La crise pandémique provoquée par le coronavirus Covid-19 a favorisé l’apparition de nouvelles attaques notamment par emails, utilisant des techniques certes éprouvées mais des thèmes et des peurs collectives nouvelles, désignées sous le nom de « Fearware ».
La peur a toujours été un levier exploité par les cybercriminels pour amener les internautes à commettre des actions qu’ils n’auraient probablement pas conduites dans un autre contexte. Aussi le contexte anxiogène actuel est-il une aubaine pour eux.
L’angoisse ambiante est utilisée comme une faille. Par exemple pour rançonner des particuliers : « nous savons où vous habitez, nous connaissons vos proches, si vous ne versez pas une rançon tout de suite nous viendrons vous contaminer ». Ou encore pour favoriser un sentiment d’urgence afin de forcer l’utilisateur à cliquer vite et sans réfléchir sur un lien qui le conduira soit à un site de phishing (où il divulguera sans s’en apercevoir ses identifiants Office, GSuite, bancaire, PayPal, Netflix, Disney+, Spotify, et autres), soit au téléchargement d’une application malveillante (qui servira de porte d’entrée pour investir son PC et éventuellement ensuite le système d’information de son entreprise).
Du Scareware au Fearware…
Ces techniques ne sont pas nouvelles. La peur de se faire prendre par les gendarmes du Net a par exemple été utilisée aux dépens de ceux qui piratent ou regardent des vidéos en streaming. La peur de voir son intimité divulguée a été utilisée contre les internautes qui fréquentent des sites pornographiques. La peur de « décevoir son patron » a été utilisée pour extorquer des informations et même de l’argent à des collaborateurs (ce que l’on appelle le BEC ou Business Email Compromised).
Toutes ces peurs et bien d’autres ont été utilisées pour mener des attaques et duper les internautes ou les collaborateurs. Des attaques souvent désignées sous le nom de « scareware ».
Mais depuis le début de la pandémie et du confinement de la moitié du monde, les cybercriminels ont quelque peu fait évoluer ces techniques éprouvées pour jouer sur la peur collective et l’inquiétude ambiante autour du COVID-19. Il n’est plus ici vraiment question ici de « faire peur » mais de jouer sur le fait que les gens ont peur. Une tendance désignée sous le nom de « Fearware », signalant des attaques qui ont davantage de « chances » de réussir, autrement dire de duper les internautes, durant des périodes d’incertitude et d’inquiétude mondiale comme celle que l’on connaît.
Une pandémie de Fearware…
Typiquement, on a vu fleurir sur les « Stores » applicatifs de faux tableaux de bord Covid-19 qui prétendait suivre en direct l’évolution de l’épidémie et qui pendant ce temps-là chiffrait vos fichiers pour les prendre en otage (technique du ransomware), dérobait des mots de passe ou minait des bitcoins à votre insu.
Les SMS sont aussi utilisés promettant des informations essentielles sur comment reconnaître les symptômes, se mettre en relation avec un (faux) médecin, sur le taux d’infection dans votre région par exemple pour encourager les utilisateurs à appeler des numéros surtaxés, cliquer sur des liens de Phishing ou encore télécharger des apps malveillantes.
Mais le plus souvent, c’est l’email qui est le principal vecteur de grandes attaques ciblées avec des objets comme « Coronavirus – Action Immédiate » (souvent employé pour des attaques contre les entreprises) semblant provenir de la direction de l’entreprise ou d’un organisme médical, gouvernemental ou public tel que le ministère de la santé ou l’OMS.
Certains courriers surfent même sur les mesures d’aide sociale et propose une assistance financière ou un programme de remboursement des impôts.
Dans tous les cas, l’email contient soit un lien vers un site de Phishing (pour dérober des logins et passwords ou des informations bancaires), soit un lien vers un site infecté qui pousse un outil malveillant en profitant d’une faille du système, soit une pièce attachée infectée.
Certaines de ces techniques ont été utilisées pour pénétrer les systèmes d’information des entreprises ou même des organismes de santé afin d’y dérober des informations confidentielles ou y implanter des ransomwares en cette période de pandémie.
L’email, éternel talon d’Achille de la cybersécurité
Ces techniques ne sont pas nouvelles en soi mais les termes, les contenus et les provenances, sont eux nouveaux et ne sont souvent pas détectés par les passerelles de protection des entreprises parce qu’ils ne ressemblent à rien que ces outils aient vu jusqu’à présent. C’est pourquoi ces emails sont souvent passés au travers des boucliers défensifs.
Seules de nouvelles technologies défensives boostées à l’IA ont su contrecarrer de telles attaques parce que les IA ont pu détecter dans ce flux d’emails des thèmes très inhabituels dans le contexte de l’entreprise et y repérer ainsi des schémas d’évasion des défenses. Parce qu’elles ont une « compréhension » des pratiques et dynamiques humaines, elles peuvent détecter ces attaques par courriers comme étant des anomalies. Pour l’IA, ces emails ne rentraient pas dans les contextes de ce qu’elle considère comme des échanges classiques et habituels pour telle ou telle entreprise. De multiples détails sont analysés par l’IA comme le fait par exemple que l’email provient d’un domaine qui vient d’être créé, que le titre et le contenu ne sont pas cohérents avec les échanges habituellement observés chez cet utilisateur, que le lien dans l’email pointe vers une destination à laquelle personne dans l’entreprise n’a jamais accédé, etc. En multipliant toutes ces vérifications et analyses intelligentes, ces nouvelles protections boostées à l’IA constituent actuellement la seule défense proactive vraiment efficace face à cette vague nouvelle d’attaques « fearware ».
Bien évidemment, au-delà des solutions techniques, l’utilisateur a aussi son rôle à jouer : il doit apprendre à ne pas se laisser guider par la peur, à ne pas « cliquer dans l’urgence » sur les liens qui lui sont présentés et à prendre le temps de remettre en perspective l’email reçu en ayant conscience qu’en cette période tout email autour du « COVID-19 » notamment avec un lien ou une pièce attachée doit être considéré comme suspect.