Le terrain d'action des pirates qui s'adonnent au phishing va des grandes entreprises internationales aux marchés locaux. En France, la Banque de France constitue la dernière cible en date après 4 autres banques françaises le mois dernier, la Société Générale, le CIC, le CCF et BNP Paribas. Des attaques similaires ont également été menées contre les clients de la Citibank en Belgique, de la Postbank néerlandaise et du portail suisse Yellonet de Postfinance.
Faut-il parler ici d'une nouvelle tendance et dans quelle mesure les entreprises peuvent-elle résister aux tentatives d'abus de leur image de marque ?
Le phishing est une technique de mystification utilisée par des pirates pour envoyer de grandes quantités de courriers électroniques semblant provenir d'une organisation tout à fait légitime. Le but de ces attaques est d'amener le destinataire à dévoiler des informations personnelles (code d'accès par exemple) ou d'installer des codes espions (keyloggers ou chevaux de Troie) sur le PC visé. Le phishing est une forme de courrier électronique indésirable (spam) qui est non seulement gênant, mais aussi dangereux.
Selon une enquête réalisée aux Etats-Unis, 41% d'individu (soir 57 millions d'Américains) reçoivent des courriels de phishing. Près de 1,8 millions de personnes interrogées ont avoué avoir ainsi diffusé des informations sensibles à des pirates et, selon Gartner, un autre million d'Américains seraient victimes de phishing à leur insu.
De plus en plus compliqué Auparavant, un utilisateur Internet expérimenté pouvait encore reconnaître un courrier de phishing, mais aujourd'hui, les choses se compliquent. Récemment, un courriel mystifié de eBay conduisait l'utilisateur sur un site entièrement factice reproduit à la perfection: après avoir introduit son code d'accès et son mot de passe sur ce site, l'utilisateur était automatiquement transféré vers le vrai site web d'eBay.
Selon l'Anti-Phishing Workgroup, deux tendances se dégagent dans ce domaine : d'une part, des entreprises qui sont déjà attaquées depuis un certain temps, et d'autre part, un groupe d'entreprises mystifiées qui changent tout le temps. Apparemment, il y aurait donc aussi deux catégories de pirates : ceux qui misent sur la popularité d'un nom et le nombre élevé de visiteurs de sites de sociétés renommées, et ceux qui essaient d'abuser les clients d'entreprises possédant une expérience plus limitée du phishing. Bien que très connue, en France la Banque de France se range clairement dans la seconde catégorie.
Dans tous les cas, le même fil rouge : les pirates veulent exploiter l'angoisse du destinataire et évoquent l'expiration ou l'exploitation abusive de leur compte. Dans certains courriels de phishing, le destinataire est même prié de se connecter et de modifier son mot de passe. Le destinataire est donc clairement victime de ce genre d'attaque, mais il existe encore un autre groupe de victimes, à savoir les entreprises mystifiées. En ce qui concerne la Société Générale, le CIC, le CCF et BNP Paribas, on peut franchement parler d'une dégradation de l'image de marque et de la notoriété des banques, dont le système de sécurité ne paraît pas au point aux yeux des utilisateurs et cela, alors que les banques cherchent à convaincre leurs clients que leurs informations confidentielles sont bien protégées.
Adopter les bons réflexes
Selon une étude réalisée par The Radicati Group, le nombre d'attaques uniques par phishing aura plus que doublé en 2008, pour atteindre 110 par mois. Cela corrobore la tendance identifiée par The Anti-Phishing Working Group, qui signalait qu'en avril 2005, 79 entreprises avaient été mystifiées et victimes d'attaques menées sous la forme de phishing. Pour les quatre premiers mois de l'année, on a compté en moyenne pas moins de 2.766 nepwebsites par mois en ligne. Compte tenu du fait que la durée de vie moyenne de ce genre de site est inférieure à 6 jours, cela signifie que des centaines de nouveaux nepsites apparaissent quotidiennement. Message Labs intercepte 2 à 5 millions de courriels de phishing par mois.
Il devient primordial d'informer soigneusement le public sur les bons réflexes à adopter dans la gestion de leurs e-mails et sur les fonctions d'achats en ligne.
Face au succès du phishing trois simples mesures peuvent déjà limiter autant que possible les dégâts financiers et les risques de dégradation de leur image de marque.
1. Mettre en oeuvre une technologie de sécurisation
De nombreux adeptes du phishing pratiquaient autrefois le spam (ou envoi massif de courriels indésirables) ce qui explique les nombreux points de similitude entre ces deux menaces Internet. Les solutions anti-spam permettent donc de retenir un assez grand nombre de courriels de phishing, mais la solution la plus efficace est celle qui vérifie aussi, dans les courriers entrants, la présence éventuelle d'un URL suspect dans le courriel mystifié, par rapport à une liste d'URL de phishing connus. Parmi les solutions les plus prometteuses, figure un logiciel qui vérifie si l'adresse IP de l'émetteur correspond bien à celle de l'entreprise officielle. Cette technique n'est cependant pas encore au point pour l'instant.
2. Informer employés, clients et relations d'affaires
La technologie seule ne suffit pas. Le seul remède est de se profiler comme la cible la moins attrayante possible pour les « Phishers ».
Communiquez de manière extensive à vos clients et relations que vous ne leur demandez jamais de communiquer données personnelles par courriel et certainement pas via un hyperlien. Consultez régulièrement les pages du site www.antiphishing.org pour vous informer des dernières nouveautés en matière de phishing et informez vos partenaires et relations si votre entreprise devait être victime d'une telle attaque. Demandez-leur de vous faire suivre les courriers suspects qui 'semblent' venir de votre organisation.
3. Faire une déclaration !
Le dernier point est au moins aussi important que les précédents : n'hésitez pas à faire une déclaration à la police ou au juge d'instruction si votre entreprise est victime d'un abus sous la forme de courriels falsifiés. Envoyez toujours le mail complet, avec l'en-tête du message ou le lien HTML complet du nepsite. Copier le contenu d'un mail suspect ne suffit pas car les autorités chargées de l'enquête ne disposeront alors pas des informations voulues pour rechercher l'émetteur.
-----------------------------------------------------------
Créé en 1994, Internet Security Systems (ISS) fournit des produits et services de sécurité préventive contre les menaces liées à Internet. Ces produits et services s'appuient sur des fonctions de sécurité proactives.
Le siège d'Internet Security Systems se trouve à Atlanta. Pour toute information complémentaire : www.iss.net