Compromission de la messagerie d’entreprise : un réel fléau, une riposte simple
![Image [Rédaction d’une PSSI :] les salariés soulignent le manque d’implication de la direction](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-management-direction-human-rh-885x690.jpg)
![Image [Forum InCyber 2024] Comment l’[IA générative] va « augmenter » le SOC](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-885x690.jpg)
![Image France : création d’une « Ligue pour la sécurité du [Web3] »](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-web3-exploration-2024-885x690.jpg)
![Image Chez les [opérateurs télécom], la cybersécurité est omniprésente](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-telecom-communication-center-2024-885x690.jpg)
(par Klara Jordan, Global Cybersecurity Alliance & Rois Ni Thuama, Redsift)
En 2016, l’entreprise de construction Vinci a été victime d’une considérable attaque par compromission de sa messagerie (BEC)[1]. Un email semblant provenir du Directeur de la communication de Vinci a été envoyé à l’agence de presse Bloomberg, annonçant la démission du directeur financier suite à la découverte d’un trou dans les comptes de l’entreprise. L’email semblait convainquant : il ne s’agissait pas de remplacer un ‘i’ par un ‘1’ comme par exemple « @v1nci.com ». Cet email avait été envoyé depuis une authentique adresse « @vinci.com ».
Bloomberg ne pouvait pas deviner que l’email était une imposture. Il n’était pas question d’une erreur humaine, il s’agissait bien d’un piratage. La machine a traité l’email comme s’il était authentique. Bloomberg a fait confiance à Vinci pour avoir pris des mesures proportionnées et raisonnables pour protéger sa marque et sa réputation. Bloomberg a donc évidemment publié sur son site le contenu de l’email. Dans les minutes qui ont suivi, le marché à la nouvelle a réagi avec nervosité : Vinci a constaté une baisse du cours de son action, et a réagi rapidement. De son côté, Bloomberg a retiré l’article 40 minutes plus après l’avoir publié.
Le titre Vinci a continué à s’effondrer, si bien qu’à la fin de la journée la capitalisation était tombée de 35 à 27 milliards d’euros. Un total ahurissant de 7 milliards de dollars avaient ainsi été balayé. Les pirates ont exploité une faiblesse dans un très vieux protocole (SMTP), et ils le l’ont fait parce que c’était facile.
La mauvaise nouvelle, c’est qu’il suffit d’un seul email semblant authentique pour mettre à mal une réputation durement gagnée. Pour la défense de Vinci, il semble que cette attaque ait été une première mondiale en termes d’audace des attaquants. Il est donc difficile pour les actionnaires de prétendre qu’elle aurait pu être prévisible.
Mais le plus déprimant dans ce scénario, c’est le coût dérisoire de ces méthodes capables d’infliger un tel dommage à la réputation d’une entreprise. Pour le pirate, c’est une opération à cout zéro : il faut 5 minutes pour apprendre cette méthode et quelques minutes seulement pour la mettre en œuvre, et ce pour un risque d’être détecté, poursuivi et trainé en justice, tout à fait minime.
La bonne nouvelle, c’est qu’une riposte est possible : elle s’appelle « DMARC[2] », et Vinci l’a mise en œuvre après avoir payé très cher la leçon.
Police et Justice : un devoir de diligence
Le phishing est un mode opératoire gratuit et très simple à mettre en œuvre. Pour se rendre compte à quel point il est facile à activer, il suffit de regarder l’un des nombreux tutoriels[3] de 5 mn disponibles sur YouTube. Il n’est ainsi pas étonnant que le phishing soit le point de départ de 70% des fuites de données et de 90% des cyberattaques ciblées.
Pour une entreprise, comprendre que le phishing représente un risque important signifie qu’elle doit porter une attention particulière à sa réputation et s’attacher à maintenir l’intégrité de ses informations commerciales sensibles.
L’appareil judiciaire a joué un rôle prépondérant dans la mise en place de méthodes permettant de les protéger.
Il est certain que les forces de police et l’appareil judiciaire doivent exercer au moins le même niveau de diligence numérique que les entreprises. Alors que les entreprises s‘efforcent de maintenir l’intégrité de leurs informations commerciales sensibles, la police, le ministère public et l’appareil judiciaire doivent eux maintenir l’intégrité des éléments de preuve les plus importants.
La police et l’appareil judiciaire, en tant qu’institutions centrales, jouent un rôle fondamental dans le fonctionnement même de notre société et, par de nombreux aspects, sont l’un des piliers de l’ordre public auquel notre société est habituée. De la même manière que la police enferme les preuves physiques sous verrous, toutes les preuves numériques doivent aussi être protégées.
La falsification de preuves ou la divulgation prématurée de preuves peuvent en effet nuire à une enquête. Les suspects, particulièrement dans les affaires criminelles fortement médiatisées, pourraient en tirer avantage l’ampleur de l’enquête (en cas de fuite de données) ou en injectant des logiciels malveillants, de type ransomware par exemple, ou encore des virus, dans les infrastructures des forces de police ou de l’appareil judiciaire (cyberattaque ciblée). Etant donné que 70% des fuites de données et 90% des attaques ciblées commencent par un phishing et qu’il est bien connu que le DMARC protège tout particulièrement contre ce type d’attaque, il parait raisonnable de l’utiliser.
Quand on a compris que le phishing est la cyberattaque la plus répandue et que l’on sait qu’il existe une solution au niveau « protocole », on n’est pas surpris d’apprendre que les gouvernements britanniques et américains ont imposé son installation dans leurs services administratifs et à leurs fournisseurs.
DMARC
Le phishing est un risque systémique qui peut toucher tout le monde. Comme l’illustre le cas cité plus haut, le phishing est une attaque par ingénierie sociale, qui passe par l’envoi d’un email frauduleux mais semblant provenir d’un organisme ou un utilisateur légitime. Le but de cette attaque peut-être de voler des données personnelles (noms d’utilisateurs, mots de passe, information sur les cartes de crédit ou données bancaires), d’organiser une fraude (demande frauduleuse de transferts de fonds en ligne), ou encore d’infecter les systèmes ciblés grâce à des logiciels malveillants, comme des logiciels de rançonnage ou des enregistreurs de frappe.
La difficulté pour les utilisateurs est de déterminer si le message vient ou non d’un expéditeur légitime. Les attaquants sont aujourd’hui capables de falsifier l’adresse « expéditeur » des emails pour conduir les destinataires à faire confiance au message, et permettant ainsi un phishing par lequel une entreprise peut perdre des milliers ou des millions de dollars.
Le DMARC est reconnue comme une référence en matière d’authentification des emails, et permet d’éviter des attaques dans lesquelles des tiers malveillants envoient des emails frauduleux en utilisant une adresse contrefaite. Le DMARC permet de contrer la grande majorité des usurpations. En utilisant le DMARC, les propriétaires de domaines diminuent le risque de voir leur nom de domaine falsifié et utilisé à des fins de phishing. Ne pas utiliser le DMARC expose au contraire tous ceux qui sont susceptibles de recevoir des emails d’un nom de domaine aux risques de phishing. Sans surprise, 90% des attaques commencent d’ailleurs par un hameçonnage. Il est important de relever que la compromission de messagerie ne résulte pas forcément d’un phishing : elle peut aussi provenir de la compromission d’un compte ou d’une violation du système, ce qui peut se produire sans recours à un email frauduleux.
Le DMARC fonctionne à la manière d’un contrôle d’identité qui permet aux expéditeurs et aux destinataires de déterminer si un email provient bien d’un expéditeur légitime. Il empêche les imposteurs d’usurper les adresses « expéditeur » d’un mail, ce qui protège non seulement un nom de domaine mais aussi l’intégrité de la marque et la confiance que l’on lui accorde. Le DMARC facilite aussi la livraison effective des emails car plus de 80% des boîtes des usagers dans le monde l’utilisent.
Les utilisateurs finaux et les entreprises sont la cible d’un nombre sans cesse plus élevé d’attaques par phishing. Au cours des dernières années diverses méthodes ont été proposées pour permettre de savoir si un email, par exemple, ‘de’ IRS.GOV (l’administration fiscale américaine) en provient effectivement ou pas. Mais ces mécanismes fonctionnent isolément, chaque destinataire décide pour lui seul comment en évaluer les résultats et le détenteur du nom de domaine (par exemple IRS) n’a jamais de retour d’information.
Le DMARC utilise des mécanismes d’authentification existants et fournit une méthode à appliquer (néant, quarantaine, rejet) en cas d’échec d’authentification, a un mécanisme de vérification pour l’authentification de tous les messages et produit un rapport de capacité qui peut contenir des informations importantes sur l’usurpation du nom de domaine.
Il est important de noter que le DMARC ne protège pas contre toutes les formes d’usurpation : il s’agit juste d’une couche supplémentaire de protection de la sécurité des emails. Le DMARC devrait toutefois être installé sur chaque domaine s’adressant au public, indépendamment de l’utilisation des emails.
Pour en savoir plus sur DMARC n’hésitez pas à consulter le site https://www.globalcyberalliance.org/dmarc/.
- Rois Ni Thuama, PhD, est responsable du pôle de cybergouvernance de Redsift. On peut la suivre sur Twitter @redsift ou par Linkedln .
- Klara Jordan est Directeur Exécutif pour l’UE et l’Afrique de Global Cyber Alliance. On peut le suivre sur Twitter @JordanKlara ou sur Linkedln.
[1] Business Email Compromise, aussi appelé « arnaque au président »
[2] Domain-based Message Authentication, Reporting and Conformance
[3] https://www.youtube.com/watch?v=3B863652VQY