Être un truand sur Internet est décidément une activité très profitable. Dans plus de 90 % des incidents liés à la cybersécurité, le phishing (hameçonnage) est la cause fondamentale de l'attaque et, pendant cette troisième semaine d'août, des attaques par phishing ont été signalées, ciblant les élections américaines et le conflit géopolitique opposant les États-Unis, Israël et l'Iran, et entraînant des pertes de 60 millions de dollars pour les entreprises.
La situation prêterait à croire qu'après 30 années durant lesquelles le courrier électronique s'est singularisé comme le principal vecteur d'attaques et de risques, nous ne sommes simplement pas en mesure de faire quoi que ce soit pour remédier à la situation. D'une part, toutefois, cela serait donner trop de crédit aux acteurs malveillants et, d'autre part, mal comprendre comment les professionnels de la sécurité priorisant la détection peuvent prendre le contrôle et remporter la victoire.
Le phishing ne concerne pas exclusivement le courrier électronique, ni même aucun protocole spécifique. En termes simples, il s'agit d'une tentative visant à inciter une personne, comme vous ou moi, à effectuer des actions qui, à son insu, causent un préjudice. Si ces attaques fonctionnent, c'est parce qu'elles paraissent authentiques, sur le plan visuel ou organisationnel (un acteur malveillant peut, par exemple, se faire passer pour le directeur général ou le directeur financier de votre entreprise). L'examen par Cloudflare des données liées à ces attaques révèle que les trois principaux vecteurs d'attaque les plus préjudiciables contenus dans les e-mails malveillants contre lesquels nous protégeons nos clients sont les suivants : 1. Cliquer sur des liens (les liens trompeurs représentent 35,6 % des indicateurs de menace) 2. Télécharger des fichiers ou des logiciels malveillants (les pièces jointes malveillantes représentent 1,9 % des indicateurs de menace) 3. Les attaques par phishing du type compromission du courrier électronique professionnel (BEC, Business Email Compromise), qui visent à obtenir des fonds ou de la propriété intellectuelle et ne contiennent ni liens, ni fichiers (0,5 % des indicateurs de menace).
Aujourd'hui, chez Cloudflare, nous constatons une augmentation des attaques que nous avons appelées « phishing multicanal ». Quels autres canaux permettent d'envoyer des liens et des fichiers et de donner lieu à des attaques de type BEC ? Les SMS (messages texte) et les applications de messagerie publique et privée sont des vecteurs d'attaque toujours plus courants ; ils exploitent de la possibilité d'envoyer des liens via ces canaux, ainsi que de la manière dont les personnes consomment des informations et travaillent. Les acteurs malveillants ciblent également la collaboration dans le cloud, utilisant des outils collaboratifs courants tels que Google Workspace, Atlassian et Microsoft Office 365 pour transmettre des liens et des fichiers ou lancer des attaques de type BEC. Enfin, les campagnes de phishing web et social ciblent les utilisateurs de plateformes telles que LinkedIn et X. En fin de compte, toute tentative visant à arrêter les attaques par phishing doit être suffisamment exhaustive pour permettre la détection et la protection contre ces différents vecteurs.
Vous trouverez plus d'informations sur ces technologies et ces produits ici
Un exemple concret
C'est une chose de vous en parler, mais nous aimerions vraiment vous donner un exemple de la manière dont se déroule une attaque par phishing multicanal lancée par un acteur malveillant sophistiqué.
Voici un e-mail qu'un responsable remarque dans son dossier de courrier indésirable. En effet, notre produit de sécurité des e-mails a remarqué que le contenu du message était suspect et l'a déplacé ici. Cependant, puisqu'il concerne un projet sur lequel travaille ce responsable, ce dernier pense qu'il est légitime. Le message contient une demande d'organigramme de l'entreprise ; l'acteur malveillant sait que c'est le genre d'information qui va être détectée si l'échange se poursuit par e-mail, et il inclut donc un lien vers un véritable formulaire Google :
Le responsable clique sur le lien et, puisque celui-ci renvoie vers un formulaire Google légitime, les indications suivantes sont affichées :
Le formulaire invite le responsable à transférer l'organigramme sur cette page, et celui-ci essaie de répondre à la demande :
Le responsable fait glisser l'organigramme vers le formulaire, mais le transfert n'a pas lieu, car le document comporte un filigrane « usage interne uniquement », qui est détecté par notre passerelle Gateway et notre moteur de prévention des pertes de données (DLP), qui empêche à son tour le transfert.
Les acteurs malveillants sophistiqués utilisent la notion d'urgence pour obtenir de meilleurs résultats. Ici, l'acteur malveillant sait que le responsable doit rendre des comptes au directeur de l'entreprise avant une date limite à venir. Dans l'impossibilité de transférer le document, le responsable répond à l'acteur malveillant. L'acteur malveillant suggère d'essayer une autre méthode de transfert ou, dans le pire des cas, de transmettre le document par WhatsApp.
Le responsable tente de transférer l'organigramme vers le site web qui lui a été fourni dans le deuxième e-mail, sans savoir que ce site aurait chargé un logiciel malveillant sur son ordinateur ; toutefois, puisque le site web a été chargé dans la solution d'isolement de navigateur de Cloudflare, celle-ci a préservé la sécurité de l'ordinateur du responsable. Plus important encore, lorsque le responsable tente de transférer des documents sensibles de l'entreprise, l'action est à nouveau interrompue :
Enfin, il essaie de transférer le document dans WhatsApp, et une fois encore, nous empêchons le transfert d'avoir lieu :
Facilité d'utilisation
La mise en place et la maintenance d'une solution de sécurité sont essentielles à une protection durable. Cependant, demander aux équipes d'administration informatique de continuellement modifier chaque produit et chaque configuration et de surveiller les besoins de chaque utilisateur est une approche non seulement coûteuse, mais également risquée, car elle reporte sur ces équipes une part considérable de frais généraux.
Dans l'exemple ci-dessus, la protection du responsable n'a demandé que quatre étapes :
Installer l'agent sur appareil de Cloudflare et se connecter à celui-ci pour déployer une protection.
En quelques clics seulement, tout utilisateur disposant du client de l'agent sur appareil peut être protégé contre les attaques par phishing multicanal, ce qui facilite la tâche des utilisateurs finaux et des administrateurs. Pour les entreprises qui n'autorisent pas l'installation de clients, un déploiement sans agent est également disponible.
2. Configurer des politiques qui s'appliquent à l'ensemble du trafic utilisateur acheminé par l'intermédiaire de notre passerelle web sécurisée. Ces politiques peuvent interdire l'accès aux sites présentant un risque élevé, par exemple, les sites connus pour leur implication dans des campagnes de phishing. Pour les sites potentiellement suspects, comme les domaines récemment enregistrés, un service d'isolement de navigateur permet aux utilisateurs d'accéder au site web, tout en limitant leurs interactions avec celui-ci.
Le responsable n'a pas non plus été en mesure de transférer l'organigramme vers un service de stockage cloud gratuit, car son entreprise utilise la passerelle Gateway et la solution d'isolement de navigateur de Cloudflare One. Toutes deux ont été configurées pour charger les sites web de stockage cloud gratuit dans un environnement distant et isolé, empêchant ainsi non seulement les transferts de fichiers, mais également la possibilité de copier et de coller des informations.
Par ailleurs, bien que le responsable soit resté libre d'échanger avec l'acteur malveillant via WhatsApp, ses fichiers ont été bloqués par la solution Gateway de Cloudflare One, configurée par l'administrateur pour interdire tous les transferts et téléchargements de fichiers dans WhatsApp.
3. Configurer des politiques DLP fondées sur les contenus qui ne doivent pas être transférés, saisis ou copiés et collés.
Le responsable n'a pas été en mesure de transférer l'organigramme vers le formulaire Google, car l'entreprise utilise la passerelle Gateway et la solution de prévention des pertes de données (DLP) de Cloudflare One. Cette protection est mise en œuvre en configurant Gateway de manière à bloquer tout comportement interdit par la solution de prévention des pertes de données, même sur un site web légitime tel que Google.
4. Déployer une solution de sécurité des e-mails et configurer des règles de déplacement automatique en fonction des types d'e-mails détectés.
Dans l'exemple ci-dessus, le responsable n'a jamais reçu aucun des nombreux e-mails malveillants qui lui ont été envoyés, car sa boîte de réception était protégée par la solution de sécurité des e-mails de Cloudflare. Les e-mails de phishing qui lui sont effectivement parvenus ont été placés vers le dossier de courrier indésirable : ils provenaient d'un expéditeur qui ne correspondait pas à la signature contenue dans l'e-mail, et la configuration de la solution de sécurité des e-mails a automatiquement déplacé ces messages vers ce dossier, conformément à la configuration en un clic définie par l'administrateur informatique du responsable.
Toutefois, même avec des fonctionnalités de détection exceptionnelles, il va sans dire qu'il est important de disposer de la capacité d'approfondir l'examen de n'importe quel indicateur, afin d'en savoir plus sur les utilisateurs individuels affectés par une attaque en cours. Vous trouverez ci-dessous une illustration du futur tableau de bord amélioré de notre solution de sécurité des e-mails.
Et maintenant ?
Bien qu'il existe depuis maintenant 30 ans, le phishing (hameçonnage) reste un danger manifeste, et des mesures de détection efficaces, intégrées à une solution fluide et exhaustive, constituent désormais le seul moyen de rester réellement protégé.
Si vous envisagez simplement d'acheter une solution de sécurité des e-mails, vous comprenez maintenant pourquoi celle-ci ne suffira pas. Une protection multicouche est absolument indispensable pour protéger le personnel moderne, car le travail et les données ne résident pas simplement dans les e-mails ; ils sont présents partout, et sur tous les appareils, et votre protection contre les attaques par phishing doit l'être également.
Bien que vous puissiez le faire en assemblant les solutions de plusieurs fournisseurs, celles-ci ne fonctionneront pas simplement ensemble. Et en plus du coût qu'elle entraîne, une approche multi-fournisseurs augmente également, pour des équipes informatiques déjà surchargées, des frais liés à l'investigation des incidents, à la maintenance et à l'uniformisation.
Que vous soyez ou non au début de votre parcours avec Cloudflare, vous pouvez constater de quelle manière l'utilisation de différents éléments de la suite de produits Cloudflare One peut vous apporter une aide globale dans la lutte contre les attaques par phishing. Et si vous avez déjà bien avancé dans votre parcours avec Cloudflare et vous recherchez maintenant des mesures de détection des e-mails efficaces à 99,99 %, plébiscitées par des entreprises du classement Fortune 500, des sociétés présentes dans le monde entier et même des entités gouvernementales, vous comprenez comment notre solution de sécurité des e-mails peut vous aider.
Si vous utilisez Office 365 et vous souhaitez découvrir les menaces que nous pouvons détecter et que votre fournisseur actuel n'est pas en mesure d'identifier, vous pouvez commencer dès maintenant avec Retro Scan.
Et si vous utilisez déjà notre solution de sécurité des e-mails, vous pouvez en apprendre davantage sur la protection complète que nous proposons ici.