Rechercher

[Episode 3/3] La coupe du monde 2018 pourrait-elle mettre en danger vos données ?

À l’heure où les attaques spear-phishing se multiplient, quelles sont les mesures à mettre en œuvre afin de s’en protéger ?

Dans l’épisode précédent [2/3], nous avons démontré la simplicité de réalisation d’une attaque de spear-phishing. Pour se prémunir de ce type d’attaque, nous n’allons pas utiliser un 4-3-3 mais un principe clé de la sécurité : la défense en profondeur.

Cela consiste en l’implémentation de plusieurs mécanismes de sécurité, à différents niveaux, afin de réduire le risque et l’impact d’une compromission.

Dans le contexte d’attaques de spear-phishing, l’une des stratégies de défense en profondeur pourrait être celle ci-dessous.

Se reposer seulement sur l’un de ces niveaux ne permettrait pas une défense efficace. Voyons à présent les diverses mesures plus en détails.

Limiter sa présence en ligne

Nous avons vu, dans l’épisode 2, que les attaquants se servent d’informations publiques pour construire leurs attaques. Une entreprise doit donc être vigilante sur les informations partagées volontairement (contenu des sites web, réseaux sociaux…) ou involontairement (listes d’adresses e-mail, serveurs FTP non sécurisés…).

Cela est également applicable aux fournisseurs et sous-traitants : de nombreuses attaques ont débuté chez un partenaire de la cible.

Les collaborateurs doivent eux aussi être sensibilisés, par exemple sur l’utilisation de leur adresse e-mail professionnelle sur des forums, l’inscription à des mailings-list…

Filtrer les e-mails à l’aide d’un anti-spam / anti-malware

Ces solutions sont nécessaires car elles permettent de se prémunir contre la majorité des spams ou phishing. Cependant, elles ne permettent pas de détecter de façon efficace le spear-phishing.

Déployer les normes SPF, DKIM et DMARC

Les normes SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting and Conformance) permettent de pallier l’absence de vérification de l’émetteur d’un e-mail, et ainsi de s’assurer de son authenticité et intégrité.

Cependant, les limites liées à l’implémentation de ces normes (notamment leur faible utilisation) ne permettent pas une diminution significative du phishing.

Sensibiliser les utilisateurs

Pour illustrer l’importance de la sensibilisation des utilisateurs, voici une analogie que j’utilise lors de sessions de sensibilisation : « Une porte blindée ne sert à rien si vous laissez la fenêtre ouverte ». En effet, les solutions de sécurité sont nécessaires mais elles doivent impérativement être couplées à la sensibilisation.

Pour que les messages véhiculés soient assimilés mais surtout pour qu’ils changent durablement les comportements à risque des utilisateurs, une action de sensibilisation doit :

  • Être inscrite dans la durée

Un plan de sensibilisation, combinant des actions diverses à intervalles réguliers, doit être suivi afin de créer puis entretenir la culture sécurité.

  • Être adaptée aux spécificités de chaque population

On ne sensibilise pas tout le monde via les mêmes vecteurs, et il ne faut pas négliger certaines populations à risque. Par exemple, la sensibilisation des managers et VIP est fondamentale : lors des campagnes de phishing que j’ai pu effectuer, j’ai remarqué de nombreuses fois, que les managers avaient transféré l’e-mail de phishing à leurs collaborateurs. Cela augmente le risque de compromission car un collaborateur est moins méfiant face à un e-mail transféré par son manager que face à un e-mail reçu d’une source inconnue.

  • Sensibiliser par les risques

Il est toujours plus simple et appréciable de mettre en pratique une règle lorsqu’on en a compris les enjeux et les risques liés plutôt que de devoir l’appliquer « bêtement ».

  • Être attractive et rendre les concepts de sécurité abordables

Les vecteurs ludiques rencontrent toujours beaucoup de succès auprès des utilisateurs. Exemple : lors d’un atelier de sensibilisation « Phish me if you can », le collaborateur doit définir si l’e-mail est légitime ou non. Cela permet à la fois d’expliquer le risque, de détailler les éléments de détection et de créer un lien entre la communauté SSI et les utilisateurs.

Attention, la sensibilisation doit être bienveillante : il ne s’agit pas d’instaurer un sentiment de peur. Cela est d’autant plus vrai sur certains vecteurs comme les campagnes de phishing. Ces dernières sont efficaces mais doivent être réalisées avec soin afin d’éviter que le collaborateur se sente piégé et qu’il devienne réfractaire au suivi des bonnes pratiques sécurité.

Créer un processus de signalement des e-mails suspects

Cela permet aux utilisateurs d’alerter lorsqu’une campagne de phishing survient mais également de s’assurer de la légitimité d’un e-mail, en cas de doute. Le transfert de l’e-mail suspect peut être facilité par un plug-in sur le client de messagerie.

Attention, l’équipe en charge de l’analyse de ces e-mails doit être dimensionnée de façon adéquate, afin que le processus soit pertinent.

Étudier les risques et implémenter les mesures appropriées

Il est nécessaire d’analyser les risques spécifiques à une entité, un processus, et de mettre en œuvre des contre-mesures dédiées. Par exemple :

  • Pour se protéger d’une arnaque au président, il faudrait définir, documenter, et appliquer des procédures et différents niveaux de vérification,

Pour se protéger des accès illégitimes, mettre en œuvre l’authentification forte, etc…

Avoir un processus de patch management

Certains spear-phishing vont exploiter une vulnérabilité du système ou du navigateur, il est donc important que les systèmes soient à jour.

Implémenter un processus de détection et de réponse à incident

Autre fait intéressant que j’ai pu observer lors de missions : environ 60% des utilisateurs hameçonnés, l’ont été dans l’heure suivant l’envoi de l’e-mail de phishing. Cela laisse peu de temps à l’équipe de réponse à incident, l’équipe sécurité opérationnelle ou le support informatique pour détecter qu’une campagne de phishing est en cours et pour mettre en œuvre les actions nécessaires (bloquer l’expéditeur sur les serveurs de messagerie, avertir les utilisateurs ayant reçu l’e-mail, etc…).

Il est donc primordial de s’assurer que les processus et ressources humaines mis en place pour la détection et la réponse peuvent s’effectuer en temps opportun.

Fiction ou réalité ?

Pour conclure, revenons à l’e-mail de spear-phishing que nous avons créé lors de l’épisode 2, est-ce réellement de la fiction ?

Non, les acteurs malveillants s’étaient déjà emparés de la Coupe du Monde et ont créé de nombreux phishing, fraudes et spam en tout genre :

Il ne faut cependant pas céder à la panique, nous venons de voir que plusieurs mesures peuvent être implémentées afin de diminuer le risque. Le facteur humain me semble particulièrement important à considérer : chaque utilisateur doit se sentir au cœur de la protection du système d’information.