L’ha­me­çon­nage ne se fait pas que par mail !

IT for Business - - SOMMAIRE -

Le phi­shing ne se fait pas sim­ple­ment à l’aide d’un mail et d’un site contre­fait. De nou­veaux ca­naux per­mettent de ré­duire la vi­gi­lance des uti­li­sa­teurs : ré­seaux so­ciaux, SMS, ou­tils d’au­then­ti­fi­ca­tion tiers, do­cu­ments sto­ckés dans le cloud…

Les sys­tèmes d’alertes et de sen­si­bi­li­sa­tion des uti­li­sa­teurs ont fait di­mi­nuer si­gni­fi­ca­ti­ve­ment les ré­sul­tats des cam­pagnes de phi­shing par e-mail. En ré­ponse, les ha­ckers font des ef­forts pour amé­lio­rer la « qua­li­té » de leurs ten­ta­tives, cherchent de nou­veaux moyens de contour­ner les ou­tils de dé­tec­tion, en par­ti­cu­lier en uti­li­sant de nou­veaux vec­teurs de dif­fu­sion et en ci­blant les usages de­puis des smart­phones.

L’ob­jec­tif de l’ha­me­çon­nage est ty­pi­que­ment l’ex­tor­sion de fonds ou fraude au pré­sident, le vol d’iden­ti­fiants ou de don­nées, ou en­core l’ino­cu­la­tion de mal­wares. Dé­sor­mais, les ré­seaux so­ciaux sont par­ti­cu­liè­re­ment ci­blés : ob­te­nir les iden­ti­fiants (lo­gin/ mot de passe) d’un compte Fa­ce­book per­met de con­tac­ter les « amis » de cette per­sonne, sans éveiller leur mé­fiance. Ces échanges étant ef­fec­tués par Mes­sen­ger, les dis­po­si­tifs de pro­tec­tion sont in­ac­tifs. Les liens pour­ront poin­ter vers des sites dan­ge­reux, afin de té­lé­char­ger un do­cu­ment vé­ro­lé, ou pour ob­te­nir les iden­ti­fiants de ce nou­vel uti­li­sa­teur.

« Fa­ce­book, Twit­ter, Lin­ke­din, mais aus­si What­sapp, Skype, Vibe, ou Slack sont ain­si dé­tour­nés », pré­cise Sé­bas­tien Guest, Tech Evan­ge­list chez Vade Se­cure. De la même ma­nière, d’im­por­tantes cam­pagnes ont été ef­fec­tuées par SMS. Avec cer­taines pla­te­formes d’ex­pé­di­tion, il est pos­sible de for­ger un SMS avec un nu­mé­ro de son choix. Ain­si, croyant re­ce­voir un SMS de son res­pon­sable par exemple, la vic­time va cli­quer sur le lien in­di­qué. Pour contrer ce type d’at­taque, il ne faut pas hé­si­ter en cas de doute à ré­pondre au mes­sage par SMS afin d’ob­te­nir des pré­ci­sions. L’at­ta­quant ne peut pas re­ce­voir les SMS cor­res­pon­dant à ce nu­mé­ro.

De­puis un an, une nou­velle tac­tique a fait son ap­pa­ri­tion. Plu­tôt que de si­mu­ler une page res­sem­blant à l’ori­gi­nale (telle que la page de connexion de Google ou celle d’of­fice 365), qui ris­que­rait d’être dé­tec­tée comme une contre­fa­çon, au­tant uti­li­ser une « vraie » page de connexion. Google, Mi­cro­soft, mais aus­si Twit­ter et beau­coup d’autres « pro­posent l’installation de plu­gins/ap­pli­ca­tions per­met­tant d’en­ri­chir le conte­nu de leurs sites », ex­plique Sa­lim Ha­fid, Pro­duct Ma­na­ger chez Bit­glass. Lors de l’installation de ces com­po­sants, le site, par exemple Google, va af­fi­cher les au­to­ri­sa­tions que l’élé­ment re­quiert, et vous de­man­der de confir­mer son installation. Un dé­ve­lop­peur peut très fa­ci­le­ment créer son « app », vous in­vi­ter à l’ins­tal­ler, et de­man­der l’ac­cès à votre Google Drive, l’ac­cès in­té­gral à vos e-mails (les lire, écrire en votre nom) – sans pour au­tant connaître votre mot de passe. La page d’au­to­ri­sa­tion de Google étant par­fai­te­ment stan­dard, au­cun ou­til ne pour­ra aler­ter l’uti­li­sa­teur, l’ac­tion pou­vant être to­ta­le­ment lé­gi­time. Si l’uti­li­sa­teur ac­cepte l’installation, les fu­turs ac­cès lui se­ront in­vi­sibles. Il ne pour­ra s’en aper­ce­voir qu’en consul­tant les pa­ra­mètres de sé­cu­ri­té de Google, en af­fi­chant la page concer­nant les au­to­ri­sa­tions des ap­pli­ca­tions (Oauth). Il est donc conseillé de la consul­ter ré­gu­liè­re­ment et de ré­vo­quer les au­to­ri­sa­tions qui ne sont plus né­ces­saires.

La pre­mière cam­pagne im­por­tante de ce genre s’est pro­duite en dé­but d’an­née der­nière et vi­sait les uti­li­sa­teurs de gmail/gsuite. Elle consis­tait à en­voyer par mail un lien vers un vé­ri­table Google Docs. Pour per­mettre son ou­ver­ture, une de­mande au­près du pro­prié­taire du do­cu­ment est par­fois né­ces­saire. Ici, le do­cu­ment joue sur cet amal­game et se com­porte comme une ap­pli­ca­tion tierce, pour de­man­der des au­to­ri­sa­tions d’ac­cès (Oauth). « Cette at­taque par­ti­cu­lière a sim­ple­ment en­dor­mi la mé­fiance des des­ti­na­taires », ajoute Anu­rag Ka­hol, co­fon­da­teur et CTO de Bit­glass. « Dès lors, les pi­rates pou­vaient uti­li­ser cette au­to­ri­sa­tion pour voir les contacts des vic­times, lire leurs cour­riels, connaître leur lo­ca­li­sa­tion ou consul­ter les fi­chiers pré­sents dans Google Suite ». Et de conclure : « la ca­pa­ci­té des ha­ckers à fal­si­fier des ap­pli­ca­tions cloud est une ten­dance à prendre très au sé­rieux ».

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.