Le courriel : les fraudeurs affinent leurs armes

Liens au fichier PDF

Le « spear phishing » est une déclinaison ingénieuse du « phishing » (hammeçonnage) traditionnel. Le raffinement de cette technique d’ hammeçonnage a vu le jour récemment (fin 2006, début 2007) et pourtant, elle a déjà fait un grand nombre victimes.

Dans les deux cas, le succès de l’attaque réside au niveau des compétences du fraudeur à recréer un contexte rassurant pour la victime. Cependant, contrairement au « phishing », les résultats d’une opération de « spear phishing » ne dépendent pas d’une stratégie d’envoi de courriels de masse mais bien d’un ciblage d’un nombre réduit de personnes (associations, entreprises, etc.) et de la capacité du fraudeur à manipuler les structures sociales d’une organisation ; communément appelé « ingénierie sociale ».

Le fraudeur peut ainsi, avec un minimum d’informations recueillies sur des réseaux sociaux, des moteurs de recherches ou encore, au sein même de l’organisation ciblée, concevoir un faux courriel. Ce courriel, en apparence légitime, contient des informations « personnelles » de la victime, par exemple, nom, prénom, une adresse de correspondance provenant d’un autre département de l’entreprise, etc. Le courriel frauduleux est généralement accompagné d’une pièce jointe ou d’un lien capable de propager des virus au réseau de l’entreprise, d’installer des « keyloggers » (mouchards transmettant ainsi tout vos mots de passe), etc.

Cette technique de fraude pose actuellement de sérieux problèmes puisque contrairement au « phishing », les « anti-phishing plugins », les « spam filters » et les « firewalls » ne sont pas toujours en mesure d’intercepter ces courriels puisque dans les faits, ils n’ont rien d’anormal… Même constat pour un employé insouciant qui ne discernera pas les différences, souvent trop subtiles, contenues dans le courriel. étant donné les limitations technologiques et l’insouciance des victimes, une seule solution demeure : l’éducation. Afin de contrer ce type d’attaque, la sensibilisation auprès de la population et la formation des employés, surtout ceux détenant des postes clés au sein de votre entreprise, est essentielle.

Depuis 2007, le « spear phishing » n’a cessé d’augmenter faisant plus de 15 0001 victimes jusqu’à maintenant et atteignant des records pour les mois de mai et juin 2008. Nous sommes en droit de croire que cette tendance s’est poursuivie et que sans innovation technologique ou sensibilisation plus soutenue de la part des gouvernements, des entreprises ou d’associations, tel que l’ISIQ, le « spear phishing » n’en est qu’à ses balbutiements.

1 Selon Verisign, après avoir mené des enquêtes sur 66 des 15 000 cas, 95 % des attaques aurait été perpétrées par le crime organisé.