L'e-mail reste l'application professionnelle la plus utilisée... Et aussi la cible n°1 des pirates, d'autant que c'est un applicatif très difficile à sécuriser. Le constat n'est certes pas nouveau, mais à mesure que les utilisateurs deviennent plus suspicieux vis-à-vis des e-mails qui leur parviennent, les menaces gagnent en sophistication. C'est en tout cas l'un des principaux constats du dernier rapport de CloudFlare sur le phishing, rapport basé sur l'analyse de 13 milliards de messages entre mai 2022 et mai 2023 et sur des entretiens avec 316 responsables de la sécurité IT issus d'entreprises du monde entier (un volet de l'étude réalisé par le cabinet Forrester).

Pour rendre leurs messages crédibles aux yeux des utilisateurs, mais aussi contourner les systèmes de protection, les cybercriminels utilisent une combinaison de tactiques, mélangeant astuces techniques et ingénierie sociale. Au total, sur l'ensemble des e-mails analysés, Cloudflare a isolé près de 280 millions d'indicateurs de compromissions, classés en 30 catégories différentes.

La plus fournie de ces catégories (avec 36 % des indicateurs à elle seule) reste celle des liens compromis, que les assaillants glissent dans leurs messages pour prendre le contrôle du poste d'un utilisateur ou soutirer à ce dernier des données exploitables ou monnayables (des codes d'accès, des informations de cartes bancaires...). Sur ce terrain, Cloudflare souligne la campagne menée à l'occasion de la faillite de la Silicon Valley Bank : un schéma sophistiqué démarrant par un lien renfermé dans un e-mail, avec pas moins de 4 redirections. Cette campagne de phishing a ciblé des individus dans de multiples entreprises (dont, ironiquement, le CEO de Cloudflare).

Le phishing qui rebondit d'un canal à l'autre

La société américaine souligne une autre tendance, signe de cette sophistication croissante de la menace : le phishing multi-canal, qui vise à engager des échanges avec une cible sur différents vecteurs, souvent en démarrant via un lien dans un e-mail. Et de citer l'exemple d'une campagne ciblant ses employés et basée sur des messages textes, un faux site de login de la plateforme d'identification Okta et l'envoi de mots de passe à usage unique. Selon le rapport, seul un responsable de la cybersécurité interrogé sur quatre estime son organisation bien préparée face à ce type de menaces.

Autre indicateur clef de la compromission d’un e-mail, l’usurpation d’identité progresse sur un an, totalisant désormais 14,2 % des indicateurs détectés contre 10,3 % il y a un an. L’objectif des criminels est ici d’exploiter la confiance que les utilisateurs placent dans une marque ou un contact. Si la masse d’e-mails analysés par Cloudflare révèle que plus de 1 000 marques différentes sont détournées pour des campagnes de phishing basées sur l’usurpation d’identité, 20 d’entre elles concentrent plus de 50 % des cas, Microsoft, l’Organisation mondiale de la santé (OMS) et Google occupant le top 3. En Europe, les marques les plus exposées à ces détournements sont l’OMS, Louis Vuitton, Investec, Chanel ou encore Generali.

Culture paranoïaque

Pour Cloudflare - qui prêche ici pour sa paroisse -, les techniques classiques d'authentification des e-mails se révèlent souvent impuissantes face à ces nouvelles formes de phishing. Selon le fournisseur, 89 % des messages suspects ne sont pas filtrés par des protocoles standards comme SPF (Sender Policy Framework, norme de vérification du nom de domaine de l'expéditeur), DKIM (DomainKeys Identified Mail, norme d'authentification du nom de domaine de l'expéditeur) ou les enregistrements DMARC (Domain-based Message Authentication, Reporting, and Conformance, standardisant l'authentification des mails par les destinataires). « Les assaillants peuvent réussir à faire passer un message usurpant une identité ou un autre type d'e-mail de phishing via l'utilisation d'un domaine nouvellement enregistré. Or des milliers de nouveaux domaines sont enregistrés chaque jour », souligne Cloudflare dans son rapport.

Et de recommander l'application d'une politique Zero Trust à l'e-mail, la mise en place d'une défense combinant de multiples contrôles anti-phishing, le déploiement d'une authentification multifacteurs (avec une préférence pour les clefs physiques qui, chez Cloudflare, ont permis d'arrêter l'attaque de phishing multi-canal signalée plus haut), celui d'une isolation des liens provenant de l'e-mail (Remote browser isolation) et, bien sûr, le développement d'une culture un brin paranoïaque au sein de l'organisation vis-à-vis de tout message atterrissant dans la boîte mail d'un utilisateur. « Lors d'une cyberattaque, chaque minute compte, écrivent les auteurs du rapport. L'instauration d'une culture paranoïaque, mais exempte de tout reproche, qui permet de signaler rapidement et fréquemment les activités suspectes - ainsi que les erreurs de bonne foi - contribue à garantir que les incidents (aussi rares soient-ils) sont bien détectés le plus rapidement possible. »