Phishing : principes, scénarios

d’attaques et bonnes pratiques

sécurité
10 OCTOBRE 2023

Le phishing est toujours aussi redoutable, car il mêle de plus en plus souvent
des compétences techniques pointues et des connaissances clés de certains
ressorts psychologiques humains. Ce faisant, les attaquants les plus
chevronnés arrivent assez facilement à inciter leurs cibles à ouvrir un email
malveillant avant de les pousser au clic.
Chez Vaadata, nous réalisons régulièrement des campagnes de
phishing dans le cadre d’audits d’ingénierie sociale. Aujourd’hui, nous vous
ouvrons les coulisses de notre métier afin de vous sensibiliser aux risques de
phishing.
Pour ce faire, nous vous présentons dans cet article, le principe du phishing,
les éléments permettant d’identifier un email malveillant ainsi que divers
scénarios d’attaques pour vous aider à mieux les appréhender. Nous
terminerons par les bonnes pratiques et mesures techniques à implémenter
pour contrer les attaques de phishing.

Plan détaillé de l’article :

 Qu’est-ce que le phishing ?
 Comment identifier un email de phishing ?
 L’expéditeur : nom, adresse email, domaine
 Le contenu : le titre, le corps (prétexte, liens, pièces jointes)
 Le prétexte
 Les liens
 Les pièces jointes
 Autres éléments (signature, sous-texte)
  Les éléments cachés : headers, serveurs, etc.
 Attaques par phishing : méthodologie et scénarios d’exécution
 Récupération d’identifiants Microsoft via phishing
 Contexte : campagne de phishing en boite noire
 Reconnaissance : préparation de l’attaque
 Construction du scénario d’attaque
 Exécution et analyse des résultats
 Distribution de malware via attaque de phishing
 Contexte
 Scénario d’attaque
 Analyse
 Comment se protéger du phishing ?
 Protections techniques
 Éléments humains

Qu’est-ce que le phishing ?

Le phishing est une attaque qui consiste à envoyer des emails
malveillants. Bien que cette définition soit assez générique, ce type d’attaque
peut grandement varier en fonction des techniques utilisées, du prétexte
choisi et de l’objectif final d’un attaquant.
Comme nous le verrons dans la suite de l’article, les possibilités sont légion et
les risques en cas d’attaques réussies le sont tout autant.

En effet, les attaques par phishing ne se limitent pas aux emails mal rédigés,
qui arrivent bien souvent directement dans nos boîtes de SPAM. Bien au
contraire, le phishing a beaucoup évolué, au point de le rendre indétectable
par un public non sensibilisé voire des connaisseurs.

Et puis même si certaines personnes détectent l’attaque, il n’est pas toujours

simple d’alerter à temps et de la bloquer assez rapidement pour qu’aucune
cible ne réalise l’action attendue par l’attaquant : communiquer un mot de
passe, exécuter un malware ou un ransomware, etc. En effet, les attaquants
ont comme avantage qu’ils n’ont souvent pas besoin d’avoir un taux de
succès élevé pour parvenir à leurs fins.

Comment identifier un email de

phishing ?
Avant de vous présenter différents scénarios de phishing – pour lesquels les
prétextes utilisés peuvent mener à différentes formes de compromission,
analysons tout d’abord les différents éléments qui peuvent servir à identifier
un email malveillant.

Ces éléments doivent être vérifiés par le destinataire de l’email, certains

détails pouvant interpeler.

L’expéditeur : nom, adresse email, domaine

Il s’agit de la source de l’email, qui est composée de deux éléments : un nom
et une adresse email.

Dans un usage normal, il peut s’agir d’un email automatique (Google

<noreply@google.fr>, Microsoft <notifications@microsoft.com>), ou d’une
personne (John Doe <john.doe@societe-fictive.com>).
Ce qu’il faut retenir :
 Le nom affiché est purement informatif. Dans la plupart des cas, aucun
contrôle n’existe sur ce champ, ce qui signifie que n’importe qui peut, en
théorie, afficher le nom qu’il souhaite. Ce n’est donc pas une source
d’information fiable sur l’émetteur. Dans notre exemple précédent,
l’utilisateur John Doe pourrait très bien afficher un nom différent (par
exemple : Microsoft <john.doe@societe-fictive.com>). Pour identifier
l’émetteur, il est donc plus pertinent de regarder l’adresse email.
 Le nom de domaine de l’adresse email (la partie située après le
symbole @) est l’élément le plus important pour identifier l’origine de
l’email. En effet, la partie située avant peut, comme pour le nom, être
choisie arbitrairement par l’utilisateur. Pour reprendre notre exemple,
John Doe peut très bien créer l’adresse email « microsoft@societe-
fictive.fr » à partir du moment où il est le propriétaire du domaine
« societe-fictive.fr ».
 Être attentif au nom de domaine est donc capital. Ce dernier permet
d’identifier l’entreprise à laquelle appartient l’émetteur ou le service
utilisé (par exemple @gmail.com ou @live.fr). Le fonctionnement est
assez simple : seuls les propriétaires d’un domaine ont – en théorie – les
droits d’envoyer des emails à partir de ce nom de domaine. Par exemple,
personne d’autre qu’un employé de « societe-fictive.com » ne peut
envoyer un email avec l’adresse « noreply@societe-
fictive.com ». Attention cependant, les attaques de phishing
« avancées » reposent bien souvent en partie sur cet élément. Afin de
tromper le destinataire, une technique consiste à utiliser un nom de
 domaine qui ressemble au domaine légitime. Par exemple, une personne
qui voudrait se faire passer pour John Doe, pourrait utiliser l’adresse
« john.doe@societefictive.com » (notez ici l’absence du « – » VS le vrai
nom de domaine) ou « john.doe@societe-fictive.fr ». On appelle cette
méthode une attaque homographique, du fait de la ressemblance du
domaine.
Ces informations sont utiles pour déceler une forme d’usurpation d’identité,
c’est-à-dire lorsqu’un émetteur tente de se faire passer pour une personne
(physique ou morale) que vous connaissez, afin de rendre son email crédible.

Pour plus d’informations, vous pouvez consulter notre article dédié : Phishing
: comment se protéger du spoofing d’email ?
Néanmoins, attention ! Il existe des cas pour lesquels le nom de domaine peut
être véritablement usurpé. En d’autres termes, l’émetteur apparait en tout
point (nom et adresse mail) comme étant légitime, alors qu’il s’agit d’une
usurpation d’identité. Bien que cela soit devenu relativement rare du fait de
protections de base mises en place par les services de mails, il faut garder à
l’esprit que cela est possible.
Mais dans tous les cas, si le contenu d’un email demande une action sensible
ou inhabituelle (cliquer sur un lien, saisir un mot de passe, télécharger une
pièce jointe, etc.), il doit alerter. Peu importe l’émetteur (votre manager), si
l’action est sensible, elle ne doit pas être prise à la légère. Dans ce cas, il est
nécessaire de demander une confirmation de l’origine de l’email (par
téléphone, chat, un autre email, etc.), et de la légitimité de l’action demandée.

Le contenu : le titre, le corps (prétexte, liens,

pièces jointes)
Le contenu reste la partie principale de l’email, celle qui est susceptible de
rendre l’échange malveillant. Généralement, il contient les éléments
suivants : un contexte/une argumentation, des éléments « externes » aux
emails (un lien vers un site ou une pièce jointe), et une signature.

Le prétexte
Le phishing est une attaque de la famille de l’ingénierie sociale. Cela signifie
qu’elle s’appuie sur une dimension psychologique pour piéger ses victimes.
C’est pourquoi, le prétexte est l’élément central permettant d’amener la cible
à réaliser l’action sensible souhaitée.
Pour ce faire, l’attaquant peut s’appuyer sur différents leviers : la notion
d’urgence, afin d’empêcher la victime de prendre du recul et d’agir de
manière précipitée (« il faut le faire avant la fin de journée » ; la notion
anxiogène de sécurité, qui déclenche là encore des réactions à la fois rapides
et non réfléchies (« Suite à la découverte d’une fuite de données en
provenance de votre compte utilisateur… »).
L’argument peut reposer sur un caractère exceptionnel pour justifier l’action
demandée, sans quoi celle-ci pourrait sembler à la fois inhabituelle et
incongrue.
Pour plus d’informations, vous pouvez consulter notre article dédié : Analyse
d’un phishing : 8 ressorts psychologiques

Les liens
Les liens sont utilisés pour rediriger les utilisateurs vers un site externe. Ne
faites pas confiance a priori à ce site, même s’il ressemble en tout point à une
plateforme qui vous est familière : il peut s’agir d’un clone.
Comme pour l’émetteur, le nom de domaine est un bon indicateur pour
connaître la véritable « identité » du site. Mais comme pour l’émetteur
également, les attaquants peuvent user de stratégies pour tromper les
utilisateurs (nom de domaine proche, utilisation de sous-domaines, etc.).

Les pièces jointes

Les pièces jointes peuvent être tous types de fichiers. Bien que des
protections empêchent la plupart des fichiers malveillants d’être envoyés par
email, il existe des méthodes permettant de les contourner.

Heureusement, dans la plupart des cas, soit il ne s’agit pas de fichiers

« ordinaires » (comme un fichier .txt ou .docx), soit ils demandent à
l’utilisateur de réaliser une ou plusieurs actions suspectes pour pouvoir
fonctionner (accepter l’ouverture malgré un message d’alerte, suivre une
procédure d’ouverture inhabituelle, etc.).

Autres éléments (signature, sous-texte)

D’autres éléments peuvent être présents dans l’email. Par exemple : l’objet,
une signature, un historique d’emails (dans le cas d’une réponse ou d’un
transfert de mail), etc.
Ces éléments ne présentent pas un risque en soi, et peuvent, au contraire,
permettre d’attirer l’attention sur le caractère frauduleux d’un email. Une
signature différente ? Un objet non conforme aux notifications habituelles ?
De même, des éléments indirects comme les tournures de phrases,
l’utilisation du tutoiement/vouvoiement, peuvent interpeller.

Ce qu’il faut retenir :

 Certaines actions sont sensibles : saisir un mot de passe sur une
plateforme web, exécuter une pièce jointe ou un fichier venant de
l’extérieur, transmettre des informations ou des documents sensibles,
réaliser des transactions bancaires, donner des droits à un utilisateur sur
une plateforme, etc.
 Si un email vous demande de réaliser l’une de ces actions (de manière
directe ou indirecte), cela doit interpeler. Cela ne signifie pas qu’il
s’agit forcément d’une attaque de phishing, mais cette situation doit
alerter. En cas de doute, demandez confirmation.
 Méfiez-vous des liens. Particulièrement si une action sensible est
demandée sur la plateforme lorsque vous cliquez sur le lien (comme
saisir son mot de passe ou télécharger un document). Vérifiez le nom de
domaine ou rendez-vous sur la plateforme sans passer par le lien fourni.
 Les pièces jointes peuvent contenir un malware. Si la source est
inconnue, il n’est pas recommandé de l’ouvrir sans vérifier le type de
fichier. Cependant, si elle est à priori connue, faites le nécessaire pour
vous assurer qu’il s’agit bien de la personne présumée (voir section
précédente). Si des messages d’alerte apparaissent, ne pas les ignorer et
renoncer à l’ouverture du fichier.
 En cas de doute, demandez toujours confirmation.

Les éléments cachés : headers, serveurs, etc.

Nous avons vu jusqu’à maintenant les éléments visibles à l’utilisateur, c’est-
à-dire ceux qui lui sont utiles et donc directement affichés. Il faut savoir qu’il
existe d’autres éléments dans l’email reçu, bien qu’ils ne soient pas visibles
directement.

Il s’agit d’éléments techniques qui peuvent être utilisés notamment pour

identifier l’origine de l’email (le serveur, le pays, etc.). En cas de suspicion
d’un email frauduleux, il peut donc être pertinent de le transférer à l’équipe
technique afin qu’ils puissent analyser ces différents éléments.
Attaques par phishing : méthodologie et
scénarios d’exécution
En partant de deux exemples d’attaques par phishing, nous allons à présent
mettre en pratique l’analyse des différents éléments de l’email afin
d’identifier les indices de malveillance.

Pour détailler la mise en place des scénarios, nous allons nous placer du point
de vue de l’attaquant. Cela nous permettra de présenter les différentes étapes
de création de l’attaque, et notamment les méthodes de collecte
d’informations permettant de construire un email de phishing crédible et
pertinent.

Récupération d’identifiants Microsoft via

phishing
Ce premier exemple est tout simplement une simulation d’attaque par
phishing. Cet exercice – appelé « audit d’ingénierie sociale » – permet de
mettre à l’épreuve les collaborateurs d’une entreprise dans différentes
situations.

Contexte : campagne de phishing en boite noire

Pour notre exemple, nous allons considérer l’attaquant en condition boite
noire. Cela signifie qu’aucun élément (information interne, accès à une
plateforme, liste des collaborateurs, adresses email, etc.) n’est fourni à
l’auditeur. Cette condition est la plus proche d’une attaque externe réelle.
Dans le cadre d’audits d’ingénierie sociale, il peut également être pertinent de
réaliser les attaques dans des conditions appelées « boite grise » ou « boite
blanche ». Dans ces cas de figure, l’entreprise auditée fournit tout ou partie
des informations qui peuvent être utilisées pour les scénarios. Par exemple,
fournir la liste exhaustive des collaborateurs ainsi que leurs adresses email
permet de s’assurer que l’intégralité des effectifs a bien été testée. Un autre
exemple pourrait être la désactivation du filtre anti-spam, afin de bien cibler
le test sur les comportements humains, et non sur les équipements techniques.

Reconnaissance : préparation de l’attaque

Comme aucune information n’est connue à l’avance, l’attaquant doit donc
lui-même collecter des données utiles à un scénario de phishing : c’est ce que
l’on appelle « phase de reconnaissance ».
Elle doit permettre à minima d’obtenir :

 Une liste de cibles. Généralement, il s’agit des collaborateurs de

l’entreprise ciblée. Dans le cas du phishing, il faudra donc une liste
d’adresses email.
 Un axe d’attaque à fort impact potentiel. Ici, il est question d’identifier
un objectif permettant de maximiser les gains en cas de succès de
l’attaque. Les objectifs peuvent être divers, comme obtenir un accès à
une plateforme, compromettre un poste de travail ou détourner de
l’argent. L’attaquant doit donc évaluer les différentes options qui se
présentent à lui, notamment en identifiant les solutions techniques
utilisées par l’entreprise (fournisseur pour les boîtes email, plateformes
web utilisées, service VPN, etc.).
Pour notre exemple, disons que notre cible est la société fictive appelée «
société fictive », et que son site vitrine se trouve être « www.societe-
fictive.fr ».
Le premier point – la création d’une liste de cibles – peut être réalisé de la
manière suivante : d’abord, trouver au moins une adresse email de la société
grâce aux moteurs de recherches ou à des sites spécialisés (par
exemple : https://hunter.io/search), puis extrapoler cette adresse email aux
autres personnes identifiables, via LinkedIn notamment.
Dans notre exemple, on pourrait par exemple obtenir la chose suivante :

 Sur une offre d’emploi de la société se trouve l’adresse email

« julien@societe-fictive.fr »
 On peut en déduire que le modèle utilisé pour la création des adresses
email est « [prénom]@societe-fictive.fr »
 La page LinkedIn de la société donne la liste des collaborateurs
(potentiellement partielle)
 L’attaquant n’a plus qu’à extraire les prénoms de ces collaborateurs pour
en déduire leurs adresses email
Pour le second point – identifier un axe d’attaque – différentes méthodes
existent afin de cartographier les différents éléments mis en place ou utilisés
par l’entreprise.
Pour éviter les détails techniques, admettons ici que l’attaquant a pu découvrir
le sous-domaine « webmail.societe-fictive.fr », une page d’authentification au
service Outlook de Microsoft.

Le webmail est un point d’entrée important pour un attaquant, car obtenir un

accès permet de consulter des informations sensibles (emails internes), et,
bien souvent, de pouvoir obtenir des accès à une multitude de plateformes (en
utilisant les fonctionnalités de « mot de passe oublié »).

L’objectif de l’attaque pourrait donc être celui-ci : obtenir les mots de passe
des collaborateurs afin d’accéder à leurs boites email.

Construction du scénario d’attaque

Maintenant que nous possédons une liste de cibles et un axe d’attaque, il nous
faut développer un scénario crédible permettant de dérober les identifiants des
utilisateurs.

Le contexte que nous avons imaginé est le suivant : le responsable technique

de l’entreprise envoie un mail à l’ensemble des collaborateurs, leur indiquant
que les comptes Microsoft ont été mis à jour et que cela demande à chacun de
se reconnecter. L’email contient un lien vers le webmail en question.

Du point de vue de l’attaquant, cela demande donc :

 D’identifier le responsable technique afin de l’usurper (via LinkedIn)

 Mettre en place une plateforme malveillante permettant de collecter les
mots de passe saisis (clone d’interface).
 Inciter les cibles à réaliser l’action sensible (en s’appuyant sur des
ressorts psychologiques)

Exécution et analyse des résultats

Voyons le résultat :

Plutôt convaincant, non ? Avec un peu de vigilance, les cibles peuvent

cependant déceler le caractère malveillant de l’email.

Analysons les différents éléments qui peuvent permettre de détecter

l’attaque :
  D’abord, l’émetteur. L’adresse email est-elle bien celle
attendue, olivier@societe-fictive.fr ? La réponse est non. On peut
remarquer que le nom de domaine n’est pas tout à fait identique : societe-
fictve.fr (il manque un « i » à fictive).
En effet, afin d’usurper l’identité du responsable informatique, l’attaquant a
acheté un nom de domaine proche de l’original.

 Ensuite, le contexte de l’email. Ici, le prétexte doit interpeler et éveiller

une suspicion. On a une demande explicite de réaliser une action sensible
(saisir ses « identifiants habituels » sur une plateforme) et une notion
d’urgence (« [sinon] votre compte sera suspendu »). Bien que ces
éléments ne prouvent pas le caractère malveillant, ils doivent attirer
l’attention et permettre d’élever suffisamment le niveau vigilance
pour que la cible se mette à la recherche d’indices. Par exemple, c’est
à ce moment que l’adresse email pourrait être vérifiée, et ainsi confirmer
nos soupçons.
 Le lien hypertexte transmis dans l’email est l’élément central de
l’attaque. C’est en cliquant sur ce lien (première action sensible) que la
cible va se retrouver dans un environnement dangereux. Il est donc
primordial de vérifier ce lien. Ici, on peut à nouveau constater que le
domaine n’est pas conforme. La plateforme légitime est, comme nous
l’avons vu, webmail.societe-fictive.fr. Ici, webmail.societe-fictve.fr est
une plateforme toute autre, et ce même si le domaine est proche et que
l’aspect esthétique du site est strictement le même.
Sachez que, dans ce type de scénario, le fait d’avoir cliqué sur le lien
n’occasionne pas forcément d’impact (bien qu’il soit recommandé de ne pas
le faire). Il n’est donc pas trop tard, lorsque la page se sera ouverte, de
renoncer à saisir son mot de passe.

Cela peut d’ailleurs être un bon déclencheur : lorsque vous cliquez sur un
lien, que vous pensez faire référence à une plateforme habituelle, et qu’à la
suite de ce clic, il soit nécessaire de saisir vos identifiants de connexion, alors
vous devez douter de l’identité du site.

Vous pouvez vérifier (attentivement) l’URL dans votre navigateur. Mieux, il

est conseillé d’ouvrir cette page par vos propres moyens (via une recherche
Google ou à partir de vos favoris par exemple) plutôt que de cliquer sur le
lien.

Distribution de malware via attaque de phishing

Maintenant que nous avons vu comment un attaquant pouvait récupérer des
identifiants sensibles avec un simple email et un prétexte bien senti, nous
allons analyser un autre exemple, tiré de l’actualité cette fois-ci, où l’objectif
de l’attaquant est de faire télécharger un malware aux victimes de l’attaque.

Contexte
Nous sommes au début du mois de mars 2020 aux États-Unis, des milliers de
personnes – travaillant principalement dans le domaine de la santé – reçoivent
un email semblant provenir de « Mobility Research Inc. » et leur demandant
de télécharger une application pour contribuer à la lutte contre le
Coronavirus.

La société « Mobility Research Inc. » existe bel et bien mais pour rendre la
chose encore plus crédible, l’email mentionne le projet « Folding@home »
qui propose, en temps normal, un logiciel de calcul que les participants au
projet peuvent installer afin d’effectuer des calculs scientifiques et contribuer
ainsi à la recherche de vaccins potentiels.

Jusque-là rien de très suspect me direz-vous, d’autant plus que

« Folding@home » gagne en visibilité et en popularité en ce début pandémie,
et c’est bien normal !

Oui mais voilà ! Il s’agit en réalité d’une campagne de phishing visant à

distribuer en masse, non pas le logiciel de calcul scientifique, mais bien un
malware, du nom de « RedLine Stealer ».

Pour information, un « stealer » (ou « infostealer ») est un type de malware

dont la fonction principale est l’exfiltration de données à partir des machines
infectées.
En particulier, les identifiants de connexion de sites web en tout genre sont
les cibles privilégiées de ce type de malware. Dans l’idée, votre navigateur
préféré (Chrome ou Firefox) vous a peut-être déjà demandé si vous vouliez
« enregistrer ce mot de passe » pour le réutiliser plus tard ? Ce que vous avez
peut-être même l’habitude d’accepter ? Sachez que dans ce cas, vos mots de
passe sont alors stockés dans les fichiers de cache de votre navigateur.

Et vous l’avez deviné, ce sont ces mêmes fichiers qui seront visés par
« RedLine Stealer » si vous avez le malheur de le télécharger, vos identifiants
se retrouvant ensuite en vente sur des places de marché (sur le dark web
notamment).

Pour la petite histoire, il nous arrive fréquemment de récupérer des mots de

passe en clair (donc directement réutilisable et souvent encore valides) à
partir de fuite de données attribuables à « RedLine Stealer » lors de nos
audits. La menace est donc bien réelle !

Scénario d’attaque
Après ce bref aparté, revenons à notre scénario de phishing. Voici à quoi
ressemblait les emails reçus durant la campagne de mars 2020 :
Source : Proofpoint

Analyse
Encore une fois, plutôt convaincant ! Prenons néanmoins deux minutes pour
activer notre « radar anti-phishing » et passer en revue les indices mentionnés
précédemment :

 Tout d’abord, l’adresse email de l’expéditeur appartient au

domaine litegait.com qui ne nous dit probablement rien – à moins d’être
familier avec « Mobility Research Inc. » dont litegait.com est bel et bien,
dans ce cas, le domaine légitime. Souvenez-vous en : il possible – dans
certains cas très particuliers – d’usurper totalement un expéditeur tout à
fait légitime. Dans tous les cas, recevoir un email non sollicité d’un
destinateur inconnu doit nous élever notre niveau de vigilance, surtout si
une action sensible nous est demandée.
 Place au contexte de l’email maintenant. Le prétexte utilisé pour inciter
les victimes à l’action fait ici appel à deux ressorts psychologiques
puissants : la peur face à la menace du Coronavirus, et l’altruisme en
proposant de contribuer à la découverte d’un vaccin (rien que ça). Aussi
engageant que cela puisse paraître, il faut s’efforcer de prendre du recul
et ne pas précipiter l’action. Par exemple, effectuer une rapide recherche
sur « Research Mobility Inc. » et « Folding@Thome » est un bon réflexe
et permet de se rendre compte qu’il n’y a pas de lien évident entre les
deux. De plus, l’email mentionne « Folding@Thome » et non
« Folding@home » (il y a un T en plus).
 Le lien hypertexte enfin. En temps normal, l’application légitime est
téléchargée sur le site de « Folding@home » directement. Dans notre cas,
le lien de téléchargement redirige sur un BitBucket hébergeant
l’exécutable « foldingathomeapp.exe ». A noter que BitBucket
(bitbucket.org) est un service totalement légitime, détourné ici par les
attaquants pour délivrer le fichier malveillant. Ici encore, à retenir : un
domaine légitime – ici bitbucket.org – peut être utilisé par un attaquant
pour délivrer le coup de grâce (les liens contenus dans les emails ne
pointant pas forcément sur un domaine malveillant).
Pour résumer, ce scénario est très crédible et repose, entre autres, sur le fait
que la plupart des destinataires ne connaissent pas ou mal la manière dont
« Folding@home » distribue son application, les inciter à télécharger un
fichier malveillant depuis un service tiers (et tout à fait légitime qui plus est).
Cependant, comme pour un lien malveillant usurpant une plateforme connue,
il est préférable de ne pas suivre le lien de téléchargement contenu dans
l’email mais de télécharger l’application directement de la source – c’est-à-
dire sur le site de « Folding@home » directement.

Comment se protéger du phishing ?

Comme nous avons pu le voir, le phishing s’appuie à la fois sur des éléments
techniques et des comportements humains. De la même manière, les moyens
de défense s’organisent également autour de ces deux volets : technique et
humain.

Protections techniques
Les protections techniques peuvent intervenir à plusieurs niveaux : en amont
de l’attaque en empêchant que les collaborateurs ne puissent être confrontés
aux emails de phishing ; au cœur de l’attaque, en empêchant les victimes de
réaliser l’action sollicitée par l’attaquant ; et enfin en aval, de manière à
minimiser l’impact dans le cas où un collaborateur aurait été piégé.

Voyons les principaux éléments qui peuvent être déployés :

 Système anti-spam : rejeter automatiquement les emails trop suspicieux.

Ces systèmes s’appuient sur tous les éléments (visibles ou non) de
l’email : la provenance, le nom de domaine de l’expéditeur, le contenu, la
présence de liens, la présence et le type de pièces jointes, etc.
 La gestion des mots de passe et des accès. Cela regroupe plusieurs
éléments : nous recommandons par exemple l’utilisation
de gestionnaires de mots de passe, ainsi que le déploiement du 2FA sur
les plateformes sensibles.
o Le premier permet aux collaborateurs d’utiliser uniquement des mots
de passes robustes (non devinables via du brute force notamment) et
différents pour chaque plateforme : l’attaquant ne pourra, au mieux,
accéder qu’a une seule plateforme si le mot de passe est compromis.
Surtout, le gestionnaire de mot de passe a l’avantage de révéler
(indirectement) à l’utilisateur lorsqu’il se trouve sur un clone et non
sur le site légitime. En effet, le gestionnaire ne proposera pas son
mot de passe à l’utilisateur, pour la simple raison que le domaine
n’est pas celui correspondant. Ainsi, un utilisateur qui aurait cliqué
sur un lien sans se rendre compte du défaut de nom de domaine
devrait se rendre compte qu’il n’est pas sur le site original lorsque le
gestionnaire ne lui proposera aucun mot de passe. Il devient moins
 probable, dans ce cas, que l’utilisateur saisisse son mot de passe sur
la plateforme malveillante.
o Le second – le 2FA – permet d’empêcher l’attaquant de se connecter
à une plateforme s’il a uniquement collecté le mot de passe de la
victime. Attention cependant, il existe des techniques de phishing
permettant de dérober la session des utilisateurs malgré la présence
de 2FA. Il ne s’agit donc pas d’une protection suffisante, mais
permet de limiter l’impact dans bien des cas.
 Mettre ne place des antivirus. Bien que l’on s’éloigne ici de l’aspect
purement « phishing », l’utilisation d’antivirus est un exemple d’élément
pouvant empêcher une attaque d’ingénierie sociale d’être menée à bien.
Lorsque la victime a été mise en échec par l’attaque, il reste une
dimension technique permettant d’en réduire l’impact. Cela inclut
également toutes les politiques de gestion des postes utilisateurs.
Enfin, à mi-chemin entre le volet technique et organisationnel, il faudra
veiller à ce que les utilisateurs ne puissent pas réaliser une action qui dépasse
le cadre de ses droits et de ce qui est attendu de lui.
Prenons deux exemples :

 Scénario 1 : l’attaquant usurpe un collaborateur et demande à un

administrateur de lui rappeler son mot de passe. Dans ce cas, plusieurs
choses : l’administrateur ne doit pas être en capacité d’accéder à un mot
de passe existant ; il ne doit jamais transférer un mot de passe par email ;
le processus de changement de mot de passe d’un collaborateur doit
incorporer une forme de vérification de son identité, par exemple en lui
envoyant un email à valider.
 Scénario 2 : demande du règlement d’une facture (factice). Dans ce cas,
des process internes doivent être mis en place afin d’empêcher que le
collaborateur chargé du règlement des factures ne puisse saisir un RIB
inconnu et procéder à un virement sans qu’aucune vérification ne soit
réalisée au préalable.

Éléments humains
L’autre volet de la défense contre le phishing – l’humain – s’articule non
seulement autour de la sensibilisation individualisée, mais également autour
du développement d’une culture d’entreprise adéquate.

D’un côté, les collaborateurs doivent être sensibilisés au phishing – et aux

attaques d’ingénieries sociales plus largement – et à leurs risques.
Cette sensibilisation doit être en mesure de :

 Donner un maximum de clés permettant de détecter ces attaques.

Comme nous l’avons vu dans cet article, différents indices permettent
d’identifier ces attaques, ou à minima de lever un soupçon. Encore faut-il
que ces éléments soient connus de tous.
Par exemple : sensibilisations aux liens transmis par mail, à l’usurpation
d’identité, aux malwares dans les pièces jointes, etc.
 Maintenir la vigilance des collaborateurs. La sensibilisation ponctuelle
n’est pas suffisante, car il n’est pas uniquement question de connaître les
recommandations, il faut aussi rester suffisamment alerte pour les
appliquer à tout moment. Pour cela, deux stratégies (complémentaires)
peuvent être envisagées : renouveler fréquemment les ateliers de
sensibilisation (théorie), et évaluer les réflexes et le niveau de vigilance
des collaborateurs sur des simulations d’attaques (cas pratiques).
À cela s’ajoute une forte composante organisationnelle et managériale, de
manière à créer un environnement propice à la vigilance, à la transparence et
à une bonne réactivité. Ce point est très important, car une part conséquente
de l’impact d’une telle attaque est provoquée par l’absence de communication
de la part des victimes.

Les victimes ont des raisons légitimes à leur inaction : la honte de ne pas
avoir détecté si l’attaque, la peur des conséquences, etc. Elles peuvent donc
décider de ne rien dire, ce qui évidemment a des conséquences bien plus
graves pour l’entreprise : un mot de passe dérobé reste actif, une machine est
compromise sur le réseau, etc.
Afin d’éviter cela et maximiser la collaboration de chacun, nous
recommandons de sensibiliser les collaborateurs et les managers au points
suivants :
 Tout le monde est susceptible de se faire piéger, même les plus
expérimentés. Par un malheureux hasard, le prétexte de l’email peut être
particulièrement pertinent au moment où il est reçu, l’email peut arriver à
un moment de rush, avec moins de vigilance, etc.
 Le succès de l’attaque ne doit jamais être considéré comme un échec
personnel. Le fait que certaines attaques fonctionnent à un moment ou
un autre est inévitable. Il ne faut donc pas stigmatiser, ne pas tenir un
individu pour responsable, il est victime. De fait, il ne doit jamais
être sanctionné. Au contraire, il doit être soutenu et encouragé.
 Les victimes d’attaques doivent communiquer le plus rapidement
possible lorsqu’elles prennent connaissance de l’attaque. C’est
 l’objectif final, et pour cela les points précédemment cités sont
fondamentaux.
Auteurs : Cédric CALLY–CABALLERO & Benjamin BOUILHAC –
Pentesters @Vaadata