Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

L'isolement des liens contenus dans les e-mails – votre filet de sécurité contre les nouvelles attaques par phishing

2023-01-11

Lecture: 5 min.
Cet article est également disponible en English, en Deutsch, en 日本語, en Español et en 简体中文.

Le courrier électronique est l'un des outils les plus omniprésents, mais également les plus fréquemment exploités, que les entreprises utilisent chaque jour. Inciter les utilisateurs à cliquer sur des liens malveillants présentés dans un e-mail est une tactique de longue date pour l'immense majorité des acteurs malintentionnés, des organisations criminelles les plus sophistiquées aux auteurs d'attaques les moins expérimentés.

Email Link Isolation: your safety net for the latest phishing attacks

Bien qu'il s'agisse d'une méthode communément employée pour accéder à un compte ou commettre une fraude, aujourd'hui encore, des utilisateurs cliquent sur des liens malveillants qui, dans de nombreux cas, aboutissent à l'exploitation de leurs informations d'identification. La raison est simple : même les utilisateurs les mieux formés (et les solutions de sécurité les plus performantes) ne parviennent pas toujours à distinguer un lien légitime d'un lien malveillant.

Par ailleurs, la sécurisation des boîtes de réception du personnel se traduit souvent par le recours à plusieurs fournisseurs, des déploiements complexes et une énorme consommation de ressources.

Avec le service d'isolement des liens contenus dans les e-mails, Cloudflare Area 1 s'impose comme la solution de sécurité des e-mails la plus complète en termes de protection contre les attaques par phishing. La solution réécrit les liens susceptibles d'être exploités, entretient la vigilance des utilisateurs en les alertant en cas d'incertitude concernant le site web qu'ils s'apprêtent à consulter et, grâce au service convivial d'isolation de navigateur de Cloudflare, offre une protection contre les logiciels malveillants et les vulnérabilités. Par ailleurs, dans la plus pure tradition de Cloudflare, le déploiement se déroule en un clic seulement.

Une protection contre les liens trompeurs

Avec plusieurs dizaines de clients testant la version bêta et plus d'un million de liens protégés (jusqu'à présent), nous sommes maintenant clairement en mesure de distinguer la valeur et le potentiel considérables qu'offre cette solution. Pour étendre ces avantages à des clients plus nombreux et pour continuer à développer la multitude d'approches de mise en œuvre de cette technologie, nous proposons dès aujourd'hui la solution d'isolement des liens contenus dans les e-mails en disponibilité générale.

La solution d'isolement des liens contenus dans les e-mails est incluse dans Cloudflare Area 1 Enterprise, sans frais supplémentaires, et peut être activée en trois clics :

1. Authentifiez-vous sur le portail d'Area 1.

2. Accédez aux paramètres (l'icône représentant un engrenage).

3. Depuis l'écran Email Configuration (Configuration des e-mails), sélectionnez Email Policies (Politiques relatives aux e-mails) > Link Actions (Actions relatives aux liens).

4. Faites défiler la page jusqu'à l'entrée Email Link Isolation (Isolement des liens contenu dans les e-mails), puis activez-la.

Défense en couches

Le déploiement de plusieurs couches de défense devient toujours plus essentiel, car les acteurs des menaces cherchent continuellement des moyens de contourner chaque mesure de sécurité et d'élaborer des attaques plus complexes. L'un des meilleurs exemples de l'évolution de ces techniques est celui des attaques par phishing différé : une URL incluse dans un e-mail est bénigne lorsque le message atteint votre pile de sécurité, puis les boîtes de réception de vos utilisateurs, mais est ensuite modifiée avec une intention malveillante.

Pour lutter contre les menaces changeantes diffusées par e-mail, telles que les liens malveillants, Area 1 actualise continuellement ses modèles d'apprentissage automatique afin de tenir compte de tous les vecteurs d'attaque potentiels, et utilise les analyses et les rétractations d'e-mails après distribution comme autant de couches de défense supplémentaires. Les clients de l'offre Entreprise ont désormais également accès à l'isolement des liens contenus dans les e-mails, qui constitue une dernière ligne de défense – un filet de sécurité.

Timeline of events, where a legitimate webpage is initially set up and linked to. A few days later, once the email has been identified as benign and delivered to the end users, the webpage is then weaponized.

La meilleure stratégie pour ajouter des couches de sécurité consiste à utiliser une suite Zero Trust performante, plutôt qu'un ensemble disjoint de produits provenant de plusieurs fournisseurs. L'objectif est de protéger les utilisateurs sans grever leur productivité. Dans le cas contraire, ces derniers pourraient voir des e-mails importants être mis en quarantaine ou se heurter à des difficultés pour accéder à des sites web – et ils chercheraient alors eux-mêmes à contourner les mesures de sécurité déployées par l'entreprise.

Développée pour éviter les impacts sur la productivité

La solution d'isolement des liens contenus dans les e-mails offre une couche supplémentaire de sécurité, presque sans perturber l'expérience des utilisateurs. Elle est suffisamment intelligente pour distinguer les liens sûrs des liens douteux, voire malveillants. Les liens douteux sont modifiés (ou, plus précisément, réécrits), et la solution d'isolement des liens contenus dans les e-mails continue de les évaluer jusqu'à pouvoir rendre un verdict avec un degré de confiance élevé. Lorsqu'un utilisateur clique sur l'un de ces liens réécrits, la solution d'isolement des liens contenus dans les e-mails vérifie le verdict (bénin ou malveillant) et prend les dispositions correspondantes : les liens bénins sont ouverts dans le navigateur local, comme s'ils n'avaient pas été modifiés, tandis que les liens malveillants ne sont simplement pas ouverts. Plus important encore, lorsque la solution d'isolement des liens contenus dans les e-mails n'est pas en mesure d'établir avec certitude un verdict à partir de toutes les informations disponibles, elle présente à l'utilisateur une page interstitielle l'invitant à faire preuve d'une vigilance accrue. La page interstitielle indique que le site web est suspect et que l'utilisateur doit s'abstenir de saisir des informations personnelles et des mots de passe, sauf s'il connaît le site et lui fait entièrement confiance. Au cours des derniers mois de la phase bêta, nous avons constaté que plus de deux tiers des utilisateurs ne se rendaient pas sur un site après avoir pris connaissance de cette page interstitielle; c'est une excellente nouvelle !

Pour les utilisateurs qui souhaitent encore consulter un site web après avoir pris connaissance de la page interstitielle, la solution d'isolement des liens contenus dans les e-mails utilise la solution d'isolation de navigateur de Cloudflare pour ouvrir automatiquement le lien dans un navigateur isolé, exécuté dans le datacenter Cloudflare le plus proche de l'utilisateur. Grâce à notre technologie NVR (Network Vector Rendering) et au vaste réseau à faible latence de Cloudflare, cette approche propose une expérience pratiquement identique à celle d'un navigateur local. L'ouverture du lien suspect dans un navigateur isolé permet de protéger l'utilisateur contre les attaques potentielles véhiculées par le navigateur (notamment les logiciels malveillants, les attaques Zero Day et d'autres types d'exécution de code malveillant).

En résumé, la page interstitielle s'affiche lorsque la solution d'isolement des liens contenus dans les e-mails ne parvient pas à confirmer la légitimité du site web, et fournit une autre couche de sensibilisation et de protection contre les attaques par phishing. Ensuite, la solution d'isolation de navigateur de Cloudflare est utilisée pour offrir une protection contre l'exécution de code malveillant lorsqu'un utilisateur décide de poursuivre sa consultation d'un site douteux.

Ce que nous avons constaté pendant la phase bêta

Comme prévu, le pourcentage de liens réécrits sur lesquels les utilisateurs cliquent effectivement est assez faible (pourcentage à un chiffre). En effet, la majorité de ces liens apparaissent dans des messages que les utilisateurs n'attendent pas, et ils ne proviennent ni de collègues, ni de partenaires de confiance. Par conséquent, même si un utilisateur clique sur l'un de ces liens, il voit souvent s'afficher la page interstitielle et décide de ne pas aller plus loin. Nous constatons que moins de la moitié des clics aboutissent à une consultation du site web par l'utilisateur (dans la solution d'isolation de navigateur, afin d'offrir une protection contre le code malveillant pouvant être exécuté en arrière-plan).

Les indicateurs que nous ajoutons pour la solution d'isolement des liens contenus dans les e-mails affichent le nombre total de clics des utilisateurs, ainsi que le pourcentage d'utilisateurs qui se sont arrêtés à la page interstitielle, qui ont ouvert le lien avec la solution d'isolation de navigateur de Cloudflare ou l'ont ouvert directement.

Des informations supplémentaires sur l'utilisation de la solution d'isolation des liens contenus dans les e-mails indiquent le destinataire de l'e-mail, les liens sur lesquels il a cliqué et les actions.

metrics we are adding for Email Link Isolation show total user clicks and percentage that didn’t proceed past the interstitial, opened the link with Cloudflare Browser Isolation, or directly
additional info on Email Link Isolation usage shows the recipient of the email message, the links clicked, and actions

Peut-être vous demandez-vous pourquoi nous ne constatons pas un plus grand nombre de clics sur ces liens réécrits. La réponse est tout simplement que la solution d'isolement des liens contenus dans les e-mails constitue effectivement la dernière couche de protection contre les vecteurs d'attaque qui ont pu échapper aux autres lignes de défense. La quasi-totalité des attaques par phishing soigneusement planifiées, conçues pour inciter les utilisateurs à cliquer sur des liens malveillants, est d'ores et déjà arrêtée par la solution de sécurité des e-mails Area 1, et ces messages n'atteignent pas les boîtes de réception des utilisateurs.

Le bilan est très positif. Parmi tous les clients qui utilisent la version bêta de la solution d'isolement des liens contenus dans les e-mails dans un environnement de production (dont certaines sociétés du classement Fortune 500), nous n'avons recueilli aucun commentaire négatif concernant l'expérience utilisateur. Cela signifie que nous atteignons l'un de nos objectifs les plus ambitieux : fournir une sécurité supplémentaire sans affecter négativement les utilisateurs et sans faire peser sur les équipes SOC et informatiques la charge de la configuration/de l'administration.

Une information intéressante que nous dévoilons est la valeur qu'accordent nos clients à notre inspection tenant compte de l'heure du clic des raccourcisseurs de liens. Le fait qu'une URL raccourcie (par exemple, bit.ly) puisse être modifiée à tout moment pour renvoyer vers un autre site web a suscité l'inquiétude chez certains de nos clients. La solution d'isolement des liens contenus dans les e-mails inspecte le lien à l'heure du clic, évalue le site web que va ouvrir le lien, puis ouvre le site localement, bloque le site ou affiche la page interstitielle, selon le besoin. Nous développons actuellement une prise en charge complète des raccourcisseurs de liens, intégrée à la solution d'isolement des liens contenus dans les e-mails.

Intégralement conçue avec Cloudflare

Ce sont les informations de Cloudflare qui déterminent ce qui doit être réécrit. Nous disposons de signaux plus précoces que d'autres.

La solution d'isolement des liens contenus dans les e-mails repose sur les capacités uniques de Cloudflare dans de nombreux domaines.

Tout d'abord, Cloudflare observe suffisamment de trafic Internet pour nous permettre d'identifier plus précocement que quiconque les domaines nouveaux ou peu fiables et potentiellement dangereux. L'utilisation des connaissances de Cloudflare pour obtenir ce signal précoce est essentielle à l'expérience des utilisateurs, afin de ne pas ralentir l'accès aux sites web légitimes qui font partie de leur routine quotidienne. Ensuite, nous utilisons Cloudflare Workers pour traiter ces données et présenter la page interstitielle sans causer de délais frustrants pour les utilisateurs. Enfin, seule la solution d'isolation de navigateur à distance de Cloudflare permet d'assurer une protection contre le code malveillant, tout en proposant une expérience à faible latence, invisible pour les utilisateurs finaux, offrant le même ressenti qu'un navigateur local.

Si vous n'êtes pas encore client de Cloudflare Area 1, commencez votre essai gratuit et votre évaluation des risques liés au phishing ici.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
CIO Week (FR)Zero TrustSécuritéCloud Email SecurityEmailRemote Browser IsolationSASE

Suivre sur X

João Sousa Botto|@jsbotto
Cloudflare|@cloudflare

Publications associées

02 octobre 2024 à 13:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....

27 septembre 2024 à 13:00

Advancing cybersecurity: Cloudflare implements a new bug bounty VIP program as part of CISA Pledge commitment

Cloudflare strengthens its commitment to cybersecurity by joining CISA's "Secure by Design" pledge. In line with this commitment, we're enhancing our vulnerability disclosure policy by launching a VIP bug bounty program, giving top researchers early access to our products. Keep an eye out for future updates regarding Cloudflare's CISA pledge as we work together to shape a safer digital future....

27 septembre 2024 à 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...