GlobalSign Blog

Spear phishing et coronavirus : comment vous protéger vous et votre entreprise

Spear phishing et coronavirus : comment vous protéger vous et votre entreprise

Le piratage informatique et la cybercriminalité ont explosé pendant la pandémie de coronavirus. Plusieurs raisons entrent en ligne de compte.

La première tient au nombre inédit de personnes en télétravail qui, bien souvent, ne disposent pas des protections de cybersécurité adéquates. Avec l’évolution rapide de la crise sanitaire, les salariés qui ne pouvaient plus se rendre dans leur entreprise ont dû s’adapter dans la précipitation et installer un bureau chez eux. Beaucoup n’étaient pas préparés ce qui, étant donné le contexte, n’est pas étonnant !

La saturation des structures de santé explique également l’explosion de la cybercriminalité. Beaucoup de professionnels de santé ont en effet recours à la téléconsultation et aux diagnostics en ligne. Le nombre de patients gonfle sans que les effectifs soignants parviennent toujours à suivre. Les équipes n’ont tout simplement pas le temps de se préoccuper de cybersécurité, et de nombreux personnels de santé non essentiels sont aussi passés en télétravail. Résultat : les données des patients se retrouvent potentiellement en danger.

Le troisième facteur d’aggravation de la cybercriminalité tient à l’imprévisibilité du climat politique et économique actuel. Les attaques d'États-nations désignent les assauts planifiés et commis par un pays contre un autre dans le but de récupérer des informations politiques, de manipuler les médias ou de faire main basse sur des données. Chez Google, le groupe d'analyse des menaces (TAG) est chargé de protéger l'entreprise contre ce type d’offensives. En 2020, le TAG aura marqué des points, sans pour autant réussir à éradiquer complètement les menaces. 

Dans cet article, nous étudierons les attaques de harponnage (spear phishing) en nous attardant sur leur niveau de perfectionnement et d’efficacité, et les façons de s’en prémunir.

Qu'est-ce que le harponnage, au juste ?

L’hameçonnage (phishing) est l'une des formes de cyberattaques les plus courantes. Il est par conséquent primordial d’y être sensibilisé et de savoir prendre les mesures appropriées.

Depuis février 2020, les attaques par hameçonnage ont bondi de 600 %. Quant au harponnage (spear phishing), c'est une forme d’hameçonnage particulièrement puissante.

Le harponnage est une variante de l'hameçonnage qui cible une personne, un organisme ou une entreprise spécifique. Google en a récemment fait les frais. En se faisant passer pour des sites de partage de fichiers et de stockage Google, des pirates ont convaincu 65 000 utilisateurs de saisir leurs identifiants de connexion. L’incident est survenu plusieurs mois après le téléchargement par des milliers d'utilisateurs de fausses mises à jour de Google Chrome.

Les attaques par harponnage sont plus difficiles à détecter que la majorité des autres cyberattaques : un lien ou un formulaire provenant d'un cybercriminel peut ressembler en tous points à un site web authentique. Problème : depuis leur domicile, les télétravailleurs n'ont sans doute pas les mêmes protections et équipements que dans leur entreprise. Et ces attaques parviennent plus facilement à contourner les filtres.

Le problème s’aggrave encore en l’absence de messagerie électronique sûre et sécurisée. Certaines études affirment que, plus que tout autre système, les systèmes de messagerie concentreraient à eux seuls une grande partie des tentatives de piratage et d’infiltration des hackers et cybercriminels.

Mais pourquoi s’en prendre aux employés et aux travailleurs ? Les cybercriminels tablent sur leur probable méconnaissance des escroqueries par hameçonnage et s’intéressent de près à leur accès aux données de leur entreprise. Les multinationales n’échappent pas aux attaques de harponnage. Pour preuve, Facebook a une fois perdu 100 millions de dollars dans une attaque de harponnage menée en Lituanie.

Mais les grands groupes ne sont pas les seuls dans la ligne de mire des spécialistes du spear phishing. Dotées de ressources plus limitées, les petites et moyennes entreprises constituent bien souvent des proies idéales. Or, avec un coût moyen de 2,3 millions de dollars par cyberattaque, les conséquences financières sont bien plus lourdes à absorber pour une PME qu’une grande entreprise.

Quel est l'objectif d'une attaque par harponnage ?

Pourquoi un cybercriminel chercherait-il à tromper un utilisateur en l’amenant à saisir ses identifiants de connexion et à accéder à son ordinateur ? Quelle motivation pousse ces pirates à concevoir différents types d'attaques par hameçonnage ?

Dans certains cas, les cybermalfaiteurs cherchent à accéder aux données privées d'une entreprise dans le but de la faire chanter et de lui extorquer d’importantes sommes d’argent. Si une entreprise se fait prendre pour avoir compromis des données clients, elle peut être poursuivie en justice et voir sa réputation gravement entachée. Or à notre époque, avant d’acheter, 90 % des consommateurs se renseignent sur le vendeur. Si vous êtes cette entreprise, la dernière chose que vous souhaitez, c'est que l’on puisse tomber sur des articles relatant la façon dont les données d’anciens clients ont été piratées.

Dans d'autres circonstances, les cybermalfaiteurs se contenteront d’accéder aux données de clients ou de patients d'une société ou d'un hôpital pour les revendre sur le Dark Web. Permis de conduire, informations de passeports et numéros de sécurité sociale se vendent à prix d’or. Les données de cartes de paiement trouvent aussi preneur, lorsqu’elles ne sont pas utilisées pour vous voler en premier lieu. Ce genre de piratage frappe fréquemment les entreprises insuffisamment protégées sur le plan cyber.

Autre forme de harponnage de plus en plus répandue : les attaques des États-nations. Celles-ci ciblent généralement des experts en politique étrangère, des diplomates et des journalistes. À l’aide de techniques d'ingénierie sociale, les pirates créent des profils en ligne légitimes et établissent des contacts avec de hauts fonctionnaires. Ils utilisent ensuite leur influence pour diffuser de fausses informations reprises par diverses sources, le tout au service de leurs intérêts nationaux.
Les auteurs de ces pratiques entendent manipuler les opinions publiques et peser sur les élections. 

Comment me protéger et protéger ma société contre le spear phishing ?

Si vous travaillez à domicile, une mesure de sécurité particulièrement importante consiste à investir dans un routeur de réseau privé virtuel (VPN). Un routeur VPN chiffre votre adresse IP pour dissimuler votre activité et vos données sur Internet, ce qui complique grandement la tâche de tout cybercriminel qui s’intéresse à vous.

Pour éviter de vous faire piéger par une attaque de phishing, vérifiez toujours la légitimité d'un site web ou d'une adresse électronique. Si l'adresse e-mail semble étrange ou se termine par une autre extension que celle de pays réputés sûrs, n'ouvrez pas le courriel. Si vous effectuez un paiement par le biais d’un site web ou que vous saisissez des informations privées en ligne, assurez-vous que le site dispose d'un certificat SSL/TLS symbolisé par un cadenas dans la barre d'adresse.

Gérez correctement vos mots de passe. Ils doivent être complexes et ne pas être enregistrés là où d'autres personnes pourraient y accéder. L’utilisation d’un système de gestion des mots de passe de qualité est recommandée. L'activation de la vérification à deux facteurs est également une excellente idée. Dans ce cas, chaque fois que vous vous connectez à votre ordinateur, vous devez prouver que vous n'êtes pas un imposteur via une source d'identification supplémentaire.

Les responsables et les équipes informatiques doivent correctement former leurs employés aux fondamentaux de la cybersécurité. Si vous optez pour un VPN, assurez-vous que tous savent y accéder et l'utiliser. Formalisez dans un document d’entreprise certains réflexes d’hygiène numérique à avoir, comme le fait de vérifier systématiquement la validité des expéditeurs de courrier électronique avant de cliquer sur un lien. Enseignez à vos employés qu’ils ne doivent jamais saisir d'informations sensibles, en particulier des données financières, sans la présence d'un certificat SSL/TLS. De même, si vous avez un site web de commerce électronique ou d'entreprise, assurez-vous qu'il est protégé.

Conclusion

Les cyberattaques posent d’énormes problèmes, mais on peut y réagir. Avec un VPN et un système de gestion des mots de passe, votre entreprise dispose déjà de deux excellents moyens de se protéger. L’essentiel est d'apprendre à vos employés à éviter les cyberattaques usuelles, comme les attaques d’hameçonnage.

La dernière attaque de spear phishing évoquée plus haut a fait 65 000 victimes parce que les utilisateurs avaient interagi avec un lien ou un formulaire semblant provenir de Google. S'ils n'avaient ouvert que les liens provenant de contacts de confiance, ils n'auraient pas été dupés.

Avec un peu de préparation et quelques connaissances, la plupart des entreprises peuvent éviter certaines cyberattaques. Nous espérons que cet article vous aura donné quelques idées pour amorcer votre démarche de cybersécurité dans un monde numérique en constante évolution.

NB : Cet article a été rédigé par un contributeur externe en vue d’offrir à nos lecteurs une plus grande variété de contenus. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.

Share this Post