jeudi 3 octobre 2013

Sensibilisation des employés au Spear Phishing: le fail assuré.

On entend souvent parler, lorsqu'est évoqué le sujet des attaques de type "APT", de "spear phishing".

Alors le spear phishing, c'est quoi ?

Dans un contexte général, le spear phishing consiste à cibler précisément une personne et lui envoyer un contenu e-mail personnalisé, pour maximiser les chances que cette personne ouvre le courriel et tombe dans le piège tendu par l'attaquant (généralement, une infection par malware).

Imaginez qu'une personne veuille prendre le contrôle de votre ordinateur. Elle sait que vous êtes relativement sensible à la sécurité informatique et que vous n'ouvrez pas n'importe quel e-mail. Par contre, vous êtes passionné de guitare et collectionneur. C'est en tout cas ce que dit votre profil Viadeo (partie "mes centres d'intérêts") et/ou votre profil Copains d'avant. En plus, vous avez indiqué que vous habitiez à Nogent sur Tartiflette, petite commune perdue quelque part en France.

Votre attaquant sait que vous n'ouvrirez jamais un mail générique de type "Livraison UPS", "Réduction de malade chez RueduCommerce" ou encore "On ne se connait pas mais tu es le droïde de ma vie je m'appelle Marvin écris-moi vite bisous".

Par contre, quelles sont honnêtement les chances que vous ouvriez un mail intitulé "Nouveau magasin de guitares vintage - ouverture imminente à Nogent sur Tartiflette" ? Pire, quelles sont les chances pour que vous l'ouvriez, s'il vient d'un de vos proches, et contient juste un message "t'as vu, y'a un nouveau magasin de grattes qui va ouvrir près de chez nous" accompagné d'un PDF ?

Je dirais que les probabilités sont assez hautes, largement plus en tout cas que pour un contenu générique. Evidemment, la pièce jointe ou le lien contiendra un malware, et ce sera le début de la fin pour votre ordinateur et peut-être votre compte bancaire, ou vos données sensibles.

Le spear phishing ciblant les particuliers est relativement rare pour le moment, d'autres méthodes de phishing plus traditionnelles continuant à être efficace et permettant de jouer sur l'effet de masse. Je pense à ces grosses campagnes de phishing de différentes banques que vous voyez passer régulièrement, qui continuent à bien fonctionner avec certains utilisateurs crédules.

Du point de vue de l'attaquant, le spear phishing nécessite un déploiement d'efforts non négligeables et surtout du temps, afin de bien cibler la victime. Des formes de ce que j'appellerais du "semi spear phishing" existent néanmoins. Pour poursuivre sur notre exemple précédent, on pourrait imaginer que vous soyiez inscrit sur un forum de collectionneurs de guitare. L'attaquant pourrait compromettre le forum, récupérer toute sa base de donnée, et par conséquent toutes les adresses e-mail des membres, puis envoyer un e-mail alléchant parlant de vente de guitares vintage à tout le monde. Le taux de clic sur sa pièce jointe infectée devrait grandement le satisfaire... Et vous feriez probablement partie des grands gagnants.

En entreprise, les choses sont différentes. Un mail vous parlant de guitare devrait naturellement éveiller votre suspicion, étant donné que vous ne recevez que des e-mails professionels (en théorie).

Le spear phishing en entreprise consiste donc à infecter un ou des employés en leur envoyant un contenu qui semble être professionel et cohérent. Le but de la manoeuvre, lors d'une attaque de type APT, est d'entrer dans l'entreprise. Peu importe l'employé infecté, à partir du moment où son poste sera compromis l'attaquant disposera de la capacité de rebondir de là pour compromettre d'autres machines.

RECOMMANDATIONS POUR LES EMPLOYES

En tant qu'employé, il est fortement recommandé de:

* Ne pas croire que la protection de l'entreprise (après tout, il y a deux anti-virus, des filtres pour les navigations Internet, des firewalls, des antispams etc.) va tout faire à la place de l'utilisateur, et qu'un virus ne peut pas arriver par mail. Les attaquants, même d'un faible niveau technique, sont tout à fait capables de contourner tout cela.

* Ne pas ouvrir de mail qui proviennent de personnes inconnues. Si le doute persiste et que le mail est déjà ouvert, veiller à ne pas ouvrir les pièces jointes contenues dans ce mails et ne pas cliquer sur un éventuel lien contenu dans ce mail.

* Ne surtout jamais répondre à aucun mail de ce genre (cela pourrait donner des informations sur le système d'information à l'attaquant, telles que l'antispam utilisé, l'anti-virus, la version du serveur de mail, etc.)

* Se maintenir sur le qui-vive. Un attaquant peut très bien faire croire qu'un e-mail provient d'un collègue de travail. En cas de doute, il convient de confirmer la légitimité de ce mail avec l'émetteur (par téléphone ou rencontre, pas par mail) avant d'ouvrir la ou les pièces jointes.

QUELS SONT LES MOYENS POUR LE SALARIE DE DETECTER UN E-MAIL DE SPEAR PHISHING ?

Même s'il semble venir d'une personne connue du destinataire, voici des éléments qui devraient inciter à la suspicion:

- L' utilisation de phrases/tournures inhabituelles de la part de l'émetteur.
- L'absence de signature de mail, alors que l'émetteur en ajoute toujours une.
- Le sujet de l'e-mail. Est-ce crédible de mailer quelqu'un pour le motif invoqué ?
- Le ressenti par rapport au contenu. Ce mail a-t-il été envoyé dans le seul but d'ouvrir une pièce jointe ou de cliquer sur un lien ?

Vous l'aurez compris, plus les attaquants en savent sur vous et vos collègues, plus ils auront de chances de créer un e-mail crédible et vous le faire ouvrir. Parmi les techniques "habituelles" utilisées par les attaquants lors d'APT, on peut citer les e-mails contenant des noms de projets en cours, des propositions de réunion, des demandes de consultation de documents, des informations sur des concurrents, des opportunités à saisir, etc.

En matière d'APT, le Spear Phishing constitue la méthode la plus utilisée actuellement par les attaquants pour compromettre certains postes de travail d'entreprises et pouvoir compromettre tout le réseau, avant de dérober de l'information sensible. Le spear phishing est utilisé dans 91% des APT (étude Trend Micro)

L'attaque par spear phishing est efficace, et facile à mettre en oeuvre. Pour les RSSI, il convient donc de sensibiliser régulièrement les employés sur ce risque, quitte à procéder de temps en temps à des simulations réelles.

Un employé sensibilisé est un maillon de moins pouvant constituer une infection initiale lors d'une APT. Cependant, plusieurs groupes de personnes extérieures à l'entreprise, qui n'ont aucune notion de sécurité informatique, viennent semer le doute dans l'esprit de ces employés sensibilisés: les marketeux, les commerciaux, les chasseurs de tête, les meneurs d'études, les statisticiens, etc.

Ces gens n'ont aucun scrupule à envoyer des spam par milliers, à destination de personnes qui ne leur ont rien demandé. Leurs e-mails n'usurpent pas l'identité d'autres employés, mais ils contiennent de quoi semer le doute dans l'esprit d'un utilisateur averti.

J'en prends pour exemple un e-mail, reçu par votre serviteur cette semaine sur son adresse e-mail professionnelle (j'en ai anonymisé certaines parties avec des x):


De : Rachel xxxxx survey@areyounet.com
Envoyé : mercredi 2 octobre 2013 10:43
À : Pernet, Cedric
Objet : Enquête sur l'équipement mobile des ingénieurs et techniciens sur le terrain




Bonjour,

Je mène actuellement une grande enquête au niveau national sur l'équipement mobile des ingénieurs et techniciens sur le terrain. Pour mener à bien cette opération, je travaille en partenariat avec xxxxx, acteur majeur sur le marché français.

Répondre au questionnaire vous prendra moins de 4 minutes.

Grâce à vos réponses nous pourrons faire un état des lieux de l'équipement mobile des entreprises et avoir une tendance des besoins et des investissements à venir.

Accéder au questionnaire

Je vous remercie par avance du temps que vous y consacrerez.

Bien cordialement,

Rachel xxxxxx
Etudes & Statistiques

Si vous souhaitez ne plus répondre à nos enquêtes, rendez-vous ici



Je dois bien avouer qu'à la lecture de cet e-mail, je me suis demandé si j'étais ciblé par une attaque. Le contexte semble idéal et propice: une personne inconnue, un contenu sans fautes d'orthographes, bien rédigé, qui me demande juste de cliquer sur un lien externe, pour aller en plus lui fournir des informations sur moi ou mon entreprise. Le seul hic, c'est que le contenu est générique et a dû être envoyé à de nombreuses personnes, ce qui ne cadre pas avec un spear phishing traditionnel.

J'ai néanmoins pris quelques minutes pour investiguer et vérifier la légitimité de cette campagne honteuse : "areyounet.com" est bien une entreprise déclarée au Registre du Commerce et des Sociétés, "spécialiste dans les solutions d'enquêtes en ligne et sur mobiles".

Les informations demandées dans leur questionnaire en ligne peuvent être utiles à un attaquant:

- Nombre de salariés de mon entreprise
- Secteur d'activité
- Quelle est ma fonction exacte au sein de l'entreprise ?
- Combien d'ingénieurs/techniciens sur le terrain ?
- etc.


Bref, ce qui m'énerve ici, outre le fait de recevoir ce genre de spam détestable sur ma boite mail professionnelle (il contient du tracking en plus) , est de me dire que cela sème la confusion dans l'esprit des utilisateurs et entretient l'idée qu'il est normal de recevoir des e-mails extérieurs et d'y répondre.

Comment voulez-vous, après cela, réussir à prévenir le spear phishing en entreprise ?