Les attaques par compromission d’email professionnel (BEC) n’ont cessé d’augmenter et ont eu des effets catastrophiques. Elles constituent une menace majeure : ces techniques d’attaques utilisant les faiblesses de l’utilisateur pour contourner les sécurités.
L’année dernière, le FBI a estimé que les pertes mondiales imputables à la compromission de la messagerie électronique s’élevaient à 43 milliards de dollars entre 2016 et 2021.
Il ressort par ailleurs d’un rapport de Verizon consacré aux enquêtes sur les violations de données que les applications web et les e-mails sont les deux principaux vecteurs de violation.
Parce qu’elles ont souvent une interface avec Internet, les applications web et les e-mails constituent un moyen utile dont disposent les attaquants pour tenter de franchir le périmètre d’une entreprise.
Pour lutter contre ces menaces informatiques de plus en plus sophistiquées, les équipes de sécurité et les utilisateurs finaux doivent être vigilants. Voici quelques pistes pour bien réagir…
Attention à la nouvelle génération de tentatives de phishing
Le succès de nombreuses compromissions d’e-mails peut être attribué aux attaques de phishing de plus en plus perfectionnées. Historiquement, le BEC impliquait qu’un acteur malveillant vole l’alias et le mot de passe d’un utilisateur (peut-être en lui envoyant un faux formulaire de connexion Office ou Google à remplir) et espérait que ne soit pas implémentée une solution d’authentification multifacteur (MFA), qui pourrait neutraliser l’attaque.
Néanmoins, ces dernières années, de nouvelles approches ont vu le jour : l’ingénierie sociale est de plus en plus utilisée pour récupérer les tokens MFA, des acteurs malveillants incitent les utilisateurs à fournir leur code d’accès MFA à usage unique. L’attaquant peut essayer le « push bombing », qui consiste à spammer l’utilisateur final avec des notifications d’authentification jusqu’à ce que ce dernier décide enfin de la valider. Ou ils peuvent utiliser des proxys et des outils malveillants plus récents qui adoptent une approche de phishing plus traditionnelle consistant à voler un nom d’utilisateur et un mot de passe en envoyant un lien frauduleux sur lequel l’utilisateur doit cliquer. Ces proxies réussisent à contourner le MFA : ils complètent l’ensemble de la session d’authentification et accèdent à la session authentifiée.
Malheureusement, toutes ces nouvelles approches et ces outils banalisés signifient que le BEC reste un vecteur d’attaque rentable pour les acteurs malveillants. Étant donné que la défense a souvent un temps de retard, les utilisateurs finaux doivent rester vigilants. Si un élément vous semble suspect, utilisez d’autres canaux de communication pour confirmer la légitimité d’un message avant d’entreprendre une action qui pourrait vous nuire, à vous ou à votre entreprise.
Optez pour une approche de sécurité à plusieurs couches
Il n’existe pas de solution miracle en matière de cybersécurité ; il est impossible de se contenter d’un seul contrôle, d’une seule politique ou d’une seule session de formation pour les utilisateurs finaux. Pour être efficace, il faut donc adopter une approche à plusieurs couches, avec différents outils, procédures et formations. Si une couche échoue, une autre sera là pour prendre le relais.
Les équipes de sécurité doivent identifier les contrôles techniques qu’elles peuvent mettre en œuvre pour minimiser l’impact du phishing dans le cas d’une attaque. Un pare-feu DNS empêche les utilisateurs et les systèmes du réseau de se connecter à des sites Internet malveillants connus et peut neutraliser efficacement les liens menant à une mauvaise adresse. Pour lutter contre les logiciels malveillants, les outils anti-malware proactifs peuvent surveiller les comportements inhabituels (au lieu d’utiliser la détection basée sur les signatures) pour identifier les logiciels malveillants et les empêcher d’infecter les ordinateurs et autres appareils.
Veillez à utiliser des outils capables d’identifier rapidement les attaques qui passent à travers les mailles du filet et d’y répondre. Grâce à de puissants outils de détection et de réponse des endpoints (EDR), vous pouvez améliorer la visibilité au sein de votre réseau afin de détecter les activités malveillantes et d’agir avant que l’incident ne prenne de l’ampleur.
Enfin, misez sur le MFA, car c’est la meilleure mesure qu’une équipe de sécurité puisse mettre en œuvre pour se protéger contre les attaques d’authentification. Pour que cette ligne de défense reste solide, pensez à renforcer le MFA avec une formation à l’ingénierie sociale pour les utilisateurs finaux.
Créez une culture de la sécurité
La plupart des professionnels de la sécurité savent qu’aucune défense n’est parfaite, a fortiori quand le comportement humain est en cause. Ils sont conscients qu’une formation de sensibilisation à la sécurité est nécessaire, car une attaque réussie se produit souvent à la suite d’une erreur humaine. Les méthodes employées pour duper les utilisateurs finaux ne cessant d’évoluer, il est de plus en plus important d’organiser des formations.
Les équipes de sécurité doivent continuellement former les utilisateurs pour qu’ils soient hyper sensibilisés à la compromission des e-mails professionnels. Mettez bien l’accent sur le phishing par e-mail, le spear phishing et l’ingénierie sociale. Étant donné que de nombreuses attaques peuvent provenir de vecteurs autres que l’e-mail (via un message texte, sur WhatsApp ou d’autres applications de messagerie, ou des appels vocaux via un logiciel de deepfake) il est important que les utilisateurs comprennent l’ensemble de la gamme des menaces.
Il est essentiel de créer une culture de sensibilisation à la sécurité et de faire en sorte que les utilisateurs se sentent à l’aise pour signaler un problème ou une activité suspecte à l’équipe informatique. Si un utilisateur est victime d’une tentative de phishing, donnez-lui les moyens d’avertir rapidement le service informatique afin que la menace puisse être traitée rapidement. Leur reprocher leur comportement n’aura que des conséquences négatives. Vous n’avez certainement pas envie que l´erreur d’un utilisateur ait de graves conséquences sur l’entreprise. Instaurez une culture dans laquelle les utilisateurs ont l’impression de faire partie de l’équipe de sécurité et gardent un œil sur les tentatives de phishing et les activités malveillantes. Plus il y a d’yeux, mieux c’est.
Dans le paysage actuel des menaces, avoir un esprit critique est indispensable. Bien souvent, un acteur malveillant compromettra le compte d’une personne proche, un collègue, un partenaire ou un fournisseur, et s’en servira pour une tentative de phishing.
Lorsqu’il s’agit d’e-mails ou d’autres menaces de cybersécurité basées sur la messagerie, vous ne pourrez jamais réduire le taux de clics à zéro. Mais l’équipe de sécurité doit s’efforcer de réduire au maximum le taux de clics afin que les contrôles techniques puissent prendre le relais en cas de besoin.
____________________________
Par Pascal Le Digol, Country Manager France chez WatchGuard Technologies
puis