Pourquoi les attaques de hameçonnage fonctionnent-elles encore ?

12 Juil, 2019  - écrit par  dans Noms de domaine

C’est un tour de passe-passe plus vieux qu’Internet lui-même : se faire passer pour une personne de confiance pour extorquer à quelqu’un des informations personnelles.

Internet et l’anonymat en ligne ont ajouté l’opportunité pour les fraudeurs de mieux encore dissimuler leur véritable identité. Cela s’appelle du hameçonnage (ou phishing). Et la technique est tristement simple.

Les utilisateurs subissent le hameçonnage depuis les débuts d’Internet. L’un des premiers cas a été enregistré en janvier 1996 dans un groupe Usenet, lorsque des utilisateurs ont signalé que d’autres utilisateurs se faisaient passer pour des employés d’AOL et demandaient des informations sur les comptes et détails de facturation.

Ce n’est pas si différent de ce que certains clients de Gandi ont reçu durant le mois de juin : des emails prétendument de notre équipe Service Clients demandant de cliquer sur un lien pour renouveler leurs domaines ou risquer de les perdre.

Les propriétaires de noms de domaine sont des cibles privilégiées pour les fraudeurs. Un nom de domaine volé a une valeur potentielle et, de plus, l’adresse électronique des propriétaires peut aisément être devinée. Les attaquants ont la capacité de savoir quels domaines sont enregistrés auprès du bureau d’enregistrement via le WHOIS. Ces attaques sont donc effectuées sans compromettre la base de données du bureau d’enregistrement.

Bien qu’aucune violation de données ne soit requise pour mener une attaque de phishing, elle constitue souvent le point d’entrée. Selon le rapport d’enquête sur les violations de données publié par Verizon en 2019 (article en anglais), le phishing est la première cause des violations de données.

Comment le hameçonnage peut-il perdurer depuis plus de 20 ans ? Ne devrions-nous pas être à-même de résoudre le problème ?

Il y a plusieurs raisons pour lesquelles ces attaques sont toujours prisées et efficaces.

1. Faible coût, haut rendement

Le mot « hameçonnage » résume à lui-seul le bénéfice principal pour les fraudeurs. La technique consiste à envoyer des centaines de milliers de courriels et à attendre que quelqu’un « morde à l’hameçon ».

Cela ne coûte rien d’autre que d’attendre. Une prise suffit souvent aux fraudeurs pour obtenir retour sur investissement.

2. Les e-mails sont faciles à usurper

L’usurpation d’e-mails (spoofing) consiste à modifier le nom ou l’adresse de l’expéditeur d’un e-mail en un autre (qui n’est pas le réel expéditeur). Comme beaucoup de protocoles sous-jacents sur Internet, l’e-mail est un très vieux protocole. Ceux qui l’ont initialement pensé n’ont pas envisagé que modifier le nom de l’expéditeur d’un e-mail doive être rendu impossible ou même difficile.

Il existe même une « usurpation légitime », dans laquelle certaines applications ou utilisations de l’e-mail nécessitent de définir l’adresse de l’expéditeur sur autre chose que l’expéditeur réel de l’e-mail.

Il est donc très facile pour les hameçonneurs de donner l’impression que leur e-mail provient d’une source légitime.

3. Responsabilité de l’utilisateur

Le maillon le plus faible en matière de sécurité informatique est presque toujours l’utilisateur. Cela ne veut pas dire que les utilisateurs sont naïfs, mais plutôt que les fraudeurs savent exploiter non seulement les faiblesses de protocoles du courrier électronique, mais également les réflexes d’utilisateurs individuels.

Une première façon de faire est de prétendre être une source commune et fiable. Dans un environnement de travail, cela pourrait être un collègue, ou votre manager. Si votre supérieur vous demande de lui transmettre un fichier, vous vous exécuterez certainement sans poser de questions.

Une deuxième façon de faire est de jouer sur les codes de l’urgence. Les notifications de voyage et de livraisons de colis fonctionnent, par exemple, très bien. Si vous craignez de voir des données être effacées ou un compte supprimé, vous risquez probablement de baisser la garde et de ne pas scruter suffisamment la source du mail.

Que faire contre le hameçonnage ?

Il est difficile de parer les arguments du point 1 (faible coût/haut rendement). Nous pouvons toutefois mener des actions pour corriger les points 2 et 3.

SPF

La première défense est SPF (Sender Policy Framework). SPF permet aux propriétaires de noms de domaine de définir les adresses IP à partir desquelles ils envoient un courrier électronique. Si SPF est activé dans un domaine, un serveur de messagerie recevant un courrier électronique de ce domaine vérifiera si le domaine possède un enregistrement SPF.  Si l’adresse IP d’origine de l’e-mail ne correspond pas, l’e-mail pourra être marqué comme spam.

DKIM

La deuxième défense est DKIM (Domain Keys Identified Mail). DKIM est un moyen de « signer » un email. Il place une signature cryptographique spécifique (créée à l’aide de la cryptographie à clé publique) dans chaque courrier électronique envoyé et une clé de vérification dans DNS.

Chez Gandi, nous utilisons actuellement SPF et travaillons à la mise en œuvre de DKIM.

Pour aller encore plus loin, DMARC est un protocole intégrant SPF, DKIM et une fonction de reporting pouvant être utilisée pour mesurer l’efficacité des politiques.

Pédagogie

La dernière défense est la pédagogie. Plus le message est diffusé, plus les gens s’en souviendront : si vous recevez un courrier électronique vous invitant à vous connecter à un compte ou à fournir des informations personnelles, vérifiez que le lien utilise le protocole HTTPS et redirige là où vous le pensez avant de cliquer dessus. Si tout semble en ordre, assurez-vous alors que le certificat TLS / SSL correspondant a été délivré.

Le phishing ne disparaîtra pas de si tôt et Gandi continuera de vous tenir au courant des nouvelles campagnes de phishing ciblant ses utilisateurs. Entre-temps, les équipes travaillent à la mise en œuvre complète de DKIM.

Dans l’intervalle, nous encourageons tous nos lecteurs à rester vigilants et à partager ces conseils.