DOCUMENTTECHNIQUE
Phishing
Phishing : les dernières tactiques
et leur impact potentiel
sur la net-économie
Document techni...
Phishing : les dernières tactiques et leur impact potentiel sur la net-économie
2
Phishing : les dernières tactiques et le...
Phishing : les dernières tactiques et leur impact potentiel sur la net-économie
3
Introduction
Cyber-arnaque omniprésente ...
Phishing : les dernières tactiques et leur impact potentiel sur la net-économie
4
Hausse vertigineuse du piratage des serv...
Phishing : les dernières tactiques et leur impact potentiel sur la net-économie
5
informations confidentielles de type num...
Phishing : les dernières tactiques et leur impact potentiel sur la net-économie
6
un message provenant d’un ami paraîtra m...
Phishing : les dernières tactiques et leur impact potentiel sur la net-économie
7
certification émettrice. La Figure 1 ill...
Phishing : les dernières tactiques et leur impact potentiel sur la net-économie
8
La sensibilisation est en effet une comp...
Phishing : les dernières tactiques et leur impact potentiel sur la net-économie
9
Glossaire
Autorité de certification (AC)...
Pour plus d’informations
Rendez-vous sur notre site Web
www.symantec.fr/ssl-certificates
Pour entrer en contact avec un sp...
Prochain SlideShare
Chargement dans…5
×

Phishing : dernières tactiques et impact sur la Net-économie

874 vues

Publié le

Le phishing reste une des cyber-attaques les plus présentes sur Internet, et vise aussi bien les particuliers que les professionnels. Tout individu peut s’y essayer, et les acteurs de ce milieu deviennent petit à petit des fournisseurs MaaS (Malware as a Service) quasi professionnels. Ce phénomène est lourd de conséquences pour les entreprises. Symantec fait un tour d’horizon de son évolution et des technologies pour s’en protéger.

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Phishing : dernières tactiques et impact sur la Net-économie

  1. 1. DOCUMENTTECHNIQUE Phishing Phishing : les dernières tactiques et leur impact potentiel sur la net-économie Document technique
  2. 2. Phishing : les dernières tactiques et leur impact potentiel sur la net-économie 2 Phishing : les dernières tactiques et leur impact potentiel sur la net-économie Sommaire Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Phishing sans frontières . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Hausse vertigineuse du piratage des serveurs virtuels partagés . . . . . . . . . . 4 Gare aux spammeurs pendant les fêtes et autres événements d’actualité . . 4 La crise économique, nouveau terreau du phishing . . . . . . . . . . . . . . . . . . . . . 4 Menaces mixtes phishing/malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 SSL stripping par interception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Phishing par texto et téléphone mobile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Les spams et le phishing débarquent sur les médias sociaux . . . . . . . . . . . . . 5 Impact potentiel du phishing sur votre activité . . . . . . . . . . . . . . . . . . . . . . . . . 5 Quelle protection pour votre entreprise ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Sensibilisation des consommateurs et des collaborateurs . . . . . . . . . . . . . . . 7 Phishers : des ennemis redoutables aux multiples visages . . . . . . . . . . . . . . . . . . 8 Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
  3. 3. Phishing : les dernières tactiques et leur impact potentiel sur la net-économie 3 Introduction Cyber-arnaque omniprésente sur le Net et visant les particuliers comme les en­ treprises, le phishing reste une tendance lourde depuis quelques années. Et ce n’est pas peu dire : en 2012, on comptait en moyenne plus de 37 000 attaques de phishing par mois.1 Plus besoin d’être un hacker chevronné pour frauder sur Internet. Tout individu malintentionné peut s’y essayer, grâce notamment aux kits de phishing clé en main mis à disposition par un écosystème cybercriminel florissant. À tel point que les acteurs de ce milieu sont en train de se muer en fournisseurs MaaS (Malware- as-a-Service), avec toute une offre de prestations connexes en complément du kit proprement dit.2 Pour les entreprises, ce phénomène peut être lourd de conséquences. Dans son rapport de février 2013 consacré à la fraude, RSA estime en effet à plus de 1,5 mil­ liard de dollars les pertes occasionnées par le phishing dans le monde en 2012. Elles auraient même pu dépasser les 2 milliards de dollars si la durée de vie moy­ enne des attaques avait été aussi longue qu’en 2011.3 Quelle que soit sa cible – collaborateurs, clients ou site Web de l’entreprise –, le phishing représente donc une menace à prendre très au sérieux. C’est pourquoi les entreprises doivent res- ter constamment au fait des nouvelles méthodes employées par les cybercriminels et prendre les devants pour s’en prémunir. Ce document technique propose donc un tour d’horizon de l’évolution et des ten­ danciels du phishing, de son effet potentiel sur la net-économie et des technolo­ gies à la disposition des entreprises pour protéger leurs données et celles de leurs clients. Phishing sans frontières Véritable fléau chez les particuliers comme dans les entreprises, le phishing incite les personnes peu méfiantes à fournir des informations confidentielles – noms d’u­ tilisateur, mots de passe ou coordonnées bancaires – par le biais de communica­ tions électroniques en apparence légitimes. Depuis son entrée en scène il y a une dizaine d’années, le phishing n’a cessé de poursuivre son irrésistible ascension : on estime en effet à 8 millions environ le nombre de tentatives de phishing par jour dans le monde.4 En 2012, un e-mail sur 414 circulant sur le Web était lié au phishing.5 Pour sa part, rien qu’au cours du deuxième semestre 2012, le groupe de travail APWG (Anti-Phishing Working Group) a recensé 123 486 attaques par phishing dans le monde qui touchaient pas moins de 89 748 noms de domaines uniques, soit une hausse de 32 % du nombre d’attaques au cours du premier semestre 2012.6 Même si ce chiffre dépasse les 115 472 attaques constatées par l’APWG au premier semestre 2011, on reste encore en-deçà du record de 126 697 atta- ques recensées au deuxième semestre 2009, lorsque le botnet Avalanche faisait des ravages sur la Toile. 1 « RSA: February Fraud Report », RSA, février 2013 2 « Verisign iDefense 2012 Cyber Threats and Trends », Verisign, 2012 3 « RSA: February Fraud Report », RSA, février 2013 4 « Counterfeiting & Spear Phishing — Growth Scams of 2009 », Trade Me, Infonews.co.nz, 2 mars 2009 5 « Symantec 2013 Internet Threat Report », Symantec.com/threatreport 6 « Global Phishing Survey 2H2012 : Trends and Domain Name Use », Anti-Phishing Working Group
  4. 4. Phishing : les dernières tactiques et leur impact potentiel sur la net-économie 4 Hausse vertigineuse du piratage des serveurs virtuels partagés Si les phishers redoublent d’imagination pour inventer de nouveaux subterfuges, certaines vieilles recettes, même les plus obscures, ont encore la cote. C’est le cas du piratage des serveurs virtuels partagés qui fait actuellement des ravages. Dans cette attaque, un hacker s’introduit sur un serveur Web multi-domaines pour placer sur chacun d’entre eux le contenu du site de phishing, de sorte que tous les sites Web de ce serveur affichent les pages de phishing. Le phisher peut ainsi infecter simultanément des milliers de sites Web. Ces attaques ont le vent en poupe puis­ que le groupe APWG en a identifié pas moins de 42 448, soit 37 % de toutes les attaques par phishing dans le monde.7 Gare aux spammeurs pendant les fêtes et autres événements d’actualité Chaque année, lorsque la course aux cadeaux de Noël bat son plein, des spammeurs usurpent l’identité d’un certain nombre de boutiques légitimes en proposant de « bonnes affaires de Noël » sur une sélection de produits. D’autres campagnes de phi­shing ont surfé sur des événements internationaux comme le séisme au Japon, le « prin­temps arabe » et d’autres épisodes au retentissement planétaire. Après la charge habituelle de la Saint-Valentin, les observateurs prévoient d’autres arnaques du même type au cours des prochains grands événements.8 Moins en vogue que ces dernières années, les attaques ciblées dites de « spear phishing » refont généra­le­ ment leur apparition en période de fêtes, lorsque les services de sécurité informa­ tique des entreprises sont en sous-effectif et que les offensives des cybercriminels ont donc plus de chances d’aboutir. Toutefois, la trêve des confiseurs ne semble pas particulièrement touchée. Explication possible : bien que les équipes de sécurité in­ formatique soient clairsemées entre Noël et Nouvel An, nombre de salariés sont aussi en congés, et les risques pour les utilisateurs ciblés d’ouvrir des pièces join­ tes piégées s’en trouvent donc mécaniquement réduites. La crise économique, nouveau terreau du phishing La crise économique offre aux cybercriminels de nouveaux stratagèmes pour duper leurs victimes. Parmi les arnaques les plus courantes, on remarque notamment les messages se faisant passer pour ceux d’un établissement financier ayant récem- ment acquis la banque, l’organisme de crédit/épargne ou le prêteur immobilier de la personne ciblée.9 Le rythme actuel des fusions et acquisitions provoque chez les consommateurs un sentiment de confusion, amplifié par un certain flou dans les communications envoyées aux clients concernés. Un terrain de chasse idéal pour les phishers. Menaces mixtes phishing/malware Pour augmenter leurs chances de succès, certaines attaques conjuguent phishing et malware dans un modèle d’attaque dit « mixte ». Par exemple, une victime po­ tentielle reçoit par e-mail une carte électronique d’apparence légitime. En cliquant sur le lien de téléchargement de la carte, la personne est redirigée vers un site Web usurpé, qui charge un cheval de Troie dans l’ordinateur de la victime. Elle peut aus- si tomber sur une boîte de dialogue l’invitant à télécharger une mise à jour lo­gi­ciel­ le pour pouvoir afficher la carte de vœux. Lorsque la victime s’exécute, elle télé­ charge en réalité un enregistreur de frappe (keylogger). Les enregistreurs de frappe contiennent des composants de suivi dont le rôle con­ siste à surveiller des actions particulières, ainsi que des entreprises ciblées – éta­ blissements financiers, boutiques en ligne ou cybermarchands –, pour obtenir des 7 Ibid. 8 « Symantec Intelligence Report », Symantec, janvier 2012. 9 « FTC Consumer Alert: Bank Failures, Mergers and Takeovers: A Phish-erman’s Special », www.ftc.gov
  5. 5. Phishing : les dernières tactiques et leur impact potentiel sur la net-économie 5 informations confidentielles de type numéros de compte, identifiants d’utilisateur et mots de passe. Autre type de cheval de Troie permettant de subtiliser des informations confiden­ tielles : les redirecteurs. Ces derniers tirent leur nom de leur capacité à rediriger le trafic réseau des utilisateurs vers une adresse mise en place par le phisher. SSL stripping par interception Depuis 2008, un nouveau type de malware permet aux cybercriminels de simuler une session cryptée. Cette variante de l’attaque par interception standard (Man-In- The-Middle) est utilisée par les fraudeurs pour récupérer des mots de passe ou des informations confidentielles transmis sans protection sur le réseau. Phishing par texto et téléphone mobile Outre le courrier électronique, les phishers ont recours aux textos (SMS) pour se faire passer pour des établissements financiers légitimes. L’objectif reste cepen­ dant le même : accéder à des informations bancaires confidentielles. Baptisée « smishing », l’arnaque la plus courante consiste à contacter une personne sur son mo­bile pour l’informer d’une soi-disant fraude sur son compte bancaire et de la dé­sac­tivation de sa carte de crédit/retrait. La victime potentielle est invitée à ap­peler un numéro ou à se rendre sur un site Web contrefait pour réactiver la carte. Une fois la personne sur le site ou sur le serveur téléphonique, les phishers n’ont plus qu’à lui soutirer ses numéros de carte, coordonnées bancaires et codes confidentiels associés. Les spams et le phishing débarquent sur les médias sociaux Ces dernières années, les sites de médias sociaux ont été pris d’assaut par les spams et le phishing. Plutôt logique dans la mesure où les criminels vont là où leurs victimes les mènent. En gagnant la faveur des internautes, Facebook et Twit- ter ont donc également attiré la convoitise des cybercriminels. Dans le prolonge- ment de ces poids-lourds, des étoiles montantes comme Instagram, Pinterest ou encore Tumblr sont tombés dans le collimateur des malfaiteurs. Au premier rang des pièges tendus aux socionautes : les faux bons d’achat et les sondages fraudu- leux, qui représentent à eux deux plus de la moitié (56 %) des attaques sur les médias sociaux. Impact potentiel du phishing sur votre activité En 2012, tandis que les spams reculaient, les attaques de phishing, elles, progres- saient. Les arnaqueurs utilisent pour cela des sites Web frauduleux particulière- ment sophistiqués — dans certains cas, des répliques parfaites de sites légitimes — pour soutirer à leurs victimes des informations personnelles, des mots de passe, des numéros de cartes bancaires ou de comptes en banque. Si les e-mails fraudu- leux constituaient autrefois le vecteur de diffusion privilégié, des liens postés sur les sites de médias sociaux sont venus s’y ajouter pour attirer les victimes vers ces sites de phishing plus sophistiqués. Comme vous vous en doutez, ces faux sites prennent généralement l’apparence de vrais sites bancaires et autres émetteurs de cartes. Mais avec les sites de médias sociaux, les arnaqueurs ont aujourd’hui ajouté une nouvelle corde à leur arc. De fait, en 2012, le nombre de sites de phi­ shing déguisés en sites de réseaux sociaux a augmenté de 123 %. Cet engouement s’explique de plusieurs manières. Si les cybercriminels parviennent à intercepter vos identifiants de connexion aux sites de médias sociaux, ils peuvent ensuite uti- liser votre compte pour envoyer des e-mails de phishing à tous vos amis. En effet,
  6. 6. Phishing : les dernières tactiques et leur impact potentiel sur la net-économie 6 un message provenant d’un ami paraîtra moins suspect. Autre leurre : l’envoi d’un message frauduleux à vos amis prétendant que vous vous trouvez en difficulté. Afin de contourner les logiciels de sécurité et de filtrage, les cybercriminels utilisent des adresses de sites Web complexes et des services de réduction d’URL intégrés. Ils ont également recours à l’ingénierie sociale pour inciter leurs victimes à cliquer sur des liens. L’an passé, les « phishers » ont surtout exploité les filons des célébrités, du cinéma, des sportifs et des gadgets que tout le monde s’arrache (smartphones, tablettes, etc.). Non seulement les attaques par phishing imitant le site officiel d’une entreprise portent atteinte à son image, mais elles dissuadent aussi les clients d’utiliser le site Web légitime, de crainte d’être victime d’une arnaque. Or, pour les entreprises en question, les conséquences vont bien au-delà de ce manque à gagner ponctuel : • Chute du chiffre d’affaires en ligne et/ou de la fréquentation en raison de la défiance des clients • Risques d’amendes pour non-conformité en cas d’atteinte aux données des clients On remarque également que les arnaques par phishing dirigées vers une marque donnée portent préjudice à l’ensemble du secteur. Les craintes suscitées par le phishing entraînent en effet la défiance des consommateurs vis-à-vis des entités dont ils ne sont pas sûrs à 100 %. Quelle protection pour votre entreprise ? Bien qu’il n’existe pas de recette miracle, certaines technologies peuvent vous ai- der à protéger votre entreprise et vos clients. Les principales techniques de phi­ shing actuelles tentent d’attirer les clients vers des sites Web frauduleux pour leur soutirer des informations confidentielles. Pour lutter contre ce phénomène et d’au­ tres formes de cybercrime, des technologies de sécurisation comme le SSL (Se­cu­re Sockets Layer) et le SSL Extended Validation (EV) cryptent les informations confi­ dentielles et permettent à vos clients d’authentifier facilement votre site. Les meilleures pratiques de sécurité préconisent d’appliquer les niveaux de crypta­ ge et d’authentification maximum pour se protéger contre la cybercriminalité et renforcer la confiance des clients dans la marque. Norme internationale de sécurité en ligne, la technologie SSL sert à crypter et protéger les informations transmises sur la Toile en HTTP – le protocole de référence. SSL protège les données en transit contre tout risque d’interception et de modification susceptible de survenir en l’ab­ sence de cryptage. La plupart des systèmes d’exploitation, navigateurs Web, appli­ ca­tions Web et serveurs physiques sont compatibles SSL. Pour lutter contre le phishing et gagner la confiance de leurs clients, les entreprises doivent trouver un moyen fiable de leur prouver leur authenticité et leur légitimité. Les certificats SSL Extended Validation (EV) répondent à ces enjeux. Leur mission : offrir le meilleur niveau d’authentification disponible sur un certificat SSL, tout en apportant aux internautes la preuve tangible de la légitimité d’un site. SSL EV offre un moyen simple et fiable de gagner la confiance des internautes : concrètement, les navigateurs Web sécurisés affichent une barre d’adresse verte indiquant le nom de l’entité détentrice du certificat SSL et celui de l’autorité de
  7. 7. Phishing : les dernières tactiques et leur impact potentiel sur la net-économie 7 certification émettrice. La Figure 1 illustre la barre d’adresse verte dans Internet Explorer. La barre verte apporte la preuve visuelle que la transaction est cryptée et que le propriétaire du site a été authentifié selon la norme la plus stricte du secteur. Les phishers ne peuvent donc plus compter sur la naïveté de visiteurs qui ne remarqueraient pas le stratagème d’une session SSL falsifiée. Figure 1. Barre d’adresse verte activée par un certificat SSL EV Les fraudeurs sont devenus de véritables experts en contrefaçon de sites Web. Or, sans le certificat SSL EV de l’entreprise légitime, il leur est impossible de faire ap­pa­raî­tre le nom de l’entreprise dans la barre d’adresse, car ils n’exercent aucune emprise sur l’affichage de ces informations. De plus, les certificats SSL EV de l’en­ tre­prise officielle restent hors de leur portée en raison du très strict processus d’au­then­ti­fi­cation. Sensibilisation des consommateurs et des collaborateurs Parallèlement à la mise en œuvre de la technologie SSL EV, les entreprises doivent poursuivre leurs efforts de sensibilisation de leurs clients et salariés aux pratiques de sécurité et aux réflexes anti-fraude à adopter sur Internet. En ce sens, vous de­ vez leur apprendre à reconnaître les signes d’une tentative de phishing : • Orthographe médiocre (moins courante de nos jours car les phishers ont fait des progrès en la matière) • Salutation générale au lieu d’un message personnalisé • Menaces sur l’intégrité de vos comptes • Demandes d’informations personnelles • Noms de domaine/liens falsifiés Montrez-leur aussi les quelques précautions d’usage pour reconnaître un site Web valide et sécurisé avant de transmettre des informations personnelles ou confiden­ tielles : • Présence de la barre d’adresse verte • URL commençant par HTTPS • Clic sur l’icône du cadenas pour vérifier que les informations du certificat correspondent bien au site Web voulu • Recherche d’une marque de confiance comme le sceau Norton Secured
  8. 8. Phishing : les dernières tactiques et leur impact potentiel sur la net-économie 8 La sensibilisation est en effet une composante essentielle de votre action contre la peur du phishing et pour l’instauration d’une plus grande confiance. En guidant vos clients à travers ces quelques points de vérification, vous pourrez doper vos ventes, différencier votre offre et/ou rationaliser vos coûts grâce au transfert d’un certain nombre de transactions sur Internet. Phishers : des ennemis redoutables aux multiples visages Le phishing est appelé à poursuivre sa mue vers de nouvelles formes, tout en jou­ ant sur la corde sensible des sentiments humains : compassion, confiance, curio­ sité, etc. La protection anti-phishing de votre marque et de votre entreprise exige une attention de tous les instants, mais s’avère payante bien au-delà de la préven­ tion du manque à gagner potentiel dû à la fraude. Seuls les certificats SSL EV assurent à vos clients des niveaux de sécurité maxi­ mum. Il vous appartient de les sensibiliser sur ce thème pour stimuler leur confian­ ce envers votre site. En prouvant votre engagement sans faille sur les questions de sécurité en ligne, vous renforcez l’attractivité de votre entreprise, avec à la clé de nouveaux courants d’affaires. Pour lire les toutes dernières informations sur les tendances mondiales en matière de phishing, consultez le rapport de veille mensuel de Symantec.
  9. 9. Phishing : les dernières tactiques et leur impact potentiel sur la net-économie 9 Glossaire Autorité de certification (AC) : organisme de confiance chargé de délivrer des cer- tificats numériques de type SSL (Secure Sockets Layer), après vérification de la vé­ racité des informations figurant dans le certificat. Cryptage : procédé de brouillage d’un message pour que seul le destinataire visé puisse accéder aux informations transmises. La technologie SSL (Secure Sockets Layer) établit un canal de communication privé, dans lequel les informations sont cryptées pendant leur transmission en ligne pour prévenir toute interception par voie électronique. Certificat SSL Extended Validation (EV) : le processus EV met en œuvre une vé­ ri­fication plus poussée des demandeurs de certificats SSL (Secure Socket Layer), selon des pratiques édictées par un organisme tiers, en l’occurrence le CA/Browser Forum. Dans Microsoft® Internet Explorer 7 et d’autres navigateurs courants à sé­ curité renforcée, les sites Web sécurisés par les certificats SSL EV affichent une barre d’adresse URL de couleur verte. HTTPS : les pages Web dont l’adresse commence par « https » au lieu de « http » permettent de transmettre des informations par un protocole http sécurisé. « HTTPS » figure parmi les points de sécurité à vérifier avant de communiquer des informations confidentielles sur Internet (numéros de carte de crédit, informations personnelles, données de partenaires commerciaux, etc.) Technologie SSL (Secure Sockets Layer) : la technologie SSL et son successeur TLS (Transport Layer Security) recourent à la cryptographie pour assurer la sécurité des transactions en ligne. SSL s’appuie sur deux clés pour crypter et décrypter les données : une clé publique, connue de tous, et une clé privée, ou secrète, que seul le destinataire du message connaît. Certificat SSL : un certificat SSL (Secure Sockets Layer) contient une signature numérique qui relie une clé publique à une identité. Les certificats SSL permettent de crypter les informations confidentielles durant leur transfert en ligne, et dans le cas de certificats validés par une autorité émettrice, servent aussi à vérifier l’identité du détenteur du certificat.
  10. 10. Pour plus d’informations Rendez-vous sur notre site Web www.symantec.fr/ssl-certificates Pour entrer en contact avec un spécialiste produit, appelez le 0800 90 43 51 ou le +41 (0) 26 429 77 24 L’entreprise Symantec Symantec propose des solutions de sécurité, de stockage et de gestion système pour aider les particuliers et les entreprises à sécuriser et gérer leurs systèmes d’information. Nos logiciels et services permettent d’assurer une protection plus complète et plus efficace contre davantage de risques à différents points et d’ins­ taurer ainsi la confiance, quel que soit l’endroit où les informations sont utilisées ou stockées. Symantec Website Security Solutions Tour Egée 17 avenue de l’Arche - La Défense 6 92671 Courbevoie Cedex www.symantec.fr © 2013 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec et le logo en forme de coche sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d’autres pays. VeriSign ainsi que toutes les autres marques associées sont des marques commerciales ou déposées de VeriSign, Inc. ou de ses sociétés affi­ liées ou de ses filiales aux Etats-Unis et dans d’autres pays et sont sous licence Symantec Corporation. Les autres noms peuvent être des marques commerciales de leurs détenteurs respectifs. Phishing : les dernières tactiques et leur impact potentiel sur la net-économie

×