ont été versés sur des comptes frauduleux.»

L’argent a vite été récupéré, mais il n’y a plus une banque ou une administration luxembourgeoise qui n’ait pas sa page sur le phishing, de  Post  à la  Spuerkeess  en passant par l’ Administration des contributions directes .

Des statistiques qui font peur

79% des 4.000 employés interrogés par Egress ont même «invité» leurs assaillants à entrer. Deux tiers par erreur. 44% sans en être conscients, 36% faute d’entraînement ou d’outils et… 30% intentionnellement.

76% de ces attaques sont motivées par l’argent, sans surprise, conclut aussi une étude de Verizon .

Et 92,4% des logiciels malveillants sont «livrés» par mail, selon cette même étude portant sur plus de 53.000 attaques dans 65 pays.

91% des cyberattaques commencent par une tentative de phishing par mail,  indique le rapport PhishMe , qui a envoyé 40 millions de mails pour s’en convaincre...

Les bons conseils du CASES

- Mettre en place un filtre anti-spam (client ou serveur), accompagné d’une politique sectorielle liée aux aspects opérationnels et aux communications;

- sensibiliser les employés aux bonnes pratiques dans ce domaine, comme par exemple: ignorer tout spam ou phishing, veiller à ce que des adresses mail puissent uniquement être diffusées avec votre accord explicite. Certains fournisseurs d’accès ou prestataires peuvent automatiquement vous inscrire dans un annuaire web, accompagné d’une politique sectorielle liée aux aspects humains;

- éviter au maximum la publication de votre adresse mail sur des forums ou des sites internet;

- garder secrètes des informations confidentielles (carte de crédit par exemple) et s’appuyer sur une politique sectorielle pour la classification et la maîtrise des ressources;

- restreindre la visibilité de l’annuaire électronique de l’organisation.

Et des outils en ligne

Google a monté  un petit test  que l’utilisateur peut faire sans risque et qui aide à comprendre comment le phishing est souvent organisé.

Et pour ceux qui veulent basculer du côté obscur de la force, pardon, entraîner leurs salariés à ne pas se laisser gruger,  Infosec recense une série d’outils  pour créer de fausses campagnes de phishing... Le learning by avoiding, en quelque sorte...