Hameçonnage: ça mord toujours

Publié le 11/09/2019 à 15:37

Hameçonnage: ça mord toujours

Publié le 11/09/2019 à 15:37

Par Pascal Forget
Hameçonnage homme qui se masse les tempes devant ordinateur infecté de virus

(Photo: 123RF)

Vous recevez un courriel de votre patron, qui vous demande de transférer rapidement un montant à un fournisseur. Vous cliquez sur le lien dans le message pour lire les détails. Trop tard, votre ordinateur est infecté.

Vous avez été victime d’hameçonnage (aussi appelée phishing), une tentative envoyée par des fraudeurs pour vous faire télécharger un fichier ou cliquer sur un lien malicieux.

«L’hameçonnage permet de réaliser une fraude en trompant la vigilance de l’utilisateur. C’est de l’ingénierie sociale qui permet d’ouvrir la première porte du réseau de l’entreprise», explique Karim Ganame, fondateur de StreamScan, qui se spécialise en sécurité opérationnelle.

Cette fraude est tellement courante qu’on la surnomme «fraude au président». Pour se faire passer pour le patron, le pirate pourra prendre le contrôle de son vrai compte, utiliser une adresse similaire, ou simplement créer un compte avec le prénom et le nom du patron dans une adresse Gmail.

Les employés en finance, en comptabilité et la haute direction sont particulièrement ciblés. Une fois en contrôle d’un compte, le pirate prendra le temps de l’observer le temps qu’il faut, question d’analyser le flot des courriels avant de créer un scénario d’attaque crédible. Il pourra ensuite attendre que l’employé soit en vacances pour frapper, question de retarder la découverte de la fraude.

Au cours des 3 derniers mois, M. Ganame constate une augmentation de l’hameçonnage qui utilise les services infonuagiques, particulièrement avec Office 365. «Les entreprises ont l’impression qu’elles sont mieux protégées en utilisant le 'cloud'. Mais elles ne font qu’augmenter la surface d’attaque».

L’importance de la sensibilisation

Comme d’autres entreprises en sécurité informatique, StreamScan utilise les techniques des pirates pour tester les vulnérabilités de ses clients. Pour mettre en situation les employés, on pourra préparer une campagne d’hameçonnage fictive mais réaliste, pour voir s’ils mordent.

À partir de renseignements qui sont faciles à trouver sur les réseaux sociaux, on pourra par exemple envoyer un questionnaire de satisfaction aux employés qui ont participé à une activité sociale de l’entreprise.

Malgré la sensibilisation, l’envie de cliquer semble difficile à contrôler. «Il y a toujours quelqu’un qui va cliquer sur le lien», déplore M. Ganame.

Selon lui, pour que la sensibilisation soit efficace, la menace ne doit pas rester théorique. «Il faut que l’employé sache que si c’était vrai, la société aurait perdu 5000 dollars. La prochaine fois, il fera beaucoup plus attention».

Et les employés doivent rester vigilants: les pirates innovent constamment. «Il est difficile de décrire une attaque type. Chaque semaine, on découvre de nouveaux scénarios. Tous les cas se ressemblent, mais chacun est unique», explique M. Ganame.

L’hameçonnage en hausse

Selon l’outil d’analyse interactif Security Intelligence Report (SIR) de Microsoft, le nombre de courriels d’hameçonnage est en hausse.  Le pourcentage de courriels d’hameçonnage est passé de 0,14% en janvier 2018 à 0,85% en juillet 2019. Une augmentation de 250%, qui semble indiquer que la technique continue de fonctionner, mais surtout, qu’elle reste profitable pour les pirates.

La situation est d’autant plus alarmante qu’en 2018, la firme de sécurité Cyberscout rapportait que près de 70% des incidents de sécurité gérés par leur entreprise étaient liés à l’erreur humaine: un lien sur lequel quelqu’un clique, un site malveillant visité par mégarde, un téléchargement. Et la plupart du temps, l’erreur venait d’un courriel d’hameçonnage.


image

Communication interne

Mardi 26 novembre


image

Gestion de la formation

Mardi 03 décembre


image

Marché de l'habitation

Mercredi 04 décembre


image

Sommet Énergie

Mardi 21 janvier


image

Santé psychologique

Mercredi 22 janvier


image

Marketing personnalisé

Mercredi 05 février


image

Forum Contrats publics

Mardi 11 février


image

Expérience

Jeudi 20 février


image

DevOps - Québec

Mercredi 26 février


image

Usine 4.0 - Québec

Mercredi 18 mars

Sur le même sujet

Des pénalités aux administrateurs pour contrer la cyberfraude?

11/10/2019 | Pascal Forget

Des experts en sécurité demandent aux partis de prendre position sur la protection des données et du système de crédit.

Vol de données: maintenant, des clients Costco!

31/07/2019 | Daniel Germain

Elle est bien fâcheuse cette autre fuite de données, mais il y a peut-être lieu de se réjouir. Du moins, espérons.

À la une

Bourse: Wall Street termine en ordre dispersé, freinée par les incertitudes commerciales

Mis à jour le 11/11/2019 | LesAffaires.com et AFP

REVUE DES MARCHÉS. Le Dow Jones monte à un nouveau record à la faveur de la forte progression de Boeing et Walgreens.

Titres en action: Cascades, TC Energy, Adidas...

11/11/2019 | AFP et La Presse Canadienne

Voici une sélection d'annonces qui ont fait (ou vont faire) bouger les cours de ces entreprises.

Pixelbook Go: Google invente un portable d'entrée de gamme de luxe

11/11/2019 | Alain McKenna

BLOGUE. Pour peu que le budget ne soit pas une barrière à l’achat, ce portable est plutôt séduisant.