Julien Métayer est consultant en cybersécurité offensive. Il fait du pentesting, des tests d’intrusion et anime la communauté OSINT qui travaille sur le sujet de l’Open Source Intelligence.
Un des grands fléaux concernant la cybersécurité dans le monde de l’entreprise est le phishing. Julien, dans ce cours, va vulgariser ce sujet et permettre de se prévenir de ces attaques.
Qu’est ce que le phishing ?
Le phishing consiste à envoyer un mail à un individu dans le but de le tromper. Le phisher va inciter sa victime à cliquer sur un lien qui va le mener à saisir des informations personnelles.
Ce genre de pratiques intervient dans le cadre privé comme professionnel.
Quels sont les différents types de phishing ?
Nous pouvons identifier deux types principaux de phishing:
Phishing
Le but du hacker est de miser sur la masse. Ainsi, un grand nombre d’emails va être envoyé à un grand nombre de personnes, basé sur un data leak, avec un contenu très générique.
=> massif, peu ciblé et automatisé
Whaling
Dans ce cas, le phisher va identifier une cible bien précise et envoyer un contenu très ciblé, qui peut par exemple coller avec l’activité récente de l’entreprise.
=> très crédible car très ciblé
Quelques exemples de méthodes connues:
- Contournement des systèmes antispam / antiphishing des services de messagerie
⇒ en utilisant un e-mail ressemblant à un mail connu / existant de la victime
- Imiter les habitudes des destinataires
⇒ Le hacker trouve le logiciel de comptabilité de l’entreprise, en appelant quelqu’un de l’entreprise (social engineering), il imitera les mails de notification du logiciel en surfant sur un événement habituel ou très peu habituel. Il va alors jouer sur urgence à la décision pour empêcher la victime de réfléchir et ainsi de commettre l’erreur.
Quels sont les impacts pour une entreprise ?
Nous pouvons distinguer plusieurs niveaux d’impact:
Adresse IP /Serveur
Dans le contenu des mails il est possible de mettre des images,et, par défaut les services de messagerie ne les affichent pas.
Lorsque nous ouvrons un mail (dans le sens d’afficher les images d’un email) nous envoyons une requête qui contient l’adresse IP / le terminal sur lequel l’user se trouve. Cette information va être clé pour le hacker qui va s’en servir sur une attaque d’adresse IP ou sur le serveur.
Informations personnelles
Dans le corps du mail, le phisher va insérer un lien qui va ressembler à un lien officiel. Ce dernier va diriger vers un site copié d’un site connu de la victime, ce qui va crédibiliser la nécessité de rentrer des informations personnelles.
⇒ ce genre de mails sont souvent envoyés lorsque les victimes ont une masse de mails à trier (ex: lundi matin / vendredi soir)
Ordinateur du salarié, ordinateurs du réseau, ordinateurs du Système d’Information (SI)
L’envoi de pièces jointes contenant un virus (.exe souvent) sont également une méthode de hack fréquente. Généralement, les antivirus permettent d’éviter les virus connus, mais les méthodes évoluent plus vite que les antivirus.
Le risque principal est que le virus puisse exécuter un programme. Par exemple, l’une des méthodes les plus répandues est le ransom software : le programme chiffre les infos de l’ordinateur, voire des ordinateurs du réseau voire des ordinateurs du SI et demande une rançon en contrepartie.
Les impacts peuvent sévèrement déstabiliser l’équilibre sécuritaire d’une entreprise. Certaines méthodes existent afin de lutter contre ces problématiques.
Comment lutter contre le phishing en entreprise ?
Pour Julien, la meilleure méthode pour prévenir des problèmes liés au phishing est la sensibilisation. Il considère que pour cela rien ne vaut que d’apprendre en faisant l’erreur. Ainsi, mettre en place du phishing pédagogique est une méthode très efficace.
La vigilance des salariés est également primordiale. De plus, les risques liés au manque de vigilance pour les salariés sensibilisés sont lourds : en 2020, 24% des entreprises ont fait un licenciement pour faute grave suite à un clic sur un mail de phishing.
Enfin, certains outils existent pour lutter contre le mass-phishing. Par exemple, mailinblack est un très bon pour contrer ce type d’attaques.
Cependant, pour le super phishing (phishing très ciblé), les techniques évoluent tous les jours et ont toujours de l’avance sur les outils.
Les services de messagerie mettent également des dispositifs pour lutter contre ces attaques : SPF, DMARK, DKIM. Également, ces systèmes restent contournables.
Ressources supplémentaires:
Julien conseille de suivre le contenu de la Hack Academy de l’ANSSI qui permet une vraie acculturation autour des sujets concernant la cybersécurité.
