Hameçonnage: ça mord toujours

Publié le 11/09/2019 à 15:37

Hameçonnage: ça mord toujours

Publié le 11/09/2019 à 15:37

Par Pascal Forget
Hameçonnage homme qui se masse les tempes devant ordinateur infecté de virus

(Photo: 123RF)

Vous recevez un courriel de votre patron, qui vous demande de transférer rapidement un montant à un fournisseur. Vous cliquez sur le lien dans le message pour lire les détails. Trop tard, votre ordinateur est infecté.

Vous avez été victime d’hameçonnage (aussi appelée phishing), une tentative envoyée par des fraudeurs pour vous faire télécharger un fichier ou cliquer sur un lien malicieux.

«L’hameçonnage permet de réaliser une fraude en trompant la vigilance de l’utilisateur. C’est de l’ingénierie sociale qui permet d’ouvrir la première porte du réseau de l’entreprise», explique Karim Ganame, fondateur de StreamScan, qui se spécialise en sécurité opérationnelle.

Cette fraude est tellement courante qu’on la surnomme «fraude au président». Pour se faire passer pour le patron, le pirate pourra prendre le contrôle de son vrai compte, utiliser une adresse similaire, ou simplement créer un compte avec le prénom et le nom du patron dans une adresse Gmail.

Les employés en finance, en comptabilité et la haute direction sont particulièrement ciblés. Une fois en contrôle d’un compte, le pirate prendra le temps de l’observer le temps qu’il faut, question d’analyser le flot des courriels avant de créer un scénario d’attaque crédible. Il pourra ensuite attendre que l’employé soit en vacances pour frapper, question de retarder la découverte de la fraude.

Au cours des 3 derniers mois, M. Ganame constate une augmentation de l’hameçonnage qui utilise les services infonuagiques, particulièrement avec Office 365. «Les entreprises ont l’impression qu’elles sont mieux protégées en utilisant le 'cloud'. Mais elles ne font qu’augmenter la surface d’attaque».

L’importance de la sensibilisation

Comme d’autres entreprises en sécurité informatique, StreamScan utilise les techniques des pirates pour tester les vulnérabilités de ses clients. Pour mettre en situation les employés, on pourra préparer une campagne d’hameçonnage fictive mais réaliste, pour voir s’ils mordent.

À partir de renseignements qui sont faciles à trouver sur les réseaux sociaux, on pourra par exemple envoyer un questionnaire de satisfaction aux employés qui ont participé à une activité sociale de l’entreprise.

Malgré la sensibilisation, l’envie de cliquer semble difficile à contrôler. «Il y a toujours quelqu’un qui va cliquer sur le lien», déplore M. Ganame.

Selon lui, pour que la sensibilisation soit efficace, la menace ne doit pas rester théorique. «Il faut que l’employé sache que si c’était vrai, la société aurait perdu 5000 dollars. La prochaine fois, il fera beaucoup plus attention».

Et les employés doivent rester vigilants: les pirates innovent constamment. «Il est difficile de décrire une attaque type. Chaque semaine, on découvre de nouveaux scénarios. Tous les cas se ressemblent, mais chacun est unique», explique M. Ganame.

L’hameçonnage en hausse

Selon l’outil d’analyse interactif Security Intelligence Report (SIR) de Microsoft, le nombre de courriels d’hameçonnage est en hausse.  Le pourcentage de courriels d’hameçonnage est passé de 0,14% en janvier 2018 à 0,85% en juillet 2019. Une augmentation de 250%, qui semble indiquer que la technique continue de fonctionner, mais surtout, qu’elle reste profitable pour les pirates.

La situation est d’autant plus alarmante qu’en 2018, la firme de sécurité Cyberscout rapportait que près de 70% des incidents de sécurité gérés par leur entreprise étaient liés à l’erreur humaine: un lien sur lequel quelqu’un clique, un site malveillant visité par mégarde, un téléchargement. Et la plupart du temps, l’erreur venait d’un courriel d’hameçonnage.


image

Gestion du changement

Mardi 17 septembre


image

Gestion de l’innovation

Mercredi 18 septembre


image

Usine 4.0

Mardi 24 septembre


image

Marché du cannabis

Mercredi 23 octobre


image

Service à la clientèle

Mercredi 23 octobre


image

Communication interne

Mardi 26 novembre


image

Gestion de la formation

Mardi 03 décembre


image

Marché de l'habitation

Mercredi 04 décembre


image

Sommet énergie

Mardi 21 janvier


image

Santé psychologique

Mercredi 22 janvier


image

Forum Contrats publics

Mardi 11 février

Sur le même sujet

Vol de données: maintenant, des clients Costco!

31/07/2019 | Daniel Germain

Elle est bien fâcheuse cette autre fuite de données, mais il y a peut-être lieu de se réjouir. Du moins, espérons.

Une gigantesque arnaque à l'assurance maladie démantelée aux États-Unis

09/04/2019 | AFP

Des attelles orthopédiques étaient fournies à des personnes âgées ou handicapées qui n’en avaient pas besoin.

À la une

Bourse: Wall Street voit rouge, Toronto est à un sommet record

Mis à jour le 16/09/2019 | LesAffaires.com et AFP

REVUE DES MARCHÉS. Le Brent a bondi de 14,6 %, sa plus forte progression depuis que le contrat a été formalisé en 1988.

Titres en action: Aramco, Coca-Cola, Facebook...

16/09/2019 | AFP et La Presse Canadienne

Voici une sélection d'annonces qui ont fait (ou vont faire) bouger les cours de ces entreprises.

Les Bourses européennes reculent face aux tensions pétrolières

16/09/2019 | AFP

Les investisseurs ont «forcément été pris un petit peu de court sur le retour du risque géopolitique», dit une analyste.