Hameçonnage: ça mord toujours

Publié le 11/09/2019 à 15:37

Hameçonnage: ça mord toujours

Publié le 11/09/2019 à 15:37

Par Pascal Forget
Hameçonnage homme qui se masse les tempes devant ordinateur infecté de virus

(Photo: 123RF)

Vous recevez un courriel de votre patron, qui vous demande de transférer rapidement un montant à un fournisseur. Vous cliquez sur le lien dans le message pour lire les détails. Trop tard, votre ordinateur est infecté.

Vous avez été victime d’hameçonnage (aussi appelée phishing), une tentative envoyée par des fraudeurs pour vous faire télécharger un fichier ou cliquer sur un lien malicieux.

«L’hameçonnage permet de réaliser une fraude en trompant la vigilance de l’utilisateur. C’est de l’ingénierie sociale qui permet d’ouvrir la première porte du réseau de l’entreprise», explique Karim Ganame, fondateur de StreamScan, qui se spécialise en sécurité opérationnelle.

Cette fraude est tellement courante qu’on la surnomme «fraude au président». Pour se faire passer pour le patron, le pirate pourra prendre le contrôle de son vrai compte, utiliser une adresse similaire, ou simplement créer un compte avec le prénom et le nom du patron dans une adresse Gmail.

Les employés en finance, en comptabilité et la haute direction sont particulièrement ciblés. Une fois en contrôle d’un compte, le pirate prendra le temps de l’observer le temps qu’il faut, question d’analyser le flot des courriels avant de créer un scénario d’attaque crédible. Il pourra ensuite attendre que l’employé soit en vacances pour frapper, question de retarder la découverte de la fraude.

Au cours des 3 derniers mois, M. Ganame constate une augmentation de l’hameçonnage qui utilise les services infonuagiques, particulièrement avec Office 365. «Les entreprises ont l’impression qu’elles sont mieux protégées en utilisant le 'cloud'. Mais elles ne font qu’augmenter la surface d’attaque».

L’importance de la sensibilisation

Comme d’autres entreprises en sécurité informatique, StreamScan utilise les techniques des pirates pour tester les vulnérabilités de ses clients. Pour mettre en situation les employés, on pourra préparer une campagne d’hameçonnage fictive mais réaliste, pour voir s’ils mordent.

À partir de renseignements qui sont faciles à trouver sur les réseaux sociaux, on pourra par exemple envoyer un questionnaire de satisfaction aux employés qui ont participé à une activité sociale de l’entreprise.

Malgré la sensibilisation, l’envie de cliquer semble difficile à contrôler. «Il y a toujours quelqu’un qui va cliquer sur le lien», déplore M. Ganame.

Selon lui, pour que la sensibilisation soit efficace, la menace ne doit pas rester théorique. «Il faut que l’employé sache que si c’était vrai, la société aurait perdu 5000 dollars. La prochaine fois, il fera beaucoup plus attention».

Et les employés doivent rester vigilants: les pirates innovent constamment. «Il est difficile de décrire une attaque type. Chaque semaine, on découvre de nouveaux scénarios. Tous les cas se ressemblent, mais chacun est unique», explique M. Ganame.

L’hameçonnage en hausse

Selon l’outil d’analyse interactif Security Intelligence Report (SIR) de Microsoft, le nombre de courriels d’hameçonnage est en hausse.  Le pourcentage de courriels d’hameçonnage est passé de 0,14% en janvier 2018 à 0,85% en juillet 2019. Une augmentation de 250%, qui semble indiquer que la technique continue de fonctionner, mais surtout, qu’elle reste profitable pour les pirates.

La situation est d’autant plus alarmante qu’en 2018, la firme de sécurité Cyberscout rapportait que près de 70% des incidents de sécurité gérés par leur entreprise étaient liés à l’erreur humaine: un lien sur lequel quelqu’un clique, un site malveillant visité par mégarde, un téléchargement. Et la plupart du temps, l’erreur venait d’un courriel d’hameçonnage.


image

Marketing personnalisé

Mercredi 05 février


image

Forum Contrats publics

Mardi 11 février


image

Expérience

Jeudi 20 février


image

DevOps - Québec

Mercredi 26 février


image

Usine 4.0 – Québec

Mercredi 18 mars


image

Expérience citoyen

Mercredi 01 avril


image

Objectif Nord

Mardi 07 avril


image

Femmes Leaders

Mercredi 22 avril


image

CONNEXION

Jeudi 07 mai


image

Gestion agile

Mercredi 27 mai

Sur le même sujet

Des pénalités aux administrateurs pour contrer la cyberfraude?

11/10/2019 | Pascal Forget

Des experts en sécurité demandent aux partis de prendre position sur la protection des données et du système de crédit.

Vol de données: maintenant, des clients Costco!

31/07/2019 | Daniel Germain

Elle est bien fâcheuse cette autre fuite de données, mais il y a peut-être lieu de se réjouir. Du moins, espérons.

À la une

Bourse: Wall Street s'est resaisi au lendemain d'un recul

Mis à jour à 16:51 | LesAffaires.com et AFP

REVUE DES MARCHÉS. Le nouveau virus chinois a fortement inquiété les marchés la veille.

Évitez la Chine à moins que cela ne soit «essentiel», dit le CPQ

Des solutions alternatives permettent de rester en contact à distance avec ses fournisseurs ou ses clients.

Les sociétés canadiennes commencent à ressentir l'impact du coronavirus

Elles annulent leurs voyages et voient la valeur de leurs actions glisser.