Lecture: 7 min.
Après avoir mis un terme à une opération de « phishing en tant que service » qui a affecté des milliers de victimes dans 43 pays, INTERPOL a récemment souligné que, « Si les cyberattaques telles que le phishing peuvent être sans frontières et virtuelles par nature, leur incidence sur les victimes n'en est pas moins réelle et dévastatrice ». À titre d'exemple, selon le FBI, la compromission de messagerie d'entreprise (Business Email Compromise, BEC), un type d'attaque sans logiciel malveillant qui incite les destinataires à transférer des fonds, a coûté plus de 50 milliards de dollars à des victimes dans le monde entier.
Selon les estimations, 90 % des cyberattaques couronnées de succès commencent par une attaque par phishing par e-mail, une technique qui demeure très lucrative pour les acteurs malveillants. Il existe peu de moyens aujourd'hui de bloquer les tentatives de phishing. Cependant, pour empêcher l'aboutissement de ces attaques, il est important de comprendre l'évolution des tendances en matière de phishing (et de réagir en conséquence), notamment les méthodes utilisées par les acteurs malveillants pour exploiter astucieusement la confiance qu'accordent les victimes aux expéditeurs « connus » d'e-mails. C'est pour cette raison que, cette semaine, Cloudflare a publié son premier rapport sur les menaces liées au phishing.
Ce rapport explore les principales tendances liées au phishing, ainsi que les recommandations associées, et repose sur des données du service de sécurité du courrier électronique collectées de mai 2022 à mai 2023. Pendant cette période, Cloudflare a traité environ 13 milliards d'e-mails, et a notamment bloqué quelque 250 millions de messages malveillants qui n'ont donc pas atteint les boîtes de réception des clients. Ce rapport repose également sur les conclusions d'une enquête mandatée par Cloudflare, réalisée auprès de 316 décideurs dans le domaine de la sécurité, dans les régions Amérique du Nord, EMEA et APAC (vous pouvez télécharger cette étude ici).
Consultez le rapport complet pour comprendre nos trois principales conclusions :
Les liens trompeurs constituent la tactique de phishing n° 1 employée par les acteurs malveillants, qui adoptent désormais de nouvelles approches pour inciter leurs victimes à cliquer sur un lien et choisir l'instant auquel ils modifient le lien dans un but hostile.
L'usurpation d'identité revêt plusieurs formes (parmi lesquelles la compromission de messagerie d'entreprise et l'usurpation de marque), et peut facilement contourner les normes d'authentification d'e-mails.
Les acteurs malveillants feignent de représenter des centaines d'organisations différentes, mais ils se font principalement passer pour des entités de confiance, auxquels nous faisons appel pour effectuer notre travail.
Voici quelques informations supplémentaires que vous devez garder à l'esprit pendant la lecture du rapport sur les menaces de phishing en 2023.
Catégorisation des menaces véhiculées par e-mail
Les acteurs malveillants recourent généralement à une combinaison d'ingénierie sociale et de techniques de dissimulation pour faire paraître leurs messages comme légitimes. Par conséquent, Cloudflare utilise un certain nombre de techniques avancées de détection pour analyser les signaux « vagues » (pas uniquement le contenu visible à l'œil nu), afin d'identifier les e-mails indésirables. Ces signaux incluent notamment :
L'analyse structurelle des en-têtes, du corps des messages, des images, des liens, des pièces jointes, des contenus et d'autres éléments à l'aide d'instruments heuristiques et de modèles d'apprentissage automatique (Machine Learning) conçus spécifiquement pour les signaux liés au phishing.
L'analyse des sentiments afin de détecter l'évolution des tendances et des comportements (c'est-à-dire les modèles d'écriture et les expressions).
Les graphiques de confiance évaluant les graphes sociaux des partenaires, l'historique d'envoi d'e-mails et les cas d'usurpation potentielle de l'identité des partenaires.
Notre service de sécurité du courrier électronique comprend également des informations sur les menaces provenant du réseau mondial de Cloudflare, qui bloque en moyenne 140 milliards de cybermenaces chaque jour.
Ces signaux et de nombreux autres permettent de catégoriser les e-mails comme étant malveillants, liés à des attaques BEC, des tentatives d'usurpation d'identité ou indésirables. Notre tableau de bord indique aux clients les raisons spécifiques (c'est-à-dire les « catégories » d'indicateurs de menace) de la catégorisation d'un e-mail particulier.
Vous trouverez ci-dessous un instantané des principaux indicateurs de menaces véhiculées par e-mail que nous avons observés entre le 2 mai 2022 et le 2 mai 2023. Nous classons les indicateurs de menaces dans plus de 30 catégories différentes. Sur cette période, les principaux indicateurs de menace étaient les liens trompeurs, l'âge du domaine (domaines récemment créés), l'usurpation d'identité, la collecte d'informations d'identification et l'usurpation de marque.
Voici une brève description de chacune des catégories principales (présentées plus en détail dans l'annexe du rapport).
Lorsqu'un utilisateur clique sur un lien trompeur, celui-ci ouvre le navigateur web par défaut et affiche les données référencées dans le lien, ou ouvre directement une application (par exemple, un lecteur de fichiers PDF). Dans la mesure où le texte affiché pour un lien (c'est-à-dire un hyperlien) en langage HTML peut être arbitrairement défini, les acteurs malveillants peuvent faire croire qu'une URL renvoie vers un site légitime, alors qu'elle est en réalité malveillante.
L'âge du domaine est lié à la réputation du domaine, c'est-à-dire le score général attribué à un domaine. Par exemple, les domaines qui envoient une multitude de nouveaux e-mails immédiatement après l'enregistrement du domaine auront tendance à avoir une moins bonne réputation, et donc un score plus faible.
L'usurpation d'identité se produit lorsqu'un acteur malveillant ou un individu animé d'une intention malveillante envoie un e-mail en se faisant passer pour quelqu'un d'autre. Les mécanismes et tactiques employés varient fortement. Certaines tactiques reposent sur l'enregistrement de domaines similaires en apparence (usurpation de domaine), usurpés ou mettant en œuvre une supercherie au niveau du nom d'affichage afin de donner l'illusion d'être un domaine de confiance. D'autres variations reposent sur l'envoi d'e-mails par l'intermédiaire de domaines-écrans et de plateformes de services web réputées.
Les outils de collecte d'informations d'identification sont configurés par un acteur malveillant afin de tromper les utilisateurs et de les inciter à divulguer leurs identifiants de connexion. Les utilisateurs inconscients du danger peuvent saisir leurs identifiants, et ainsi, permettre aux acteurs malveillants d'accéder à leurs comptes.
L'usurpation de marque est une forme d'usurpation d'identité dans laquelle un acteur malveillant envoie un e-mail de phishing qui usurpe l'identité d'une entreprise ou d'une marque aisément reconnaissable. L'usurpation d'identité repose sur un large éventail de techniques.
Il peut notamment s'agir d'une pièce jointe à un e-mail qui, lorsqu'elle est ouverte ou exécutée dans le contexte d'une attaque, comporte un appel à l'action (par exemple, incite la cible à cliquer sur un lien) ou effectue une série d'actions définies par un acteur malveillant.
Cloudflare observe régulièrement une multitude d'indicateurs de menace dans un même e-mail de phishing. À titre d'exemple, une campagne de phishing usurpant la Silicon Valley Bank (présentée en détail dans cet article de blog de mars 2023) associait l'usurpation de marque à un lien trompeur et à des pièces jointes malveillantes.
Les acteurs malveillants exploitaient la marque SVB dans un modèle DocuSign. L'e-mail reposait sur du code HTML contenant un lien initial et une chaîne de redirection complexe à quatre niveaux. Le fichier HTML inclus aux fins de l'attaque redirigeait le destinataire vers un site WordPress doté d'une fonction de redirection récursive.
(En parlant de liens, les liens trompeurs constituaient la catégorie de menace n° 1, apparaissant dans 35,6 % de nos détections. Et les acteurs malveillants ne se contentent pas d'utiliser des liens dans des chaînes d'e-mails ; ce rapport fait également état de l'augmentation des menaces liées au phishing multi-canaux, c'est-à-dire des menaces exploitant d'autres applications, telles que les SMS, le chat et les réseaux sociaux).
Les marques reconnues comme fiables (et les plus fréquemment usurpées)
La Silicon Valley Bank n'est qu'une enseigne parmi environ 1 000 marques différentes dont nous avons observé l'usurpation dans des e-mails adressés à des clients de Cloudflare entre mai 2022 et mai 2023. (Le personnel de Cloudflare a été directement ciblé par une attaque par usurpation de marque lors de l'attaque par phishing « Oktapus », déjouée par la suite de produits Cloudflare One en juillet 2022).
Toutefois, comme le détaille le rapport sur les menaces liées au phishing, nous avons observé que les auteurs d'attaques par e-mail usurpaient le plus souvent (51,7 % du temps) l'une de 20 marques mondiales connues, Microsoft étant la première sur cette liste.
| Classement |
Marque usurpée |
| 1 |
Microsoft |
| 2 |
Organisation mondiale de la Santé |
| 3 |
Google |
| 4 |
SpaceX |
| 5 |
Salesforce |
| 6 |
Apple |
| 7 |
Amazon |
| 8 |
T-Mobile |
| 9 |
YouTube |
| 10 |
MasterCard |
| 11 |
Notion.so |
| 12 |
Comcast |
| 13 |
Line Pay |
| 14 |
MasterClass |
| 15 |
Box |
| 16 |
Truist Financial |
| 17 |
Facebook |
| 18 |
Instagram |
| 19 |
AT&T |
| 20 |
Louis Vuitton |
Au début de cette année, Cloudflare a détecté et bloqué une campagne de phishing qui exploitait la marque Microsoft dans le but de collecter des informations d'identification par le biais d'un site légitime, mais compromis.
Dans l'exemple d'e-mail ci-dessous, contrairement aux apparences, le corps de texte de l'e-mail ne contient pas de texte. Le corps de texte dans son ensemble est une image JPEG contenant un hyperlien. Ainsi, si le destinataire clique quelque part dans le corps de texte (même s'il n'a pas l'intention de cliquer sur le lien), il clique en réalité sur le lien.
Dans un premier temps, l'hyperlien associé à cette image semble être une URL Baidu légitime : hxxp://www.baidu[.]com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#<adresse e-mail du destinataire encodée en base64>. Toutefois, si l'utilisateur clique sur le lien, le navigateur de la cible est redirigé vers un site compromis, utilisé pour héberger un outil de collecte d'informations d'identification.
L'acteur malveillant a utilisé l'image de marque de Microsoft Office 365, tout en essayant de contourner les techniques de détection de marque en intégrant les informations sur la marque au sein de l'image (ce qui signifie que l'e-mail ne contient aucun texte en clair ou texte HTML pouvant être examiné afin de permettre l'identification de la marque).
Toutefois, en employant la reconnaissance optique des caractères (OCR), Cloudflare est parvenue à identifier « Office 365 » et « Microsoft » dans l'image. L'OCR nous a également permis de déceler l'utilisation de pièges liés à des comptes suspects concernant les mots de passe.
Dans cet exemple, les acteurs malveillants ont eu recours aux techniques suivantes :
Intégration d'une image JPEG uniquement (impossibilité de détecter les mots sans OCR)
Intégration d'un hyperlien dans cette image (cliquer sur le corps de texte revient à cliquer sur le lien)
Inclusion d'un hyperlien vers une URL Baidu (utilisée pour contourner les techniques de détection d'URL fondées sur la réputation)
Redirection du navigateur du destinataire de l'e-mail depuis l'URL Baidu vers un site de collecte d'informations d'identification (permettant ainsi de contourner les défenses d'autres services de sécurité du courrier électronique n'assurant pas l'inspection en profondeur des liens)
Hébergement d'un outil de collecte d'informations d'identification sur un site légitime compromis par l'acteur malveillant (même avec une inspection en profondeur des liens, il tentera à nouveau de contourner les techniques de détection d'URL fondées sur la réputation)
Ce vecteur d'attaque exploite la réputation élevée et l'authenticité de Baidu pour contourner la réputation du véritable hôte/de l'adresse IP sous lesquels est hébergé l'outil de collecte d'informations d'identification.
Bien que cette campagne spécifique ait eu pour objectif la collecte d'informations d'identification Microsoft, nous constatons souvent que des acteurs malveillants utilisent des méthodes similaires pour contourner les techniques de détection de marque et inciter les victimes à télécharger des logiciels malveillants et d'autres contenus malveillants.
Les techniques de redirection d'URL sont souvent observées pendant les campagnes de phishing, mais les acteurs malveillants continuent d'affiner leur approche en abusant de domaines toujours plus légitimes, tels que baidu.com, bing.com, goo.gl, etc. Nos nombreuses capacités de détection nous permettent d'effectuer une inspection en profondeur des liens sur les URL à l'aide de techniques de redirection de toute sorte, notamment celles qui exploitent des domaines légitimes.
Qu'en est-il de SPF, DKIM et DMARC ?
Les méthodes d'authentification des e-mails (plus précisément, les normes SPF, DKIM et DMARC) sont souvent réputées être utiles pour lutter contre l'usurpation de marque : ces normes permettent, entre autres, de valider les origines du serveur et du locataire, de protéger l'intégrité du message, d'assurer l'application de politiques, etc.
Cependant, les acteurs malveillants peuvent toujours trouver des moyens de contourner l'authentification afin de duper les suites de courrier électronique, et nous avons d'ailleurs observé que 89 % des messages indésirables étaient validés à l'issue des vérifications SPF, DKIM ou DMARC.
Les méthodes d'authentification des e-mails comportent notamment les limitations suivantes :
SPF
(Sender Policy Framework) |
Avantages principaux :
Validation de l'origine du serveur (c'est-à-dire validation de l'origine du message)
Définition des serveurs et services de courrier électronique autorisés à envoyer des messages au nom du propriétaire du domaine |
Limitations :
N'empêche pas l'usurpation reposant sur des adresses e-mail, des domaines ou des noms d'affichage similaires
Ne valide pas l'en-tête « From » ; utilise l'enveloppe « From » pour déterminer le domaine expéditeur
La validation est inefficace lorsque les e-mails sont transférés ou lorsque des messages adressés à une liste de diffusion sont envoyés à chaque abonné
Le processus d'évaluation par SPF peut être limité à un certain nombre de recherches DNS
N'offre pas de protection contre les attaques utilisant des adresses e-mail « validées » avec des URL intégrées, des contenus malveillants ou des pièces jointes |
DKIM
(Domain Keys Identified Mail) |
Avantages principaux :
Validation de l'origine du locataire (c'est-à-dire vérification de l'envoi/de l'autorisation d'un e-mail par le propriétaire du domaine au moyen d'une signature numérique)
Vérification de l'intégrité de l'e-mail lors du transfert d'un serveur à un autre, afin de protéger l'intégrité du message |
Limites :
N'empêche pas l'usurpation reposant sur des adresses e-mail, des domaines ou des noms d'affichage similaires
N'offre pas de protection contre les attaques par relecture (DKIM ne signe que des parties spécifiques d'un message. Les acteurs malveillants peuvent ajouter d'autres champs d'en-tête aux e-mails validés par DKIM, puis les transférer)N'offre pas de protection contre les attaques utilisant des e-mails « validés » contenant des URL intégrées, des contenus malveillants ou des pièces jointes |
| DMARC (Domain-based Message Authentication, Reporting and Conformance) |
Avantages principaux :
Fonctionnalités d'application de politiques et d'information pour SPF et DKIM
Indication de la politique à suivre lorsqu'un e-mail n'est pas validé par l'authentification SPF ou DKIM (par exemple, rejet/suppression, quarantaine, pas de politique/envoi)
La fonction d'information permet aux propriétaires de domaines de voir qui envoie des e-mails en leur nom (c'est-à-dire qu'elle offre une protection contre l'usurpation des domaines et l'utilisation abusive des marques) |
Limitations :
N'empêche pas l'usurpation du domaine d'une autre marque
N'empêche pas l'usurpation reposant sur des adresses e-mail, des domaines ou des noms d'affichage similaires
Les propriétaires de domaines précisent le pourcentage d'e-mails auxquels s'appliquent les politiques DMARC ; les pourcentages d'application inférieurs à 100 % sont moins efficaces
N'offre pas de protection contre les attaques utilisant des e-mails « validés » avec des URL intégrées, des contenus malveillants ou des pièces jointes |
Les acteurs malveillants font constamment évoluer leurs tactiques. Plusieurs couches de protection doivent être déployées avant, pendant et après l'arrivée d'un e-mail dans la boîte de réception. Par définition, Cloudflare ne fait jamais confiance à aucun type de communication par e-mail (que cette communication soit interne ou externe ou qu'elle provienne d'un partenaire professionnel « connu »).
De même, nous recommandons avant tout à toutes les entreprises d'étendre le modèle de sécurité Zero Trust consistant à « ne jamais faire confiance, toujours vérifier » au réseau et aux applications, mais également aux boîtes de réception d'e-mails.
En plus de sécuriser le courrier électronique avec une approche Zero Trust, nous formulons également les recommandations suivantes :
Protéger les plateformes de courrier électronique dans le cloud avec plusieurs contrôles anti-phishing. Comme le remarque cet article de blog de Forrester du mois de juin, « L'utilisation d'applications de messagerie, de collaboration, de partage de fichiers et d'applications de logiciel en tant que service pour entreprises sur une multitude d'appareils contribue à la productivité et à l'expérience du personnel. Bon nombre de ces environnements sont considérés comme « fermés », mais une attaque par phishing permettant de collecter les informations d'identification d'un partenaire au sein de la chaîne d'approvisionnement expose votre entreprise à des pertes de données, à des vols d'informations d'identification, à la fraude et à des attaques par rançongiciel. Les protections développées pour les boîtes de réception d'e-mails doivent s'étendre à ces environnements et à l'ensemble des flux de travail quotidiens de votre personnel. »
Adoption d'un service d'authentification multifacteur (MFA) résistant au phishing. Si tous les services MFA n'assurent pas le même niveau de sécurité, les clés de sécurité physiques figurent parmi les méthodes d'authentification les plus sécurisées pour empêcher les attaques par phishing d'aboutir. Elles permettent de protéger les réseaux, même si des acteurs malveillants parviennent à accéder à des noms d'utilisateur et mots de passe.
Réduire le risque d'erreurs humaines. Adaptez-vous aux habitudes de travail du personnel et des équipes en sécurisant davantage les outils qu'ils utilisent déjà et en leur évitant de commettre des erreurs. Par exemple, l'intégration de la technologie d'isolement de navigateur à distance (RBI, Remote Browser Isolation) au service de sécurité du courrier électronique dans le cloud permet d'isoler automatiquement les liens douteux transmis par e-mail, afin d'éviter que les utilisateurs soient exposés à des contenus web potentiellement malveillants. La saisie au clavier peut également être désactivée sur les sites web non fiables, afin d'éviter que les utilisateurs ne divulguent par inadvertance des informations confidentielles pendant qu'ils renseignent un formulaire ou qu'un site malveillant ne collecte leurs informations d'identification. Le service agit comme une couche de défense contre les attaques par phishing multicanales, en permettant concrètement aux utilisateurs d'ouvrir des liens en toute sécurité, sans perturber leur flux de travail.
Si vous êtes intéressé par l'ensemble des conclusions, vous pouvez télécharger l'édition 2023 du rapport sur les menaces liées au phishing ici, ainsi que nos recommandations pour prévenir les attaques par phishing. Et si vous souhaitez voir le service de sécurité du courrier électronique de Cloudflare en action, vous pouvez demander une évaluation gratuite du risque lié au phishing ici.