Exclusif – Quelles attaques viseront les messageries en entreprises l’an prochain ? Les experts en sécurité des emails de Vade Secure expliquent pour Solutions Numériques leurs prévisions pour 2021.
Les menaces s’appuyant sur des images distantes
Damien Riquet, Research Engineer :
Au vu de l’efficacité des techniques de manipulation des images pour tromper les filtres de messagerie, les hackers ont désormais recours à des images distantes afin de stocker du contenu textuel malveillant. A la différence des images intégrées dans les emails, les images distantes doivent être récupérées sur un réseau. Cette particularité rend leur détection complexe et chronophage : elle ne peut pas être réalisée en temps réel. Les hackers utilisent diverses techniques dans le but de tromper les filtres de messagerie à l’aide d’images distantes telles que l’utilisation d’URL uniques pour neutraliser l’intérêt des listes noires, l’utilisation de nombreuses redirections pour ralentir la récupération de l’image, l’hébergement des images distantes malveillantes finales sur un domaine très connu (wikipedia.com, github.com, etc.) pour qu’il soit impossible de placer ce domaine en liste noire, l’utilisation de techniques de camouflage pour rendre la récupération de l’image inefficace ou la limitation du texte dans l’image pour rendre la reconnaissance optique des caractères et le traitement du langage naturel moins efficaces.
Les hackers vont davantage avoir recours aux images distantes en 2021 car la Computer Vision permet certes d’analyser et d’extraire le contenu pertinent des images, mais cette technique est coûteuse, mobilise d’importantes ressources processeur et n’est que peu répandue dans les filtres de messagerie du marché.
Le détournement de conversation progressera très fortement
Sébastien Goutal, Chief Science Officer :
Cette technique a été mise en lumière lors de la vague d’attaques par le malware Emotet qui a démarré en juillet 2020 et constitue une menace sérieuse pour la sécurité de l’email. Elle consiste à utiliser les conversations par email des victimes pour en infecter de nouvelles. Des outils comme Outlook Scraper permettent aux pirates derrière Emotet d’accéder aux conversations enregistrées sur les ordinateurs infectés. Ensuite, les hackers s’insèrent dans les conversations et demandent à leurs interlocuteurs de cliquer sur un lien malveillant ou d’ouvrir un document Word vérolé.
L’important succès de cette technique a deux raisons principales : l’expéditeur qui est un utilisateur de confiance (dont la boîte aux lettres est infectée) et le contexte crédible de l’email qui fait suite à une discussion existante. Il ajoute que d’autres techniques sophistiquées utilisées dans les campagnes Emotet seront certainement de plus en plus populaires, notamment celles qui permettent de tromper les moteurs antivirus, comme l’obfuscation du code des macros VBA dans les documents Word.
Les comptes compromis offriront de nouvelles opportunités
Adrien Gendre, Chief Product and Services Officer :
Ils étaient déjà au cœur des techniques de détournement des conversations utilisées cette année lors des attaques d’Emotet. Cependant, ils sont aussi utilisés de manière toujours plus ingénieuse, notamment lors de vagues massives de spams. En novembre, une vague de spams malveillants provenant de comptes compromis a été découverte par Vade Secure. La technique consiste à utiliser un compte compromis pour copier le spam directement sur le serveur IMAP. Le spammer se connecte au compte via IMAP à l’aide des identifiants compromis et y dépose l’email de spam. En une seule journée, Vade Secure a ainsi détecté plus de 300 000 spams remis de cette façon. Cette technique permet aux hackers de contourner totalement les filtres de messagerie. Sans fonction de remédiation post-réception, elle est très difficile à neutraliser. Il est évident au vu du taux de réussite de ces attaques que leur utilisation et les tentatives pour les neutraliser vont se poursuivre en 2021.
Même si cette méthode cible majoritairement le grand public, elle finira par toucher les professionnels. Microsoft 365, c’est environ 200 millions d’utilisateurs professionnels. Et l’adoption de cette plateforme ne semble pas ralentir.Je suis certain que des hackers exploiteront l’API de Microsoft pour contourner la sécurité à l’aide de cette nouvelle méthode. Les entreprises qui s’appuient sur une sécurité périmétrique pour Microsoft 365, notamment sur des passerelles, ne pourront pas bloquer ces attaques. Le recours à une solution entièrement intégrée via une API devient indispensable. En effet, une solution de sécurité de l’email intégrée à la plateforme Microsoft est en mesure d’éliminer les emails malveillants, même une fois qu’ils ont atteint les boîtes de réception des utilisateurs. Les passerelles et autres outils de sécurité périmétriques n’en sont pas capables.
L’usurpation d’identité des fournisseurs va continuer
E.J. Whaley, Channel Sales Engineer :
Aujourd’hui, recevoir des emails avec des pièces jointes Word, PowerPoint, Excel ou des liens vers des documents Microsoft 365 partagés fait partie du quotidien des utilisateurs. Ils font totalement confiance à Microsoft et aux autres services dans le Cloud qu’ils utilisent. Lorsqu’un hacker se fait passer pour un interlocuteur de confiance en usurpant l’identité d’un partenaire de l’entreprise par exemple, l’utilisateur va être très vulnérable. D’autant que même si un email semble suspect, sa pièce jointe suscite toujours la curiosité. L’exploitation de la confiance des utilisateurs envers les services Microsoft, notamment dans le cadre d’attaques de phishing, permet de repérer les partenaires commerciaux dont l’identité peut être usurpée lors de tentatives de spear phishing. Ce n’est plus votre PDG dont le hacker va usurper l’identité, mais le service comptable de l’un de vos fournisseurs. Je pense que cette tendance va continuer à se développer.
Les attaques Business Email Compromise plus difficiles à détecter
Sébastien Goutal, Chief Science Officer :
La multiplication des attaques Business Email Compromise (BEC) et la complexité de leur détection ont entraîné des avancés en matière d’analyses des contenus par l’intelligence artificielle. Toutefois, la plupart des algorithmes rencontrent des difficultés pour détecter ces attaques dans des langues étrangères. Au départ, les attaques BEC étaient majoritairement en anglais et en français. Désormais, on en voit en italien, espagnol, allemand, slovène… C’est un vrai problème, car de nombreux éditeurs de solutions de sécurité sont basés aux États-Unis et ne s’intéressent donc qu’à l’anglais. La plupart des algorithmes sont avant tout adaptés à l’anglais. Les éditeurs de solutions doivent prendre à bras le corps le problème des attaques BEC en d’autres langues. Malheureusement, ils devront pour cela modifier de manière significative leur moteur de détection. Cette démarche prend du temps et mobilise de nombreuses ressources. Les hackers vont profiter de ce flottement pour multiplier les attaques BEC en d’autres langues. Je pense donc que nous allons voir toujours plus d’emails BEC écrits dans la langue de leur destinataire d’ici à ce que les éditeurs se mettent à niveau.
Les types d’attaques BEC se diversifient énormément, alors qu’il s’agissait jusque là majoritairement de fraude au président, de scams aux cartes cadeaux et de récupérations de formulaires W2, on observe aujourd’hui des fraudes à l’avocat, aux salaires et aux coordonnées bancaires. De plus, les attaques BEC ciblées laisseront la place à des campagnes plus étendues. Précédemment, elles ciblaient des employés bien précis de certains services, notamment la comptabilité et les ressources humaines. Ce n’est plus tout à fait vrai aujourd’hui. Désormais, un même email peut être envoyé à 20 ou 30 employés en l’espace de 5 minutes. Cette particularité devrait devenir de plus en plus fréquente l’an prochain.
Romain Basset, Head of Channel Sales :
Alors que la plupart des emails BEC essaient de susciter un sentiment d’urgence pour attirer l’attention de leur victime, les messages vont devenir plus subtils. C’est en tout cas ce que pense « Les demandes subtiles montent en puissance. Des demandes bien formulées, par exemple liées à des actualités d’entreprise envoyées par les RH ou des messages sur des promotions ou voyages d’affaires, paraissent plus crédibles et suscitent moins la méfiance. L’objectif de ces demandes est de lancer une conversation et de tromper le filtre de messagerie. Une fois une conversation lancée, de nombreux filtres ajoutent l’email en liste blanche, ce qui permet à tous les futurs emails BEC du hacker de passer inaperçus.
Les entreprises et les hackers miseront sur l’humain
Damien Riquet, Research Engineer :
Ces derniers mois, de nombreux événements tant en France qu’à l’étranger ont suscité un climat d’angoisse générale : la pandémie de COVID-19, les élections, les catastrophes naturelles… Les hackers n’ont pas hésité à exploiter cette situation en 2020 et continueront à le faire l’année suivante. Nous pensons qu’en 2021, les cyberattaques cherchant à jouer sur la fragilité des utilisateurs en lien avec différentes thématiques vont se multiplier. La COVID-19 a été de sujet de nombreuses attaques par email sur l’actualité en 2020 et risque de continuer de l’être.
Les hackers ne sont pas les seuls à percevoir l’importance du comportement humain en matière de cybersécurité. Bien souvent, les utilisateurs sont considérés comme le maillon faible de la sécurité de l’email. Pour autant, lorsqu’un filtre de messagerie ne parvient pas à bloquer une attaque, ces utilisateurs constituent la dernière ligne de défense. C’est pour cette raison que les éditeurs de solutions se tourneront de plus en plus vers une cybersécurité axée sur l’humain en 2021. Éditeurs et entreprises semblent avoir enfin compris que la cybersécurité n’est pas qu’une question de technologie. Les utilisateurs finaux, même s’ils sont les cibles des hackers, doivent devenir des alliés. L’intérêt accru pour la sensibilisation à la cybersécurité et la hausse des investissements dans ce domaine constituent un bon début, mais pour améliorer la détection et la neutralisation des menaces, des solutions permettant aux utilisateurs d’influer sur la technologie, notamment par le biais de boucles de rétroaction et d’une formation automatique, sont nécessaires.