Marginaliser le phishing, l’entraver fortement, une utopie ? Tant s’en faut, cela pourrait être possible, à défaut d’être simple !

Publié par Yannick Chatelain, le 26 septembre 2022   530

Phishing, Reverse Tunnel Phishing, arnaque à la livraison de colis : comment s’en protéger ?

Par Chatelain Yannick. Professeur Associé chez  Grenoble École de Management , chercheur associé à la Chaire Dos, GEMinsights Content Manager.

Marginaliser le phishing, l’entraver fortement, une utopie ? Tant s’en faut, cela pourrait être possible, à défaut d’être simple.

Le phishing est multiforme : proposition de nouveaux services, offres promotionnelles, alertes anxiogènes invitant l’utilisateur à communiquer de toute urgence des données confidentielles pour continuer à bénéficier de certains services (carte vitale, etc.), faux remboursements d’impôts, arnaques à la livraison de colis demandant à l’usager de débourser des sommes complémentaires pour non-livraison par exemple…

Quel que soit sa typologie, le phishing utilise de façon majoritaire (hormis les actions de reverse engineering) les SMS et/ou les courriels. Il évolue constamment, tant dans le fond que dans sa forme pour contourner les systèmes de protection mis en place par les structures, à l’instar des reverse tunnel phishing attacks que j’ai pu évoquer en détail dans un précédent article, une nouvelle approche qui, couplé à l’utilisation de raccourcisseurs d’URL de type cutt.ly , bitly.com permet de contourner les solutions développées pour bloquer des campagnes de phishing.

Trois règles simples

Par principe de précaution, voici trois règles simples à appliquer par l’usager plutôt que de tomber malencontreusement dans un piège :

  1. Ne jamais cliquer sur une URL – raccourcie ou non – qui vous est envoyée par les vecteurs que j’ai évoqués
  2. Traitez tout e-mail ou SMS entrant comme potentiellement malveillant.
  3. Vérifiez l’adresse e-mail de l’expéditeur sur les messages entrants avant de répondre.Vérifiez également le nom de domaine. Un nom de domaine intégrant celui du site émetteur n’est pas le site émetteur :  https://www.ameli.fr/ est différent de https://www.ameli.centre-info....

Une attitude, et des réflexes qui finiront par porter leurs fruits, le temps que les entreprises et organisations finissent par admettre qu’il leur faut renoncer définitivement (faute de retour) à l’usage d’URL dans leurs campagnes et démarchages online. En utilisant et en communiquant de façon récurrente des URL, certes fiables, elles contribuent – qu’elles s’en défaussent ou non – à rendre les opérations de phishing possibles et efficaces. Ce faisant, elles favorisent ainsi des campagnes de phishing qui se font dans un premier temps au détriment de l’usager, mais aussi, dans un second temps, au détriment de leur image.

Lorsque l’usager se fait escroquer c’est l’entreprise qui, aussi injuste soit-il, est la deuxième victime. La nature humaine étant ce qu’elle est, l’usager en voudra presque plus à la structure sur laquelle s’est appuyée l’escroc, qu’à l’escroc lui-même. La raison est fort simple : l’usager qui aura été grugé n’aura d’autres recours que de se tourner vers cette dernière pour tenter d’obtenir un dédommagement.

Vers la fin de l’emploi d’URL par les entreprises et les organisations ?

Si les entreprises, les organisations étatiques (ou non) avaient la sagesse d’en finir une fois pour toutes avec les envois d’adresse URL, pour a contrario expliquer les choses, promotions ou autres, et inviter les usagers à se rendre sur leur site officiel, indéniablement le phishing finirait par perdre du terrain, beaucoup de terrain. Au demeurant ce n’est pas encore le cas. Pour rappel, durant la crise covid, le gouvernement lui-même a envoyé des SMS avec URL, une bévue incroyable qui a, dans une période très tendue, ouvert grand la porte et des opportunités à toutes les escroqueries.

Il aura alors suffi aux escrocs de reprendre le phrasé des propos gouvernementaux pour envoyer les usagers, peu observateurs, vers des sites non fiables, avec à la clé toutes les formes d’escroqueries possibles, dont l’usurpation d’identité. L’erreur est humaine, toutefois, comme le souligne un proverbe chinois : « la première fois c’est une erreur, la seconde c’est qu’on le fait exprès. »

Les premières victimes : les plus dépassées par les technologies, mais pas que !

Elles sont les premières victimes de cette forme d’insouciance – pour ne pas parler d’inconséquence –  marketing (envois d’URL) dans une période où les cyber-escroqueries ont quantitativement explosé (durant la période covid, par exemple, les envois de colis se sont multipliés, ouvrant la porte à nombre de tentatives d’escroqueries) par SMS et courriel. Ces escroqueries ne sont à ce jour, et dans le contexte actuel de crises globale pas appelées à décroître ni à être mises en échec si rien n’est entrepris concrètement.

Les premières victimes sont naturellement nos anciens… Les plus fragiles sont ceux qui, plongés de force dans un univers technologisé, n’ont pas la chance d’être accompagnés par leurs enfants ou petits-enfants dans un monde qui devient de plus en plus connecté, une ultraconnexion que la crise covid a fortement accéléré. Toutefois, quelle que soit votre agilité, je vous invite à la modestie et à la prudence. Même les plus aguerris en matière technologique ne sont pas à l’abri d’escroqueries de plus en plus élaborées.

Si vous en doutez, si vous vous pensez hors de danger et suffisamment au fait de toutes les carabistouilles, je vous invite à faire les tests suivants : Test 1 :  test de phishing proposé par Safeonweb… Test 2 : phishing quizz

Après ces tests, vous admettrez, j’en suis certain, que nul n’est à l’abri. Fort de ce constat, il convient de trouver des parades pour protéger l’ensemble de la population.

Marginaliser le phishing, entraver les arnaques : petit à petit, c’est possible

Marginaliser le phishing, l’entraver fortement, une utopie ?

Tant s’en faut, cela pourrait être possible, à défaut d’être simple. La mesure que je suggère pourrait déjà être suivie par les entreprises et organismes implantés sur le territoire national et ayant des clients et interlocuteurs français. Il suffirait qu’organisme d’État, et autres entreprises, déjà sur le territoire national, se mettent d’accord une bonne fois pour toutes sur une approche en capacité d’altérer l’efficacité des techniques usuelles des escrocs, à savoir l’envoi des cibles sur des sites copy-cat afin de récupérer des données sensibles, ou de tenter des extorsions de fonds !

Une approche qui, si elle est ensuite publicisée, portera un coup aux opérations de phishing et autres types d’attaques (attaques randsomware par exemple) ciblant les usagers français. Ainsi la première des actions qui pourrait être initiée par les entreprises et organismes d’État (ou non) : s’interdire d’envoyer des URL via courriel ou SMS. Et publiciser cette posture ! Si cette dernière était adoptée, cela érigerait une première barrière extrêmement forte contre ce type d’attaque.

Le temps que cela advienne, si tant est que cette idée fasse son chemin et soit éventuellement retenue, concomitamment, le gouvernement serait fort inspiré d’engager des campagnes de communication décortiquant et explicitant les techniques d’escroqueries les plus usuelles. Des campagnes qui viendraient appuyer les campagnes d’informations online, pour ce qui concerne le phishing, déjà mises en place sur leur site par les structures les plus sujettes à ce type d’attaques : banques, assurance,organisme de santé… De la pédagogie, encore de la pédagogie, toujours de la pédagogie.

Vingt millions d’euros pour protéger les données de santé… Qui, quoi, comment et quand ?

À la suite de la Cyberattaque à l’hôpital de Corbeil-Essonnes, le ministre de la Santé et de la prévention François Braun, qui s’est rendu sur site le 26 août 2022 a évoqué le déblocage d’un budget de vingt millions d’euros afin de sécuriser les données de santé des Français, déclarant en outre que « La santé des Français ne sera pas prise en otage ». Des mots et une enveloppe budgétaire, dans une dynamique usuelle action/réaction une nouvelle fois budgétaire supposée montrer une volonté politique inflexible. Que dire ? La communication c’est bien, davantage de clarté aurait été bienvenue.

Par-delà le chiffre avancé, il n’a été donné aucun détail sur les mesures qui seront prises. Même si le nouveau ministre du Numérique a évoqué un « parcours de sécurisation » sans plus de détail. La somme étonne : 20 millions, très bien. Pourquoi pas 30, pourquoi pas 40. Dès lors que ces allocations nouvelles sont avancées, d’où sort ce chiffre ? Et surtout pour quoi faire ? Cela doit interroger et ce d’autant plus que ces 20 millions supplémentaires viennent s’ajouter au 18 millions d’euros déjà dédiés au plan de sécurisation des hôpitaux (issus du plan de relance).  Dans ce cadre, 130 hôpitaux avaient commencé les démarches avec l’Agence nationale de sécurité des systèmes d’information (Anssi). Comme le note Florian Dèbes, journaliste aux Échos l’ironie de l’histoire est que :

« L’hôpital de Corbeil-Essonnes, baptisé Centre hospitalier sud-francilien (CHSF) venait de terminer, dans ce cadre, un diagnostic de sécurité et s’apprêtait à passer aux travaux pratiques au mois de septembre. »

Que dire ? Outre l’effet d’annonce à vocation de montrer une mobilisation sans faille, un grand flou entoure cette nouvelle dotation qui ne répond pas, à ce jour à quatre questions simples, restées sans réponses, puisqu’elles n’ont pas même (sauf erreur) étaient posées :

  1. Pour qui  ?
  2. Pour quoi ?
  3. Comment ?
  4. Quand ?

Et lorsque l’on parle de la « santé des Français qui ne sera pas prise en otage » il m’aurait paru nécessaire d’intégrer dans cette déclaration, et de façon précise, les actions envisagées pour que ces derniers, en première ligne comme je l’ai déjà évoqué, soient à même de se protéger.

À défaut de préciser clairement l’usage de cette dotation (nouveaux acteurs concernés ? formations accrues ? autres ?) n’aurait-il pas été opportun d’annoncer en priorité que soit intégrée dans ce budget une grande campagne de communication nationale vers les usagers qui sont, sur les données de santé entre autres, désormais en front line, et sont les premières cibles.

Outre les sites sensibles, il est utile de ne cesser de rappeler que les usagers qui ont été datazerisés à l’envi durant la crise covid sont devenus ipso facto les premiers acteurs de leur propre sécurité. Cela n’aurait certes pas tout expliqué, mais cela aurait évité à cette annonce financière tonitruante de passer une nouvelle fois – à tort ou à raison – pour un simple effet d’annonce et une action de communication vide de contenu.

Publié le 23 septembre 2022 sur CONTREPOINTS

Photo credit: Prachatai on VisualHunt