Quelle est la différence entre le phishing et le spear phishing ?



Le phishing et le spear phishing sont des cybermenaces majeures. Pourtant, très peu de personnes sont réellement capables de repérer ces attaques et encore moins connaissent les différences subtiles qui les distinguent, alors que ces deux types de menace sont extrêmement dangereux pour les entreprises. En effet, 90 % des violations commencent par une attaque de phishing : la maîtrise de ce sujet revêt donc une importance capitale dans la protection des ressources numériques stratégiques. De manière surprenante, une étude conduite en 2017 par Intermedia a révélé que 25 % des professionnels de l’informatique avaient déjà été piégés par une attaque de phishing ! La même étude affirme que 21 % des employés de bureau et 34 % des chefs d’entreprise et cadres supérieurs avaient fait la même erreur.

Pour vous aider à mieux comprendre le phishing, nous pensons qu’il est intéressant d’analyser les différences entre phishing et spear phishing. Ces deux menaces sont similaires, mais comportent suffisamment de différences pour être considérées comme deux modes d’attaque distincts. Employeurs comme employés seraient bien inspirés de comprendre ce qui les distingue, car comme nous aimons à le dire, l’hypervigilance est la clé de la cybersécurité.

 

Qu’est-ce que le phishing ?

Commençons par étudier cette étrange orthographe. « Phishing » est un dérivé de « fishing » (littéralement, la « pêche » en anglais). Le terme a été utilisé pour la première fois par des admirateurs des « phone phreaks », les premiers hackers des années 60 et 70. Les phone phreaks ont lancé une longue tradition de cyberattaques en s’appuyant sur une technique incroyablement simple. Ils utilisaient un sifflet trouvé dans une boîte de céréales ‘Captain Crunch’ pour tromper l’ordinateur de l’opérateur téléphonique en imitant une tonalité, ce qui leur permettait alors de téléphoner gratuitement. Une telle technique peut nous sembler ridicule aujourd’hui, mais il s’agissait d’une véritable innovation à l’époque. Elle exploitait en effet une vulnérabilité des commutateurs de routage des appels liée à la signalisation intrabande.

Le phishing est une technique de piratage qui est l’équivalent numérique de la « pêche au filet ». Comme les pêcheurs, les hackers lancent leur filet sans savoir exactement ce qu’ils attraperont. Plus précisément, le phishing consiste à envoyer des e-mails conçus pour inciter leurs destinataires à cliquer sur une URL. Cette URL peut diriger sa victime sur le site de téléchargement d’un malware ou vers un formulaire Web à l’apparence tout ce qu’il y a de plus légitime (page de connexion d’une banque ou d’Office 365, par exemple). En réalité, cette façade a pour but de recueillir des informations personnelles. De nombreux e-mails de phishing expliquent par exemple que votre compte bancaire est obsolète et que vous devez mettre à jour votre compte à telle ou telle adresse.

Dans certains cas, les formulaires Web sont extrêmement difficiles à distinguer des originaux. En revanche, les URL peuvent trahir leurs intentions. Par exemple, imaginons une attaque de phishing dans laquelle son auteur se fait passer pour Bank of America. Le lien de l’e-mail pourrait vous rediriger vers www.bankofamericaincu.co, domaine que vous pourriez tout à fait juger légitime. (L’adresse réelle du site de la banque est www.bofa.com). Sur ce site, vous pourriez indiquer vos informations d’identification, votre numéro de sécurité sociale ou d’autres données personnelles, immédiatement récupérées par le criminel à l’origine de l’attaque.

Les hackers ont également fréquemment recours au phishing pour voler des informations d’identification sur des réseaux privés ou des applications dans le Cloud comme Office 365, Dropbox et DocuSign. Ils peuvent ainsi vous faire télécharger un malware qui enregistre vos noms d’utilisateur et mots de passe. Ils peuvent également vous inviter à saisir vos informations d’identification sur une fausse page, comme dans l’exemple de Bank of America mentionné plus haut. Pour autant, le phishing « générique » est moins adapté au vol d’informations d’identification que le spear phishing, une forme d’attaque plus personnalisée.

Qu’est-ce que le spear phishing ?

Dans sa forme générique, le phishing implique une distribution massive, avec un gigantesque filet. Les campagnes de phishing ne visent pas une personne en particulier, mais des milliers, voire des millions de destinataires. Le spear phishing, en revanche, est une attaque hautement ciblée. Comme la pêche au harpon, il vise une personne bien spécifique. Pour le mettre en œuvre, les hackers prétendent vous connaître. Cette attaque est extrêmement personnelle. Généralement, elle cible des « maillons faibles », à savoir des personnes peu au fait des techniques informatiques et de l’existence de ces menaces. Il s’agit souvent de comptables, d’avocats, de spécialistes du marketing, etc.

Le hacker a un objectif précis, par exemple vos informations d’identification sur le réseau. Très souvent, il se fait également passer pour un cadre haut placé ayant la possibilité de demander des virements bancaires (à destination d’entreprises frauduleuses). Pour être convaincant, il va procéder à de l’ingénierie sociale afin d’usurper l’identité d’une personne que vous connaissez, par exemple un collègue ou une relation professionnelle. Le pirate se renseigne ainsi sur vous via le Web et les médias sociaux, ou récolte des informations vous concernant provenant de violations de données et diffusées à l’aide de protocoles P2P comme BitTorrent.

Imaginons le scénario de spear phishing suivant : vous vous appelez Bob et travaillez pour Joe Smith, le PDG de votre entreprise. Un hacker tombe sur vous sur LinkedIn et remarque que Joe fait partie de vos relations. Il vous suit sur Facebook et découvre votre équipe de sport préférée, puis un projet sur lequel vous travaillez au bureau.

Il crée ensuite un compte de messagerie avec l’adresse joesmith21@gmail.com. Pendant que le véritable Joe est en vacances, une information que le hacker a là aussi trouvé sur Facebook, le faux Joe vous envoie un e-mail disant : « Bonjour Bob, je suis en vacances, mais j’ai besoin que vous fassiez un virement de 100 000 $ à l’un de nos sous-traitants en Chine pour notre projet. Pourriez-vous vous en charger immédiatement ? Voici les coordonnées du compte sur lequel effectuer le virement. »

Si vous n’êtes pas suffisamment vigilant, vous risquez de tomber dans le panneau. Ce type de situation se produit plus fréquemment que vous l’imaginez. Même les personnes formées spécifiquement pour ne pas céder à ce type de demande ont du mal à résister lorsque leur « PDG » les invite urgemment à accomplir une tâche. Après tout, il s’agit de Joe et pas d’un parfait inconnu… Et vous voilà harponné avant d’avoir eu le temps de dire « ouf ».

Pourquoi est-il important de connaître le fonctionnement du phishing et du spear phishing ?

Les attaques de spear phishing sont à la base de nombreuses violations de données de grande envergure. Plusieurs raisons expliquent ce phénomène. Tout d’abord, les personnes ciblées ne sont pas censées se faire avoir. Mais pour être honnête, il faut reconnaître que certaines de ces attaques sont si évoluées qu’elles sont très difficiles à détecter.

Normalement, les filtres de messagerie peuvent être réglés de sorte à éviter les attaques de phishing massives. Si tous les employés reçoivent un même e-mail commençant par « Chère madame, cher monsieur », un bon filtre saura immédiatement qu’il s’agit d’un scam. De même, si un e-mail contient une URL suspecte ou une pièce jointe dont la signature est connue, il n’arrivera jamais dans votre boîte de réception. En revanche, si vous recevez un e-mail personnalisé de Bob ne contenant ni URL ni pièce jointe, il passera invariablement entre les mailles du filet.

Imaginons qu’un hacker ait volé les informations d’identification de Joe et puisse se connecter directement au réseau de l’entreprise sous son identité. Aucune alerte ne sera déclenchée. Après tout, Joe se connecte très souvent à distance. Pourquoi le système de détection des intrusions devrait-il se déclencher ? Seule une solution dotée d’une intelligence artificielle extrêmement sophistiquée peut « savoir » que Joe se connecte depuis un emplacement inhabituel ou à une heure étrange et signaler cette activité. Dans la plupart des cas, le hacker n’aura aucune difficulté à se connecter au réseau sans être détecté. Il pourra alors copier et supprimer des fichiers, comme Joe le fait souvent dans le cadre de son travail. Des mois peuvent s’écouler avant que le piratage ne soit détecté… S’il l’est un jour.

Le phishing, et surtout le spear phishing, sont ainsi des vecteurs d’attaques dangereux et très efficaces. Il est toutefois possible de s’en prémunir. La sensibilisation et la formation des utilisateurs peuvent par exemple considérablement limiter la vulnérabilité d’une entreprise face à ce type d’attaque. De plus, des solutions comme Vade Secure utilisent des techniques heuristiques, une intelligence artificielle et d’autres stratégies d’analyse pour identifier les e-mails, URL et pièces jointes malveillants, ainsi que les tentatives d’usurpation de l’identité de collègues ou de relations professionnelles.

 

Par Adrien Gendre, Vadesecure, 21/09/18