Hameçonnage: ça mord toujours

Publié le 11/09/2019 à 15:37

Hameçonnage: ça mord toujours

Publié le 11/09/2019 à 15:37

Par Pascal Forget
Hameçonnage homme qui se masse les tempes devant ordinateur infecté de virus

(Photo: 123RF)

Vous recevez un courriel de votre patron, qui vous demande de transférer rapidement un montant à un fournisseur. Vous cliquez sur le lien dans le message pour lire les détails. Trop tard, votre ordinateur est infecté.

Vous avez été victime d’hameçonnage (aussi appelée phishing), une tentative envoyée par des fraudeurs pour vous faire télécharger un fichier ou cliquer sur un lien malicieux.

«L’hameçonnage permet de réaliser une fraude en trompant la vigilance de l’utilisateur. C’est de l’ingénierie sociale qui permet d’ouvrir la première porte du réseau de l’entreprise», explique Karim Ganame, fondateur de StreamScan, qui se spécialise en sécurité opérationnelle.

Cette fraude est tellement courante qu’on la surnomme «fraude au président». Pour se faire passer pour le patron, le pirate pourra prendre le contrôle de son vrai compte, utiliser une adresse similaire, ou simplement créer un compte avec le prénom et le nom du patron dans une adresse Gmail.

Les employés en finance, en comptabilité et la haute direction sont particulièrement ciblés. Une fois en contrôle d’un compte, le pirate prendra le temps de l’observer le temps qu’il faut, question d’analyser le flot des courriels avant de créer un scénario d’attaque crédible. Il pourra ensuite attendre que l’employé soit en vacances pour frapper, question de retarder la découverte de la fraude.

Au cours des 3 derniers mois, M. Ganame constate une augmentation de l’hameçonnage qui utilise les services infonuagiques, particulièrement avec Office 365. «Les entreprises ont l’impression qu’elles sont mieux protégées en utilisant le 'cloud'. Mais elles ne font qu’augmenter la surface d’attaque».

L’importance de la sensibilisation

Comme d’autres entreprises en sécurité informatique, StreamScan utilise les techniques des pirates pour tester les vulnérabilités de ses clients. Pour mettre en situation les employés, on pourra préparer une campagne d’hameçonnage fictive mais réaliste, pour voir s’ils mordent.

À partir de renseignements qui sont faciles à trouver sur les réseaux sociaux, on pourra par exemple envoyer un questionnaire de satisfaction aux employés qui ont participé à une activité sociale de l’entreprise.

Malgré la sensibilisation, l’envie de cliquer semble difficile à contrôler. «Il y a toujours quelqu’un qui va cliquer sur le lien», déplore M. Ganame.

Selon lui, pour que la sensibilisation soit efficace, la menace ne doit pas rester théorique. «Il faut que l’employé sache que si c’était vrai, la société aurait perdu 5000 dollars. La prochaine fois, il fera beaucoup plus attention».

Et les employés doivent rester vigilants: les pirates innovent constamment. «Il est difficile de décrire une attaque type. Chaque semaine, on découvre de nouveaux scénarios. Tous les cas se ressemblent, mais chacun est unique», explique M. Ganame.

L’hameçonnage en hausse

Selon l’outil d’analyse interactif Security Intelligence Report (SIR) de Microsoft, le nombre de courriels d’hameçonnage est en hausse.  Le pourcentage de courriels d’hameçonnage est passé de 0,14% en janvier 2018 à 0,85% en juillet 2019. Une augmentation de 250%, qui semble indiquer que la technique continue de fonctionner, mais surtout, qu’elle reste profitable pour les pirates.

La situation est d’autant plus alarmante qu’en 2018, la firme de sécurité Cyberscout rapportait que près de 70% des incidents de sécurité gérés par leur entreprise étaient liés à l’erreur humaine: un lien sur lequel quelqu’un clique, un site malveillant visité par mégarde, un téléchargement. Et la plupart du temps, l’erreur venait d’un courriel d’hameçonnage.


image

Expérience citoyen

Mercredi 26 août


image

Gestion de l'innovation 2020

Mercredi 09 septembre


image

Expérience client

Mercredi 16 septembre


image

Gestion agile

Mercredi 07 octobre

Sur le même sujet

Des fraudeurs s'en prennent à des clientes de Desjardins de plus de 75 ans

Les fraudeurs communiquent avec leur victime par téléphone et lui expliquent qu’elle a été victime de fraude.

Ottawa veut sévèrement punir les fraudeurs de la PCU

Un projet de loi prévoit des amendes allant jusqu’à 5000 $ et jusqu’à six mois d’emprisonnement pour les contrevenants.

À la une

Bourse: Wall Street digère des décrets de Donald Trump

Mis à jour il y a 50 minutes | LesAffaires.com et AFP

REVUE DES MARCHÉS. Wall Street termine la séance de lundi en ordre dispersé, digérant de nouvelles mesures de relance.

Bourse: ce qui bouge sur les marchés avant l'ouverture lundi

08:24 | LesAffaires.com et AFP

Les marchés asiatiques ont souffert des tensions sino-américaines grandissantes.

Titres en action: Kodak, Twitter, McDonald's...

Mis à jour à 11:11 | AFP

Voici une sélection d'annonces qui ont fait (ou vont faire) bouger les cours de ces entreprises.