Avis d’expert, par Simon Vernon, Chercheur en sécurité, SANS Institute
« Nous serons bientôt en 2021, mais nous mordons encore à l’hameçon : nous n’apprenons pas de nos erreurs. » Partant de ce constat, Simon Vernon, chercheur émérite en sécurité à SANS Institute, nous explique pourquoi les attaques de phishing ne sont pas près de disparaître.
J’ai l’expérience des deux côtés de l’hameçonnage.
En défense dans les Blue Teams, j’ai vu des rançongiciels fermer des écoles, des programmes malveillants mettre à mal des entreprises, et des données volées en vente sur le dark web. À chaque fois, tout a commencé par une campagne d’hameçonnage qui poussait les utilisateurs à cliquer sur un lien malveillant.
Missionné au sein de Red Teams qui mettent les entreprises à l’épreuve, j’ai conçu des campagnes d’hameçonnage afin de sensibiliser les employés ; j’ai aussi validé des mesures techniques visant à endiguer le flot des messages d’hameçonnage et démontré les techniques de manipulation des pirates.
Ce qui me surprend toujours, c’est la facilité à imiter ou contourner les sécurités. J’ai ainsi pu envoyer des emails en me faisant passer pour l’organisme légitime simplement en intervertissant des lettres ou en utilisant des caractères obscurs. Dans ces tests, j’ai utilisé plusieurs fois les véritables domaines de messagerie de grandes organisations, et en l’absence de mesures de prévention des imitations, les messages ont été remis à leurs destinataires.
Il n’en faut souvent pas plus pour convaincre les utilisateurs de cliquer sur les liens que j’ai créés, ce qui aboutit inévitablement à une compromission.
Nous serons bientôt en 2021, mais nous mordons encore à l’hameçon. Pourquoi n’apprenons-nous pas de nos erreurs ?
Pour répondre à cette question, j’ai été amené à examiner de vrais messages en provenance de sources légitimes et établies, par exemple des sociétés de réseaux sociaux, des éditeurs de solutions de paiement et des banques. J’ai ainsi découvert une tendance inquiétante.
Face au risque qu’un tiers bloque leur domaine de messagerie principal dans le cadre de la lutte contre les courriers indésirables, certaines entreprises utilisent un autre domaine pour l’envoi d’emails en nombre. Dans ce cas, l’usage est de publier cet autre domaine sur le site web de la société où les utilisateurs pourront vérifier l’émetteur et l’authenticité de l’email.
Sur les 10 entreprises récemment étudiées, la moitié n’avait pas implémenté correctement de stratégie de prévention de l’hameçonnage ou de gestion des identités de messagerie. Deux omettaient de mentionner le domaine d’expédition du message reçu. Deux autres encore affichaient une page d’erreur 404 sans aucune possibilité de valider le domaine. Enfin, dans la déclaration SPF de son enregistrement DNS, une société dépourvue de tous ces éléments autorisait toutes les adresses IPv4 du monde entier à envoyer des emails depuis son domaine.
La plupart des manquements touchaient des organismes financiers.
Dans un des cas, j’ai mis un quart d’heure à confirmer l’authenticité de l’email reçu. J’ai notamment dû déterminer le détenteur de l’adresse IP utilisée au début de l’acheminement, une agence affiliée mandatée pour l’envoi d’emails en toute légitimité.
Comment un utilisateur lambda peut-il savoir si un email est licite ?
Nous voyons ici la preuve de l’échec de tout le secteur à s’emparer de ce problème, techniquement mais aussi du point de vue stratégique et managérial. Il n’existe aucune réponse unique et infaillible côté client. Beaucoup de logiciels antivirus s’y sont essayés et il y a eu quelques tentatives intéressantes de réduction des emails d’hameçonnage évident, mais, au final, tout repose sur les utilisateurs et leur sensibilisation, avec les conséquences que l’on connaît.
Il existe pourtant des solutions techniques éprouvées, mais elles dépendent entièrement de la volonté de l’expéditeur et sont inefficaces lorsqu’elles sont mal implémentées et utilisées sans autre contrôle. En outre, leur adoption par les grandes entreprises et multinationales est incroyablement lente.
Sécurité de la messagerie, 6 points à vérifier
Voici quelques questions à poser à l’équipe IT chargée des messageries :
- Avons-nous un SPF pour TOUS nos domaines ? Est-il correct ?
- Est-ce que nous mandatons des tiers au sein du groupe pour envoyer des messages en notre nom ? Ont-ils un SPF ?
- Avons-nous mis en œuvre DKIM sur TOUS les domaines d’expédition de nos emails ?
- Avons-nous mis en œuvre DMARC sur TOUS les domaines d’expédition de nos emails ?
- Avons-nous une stratégie de sécurité de la messagerie électronique ? Est-elle appliquée ?
- Fournissons-nous à notre base d’utilisateurs externes un moyen de vérifier qu’un email est authentique ? Quel en est le fonctionnement ?
Si vous avez répondu par la négative à l’une de ces questions, c’est que vous contribuez au problème. Heureusement, la solution est à portée de main. De nombreux guides, publications et ressources vous aideront à nourrir votre réflexion et à mettre en œuvre les normes SPF, DKIM et DMARC.
Tant que ces contrôles ne seront pas généralisés, l’hameçonnage subsistera et nous assisterons probablement à des attaques et à leurs conséquences toujours plus sophistiquées, plus nombreuses et plus violentes. Nous avons créé ce problème et nous pouvons commencer à y remédier avec les mécanismes de contrôle existants. La solution dépend rarement de produits propriétaires ou sous licence. Et malgré les promesses des uns et des autres, ne croyez pas qu’une solution universelle jaillira de l’IA, de l’apprentissage automatique ou de la blockchain.
Si vous n’êtes pas absolument certain de la provenance d’un email, ne cliquez pas sur le lien !
Références utiles :
- DMARC (Domain Based Message Authentication, Reporting and Conformance)
https://dmarc.org/ - DKIM (DomainKeys Identified Mail)
https://www.gov.uk/government/publications/email-security-standards/domainkeys-identified-mail-dkim - SPF (Sender Policy Framework)
https://www.gov.uk/government/publications/email-security-standards/sender-policy-framework-spf
Auteur : Simon Vernon
GSEC, GCIH, GCFE, GPEN
Chercheur en sécurité, SANS Institute
Pour en savoir plus sur le programme de formation et les cours de SANS, reportez-vous au site SANS : sans.org/cybersecurity-training