Dopé à l’Intelligence Artificielle, le phishing ciblant les dirigeants coûte cher aux entreprises
A-t-on encore besoin de présenter le phishing ? Depuis des années, les emails malveillants d’hameçonnage sont utilisés dans la quasi-totalité des attaques informatiques (plus de 90%) ciblant les entreprises. L’objectif est toujours le même et il est souvent atteint : tromper un employé pour créer une brèche dans le réseau informatique de l’entreprise. Cette compromission initiale du système d’information ouvre ainsi la voie à toutes sortes de méfaits, du rançongiciel au vol de données en passant par des attaques bien plus sophistiquées et ciblées.
Mais il existe des variantes, peut-être moins connues, mais très redoutables. Pas forcément nouveau non plus (et souvent gardé secret...), le whaling est une variante du phishing et fait toujours beaucoup de dégâts dans les entreprises. Le whaling, également appelé fraude au président, c’est un phishing ciblé cherchant à atteindre les dirigeants et cadres dirigeants de l’entreprise (littéralement les « gros poissons ») pour les inciter à réaliser un virement bancaire conséquent. Et ça fonctionne plutôt bien.
Les fuites de données, les réseaux sociaux et les cookies regorgent d’informations
Là où les phishers « traditionnels » jouent sur la peur (de la COVID-19, etc.) ou surfent sur les thèmes du moment (soldes, Black Friday, déclarations d’impôts, etc.) pour diffuser très largement des emails de phishing, les adeptes du whaling réalisent un important travail de préparation ciblé sur leur victime. L’objectif : cerner sa cible avant de l’attaquer, en regroupant un maximum d’informations sur le dirigeant de l’entreprise. Et ces informations ne manquent pas : elles proviennent des réseaux sociaux professionnels ou personnels, des fuites de données passées, ou encore des cookies de navigation.
Avec un peu de patience et un bon travail d’ingénierie sociale, il est en réalité assez simple pour un attaquant de savoir qu’un nouveau cadre dirigeant vient de prendre ses fonctions dans l’entreprise, de connaître le nom de ses principaux fournisseurs et même de réunir des infos d’ordre bien plus privé : le lieu de vacances du directeur général ou de ses cadres dirigeants, leurs centres d’intérêts et hobbies, le nom de leur banque, etc.
Ces informations sont la base d’un email de whaling : parfaitement ciblé, contenant des informations personnalisées et envoyé au moment opportun.
Et ne nous y trompons pas, cela arrive à beaucoup d’entreprises y compris en France et nombreuses sont celles à avoir perdu des centaines de milliers voire des millions d’euros. En 2018, mettant à profit la technique du whaling ou de la fraude au président, des pirates ont réussi à inciter des collaborateurs de la chaîne de cinéma Pathé à virer plusieurs fois d’énormes montants, pour un préjudice final de plus de 19 millions d’euros !
L’Intelligence Artificielle offre des capacités de récolte automatique des informations
Au cours des dernières années, le phishing a changé d’ère : il est désormais dopé à l’Intelligence Artificielle. Les attaquants s’appuient aujourd’hui sur des moteurs d’IA qui scannent pour eux le Web et même le Dark Net, afin de recueillir des informations pertinentes et détaillées sur des individus et des entreprises, parmi un volume considérable de données. Il est par ailleurs établi que la multiplication des fuites de données génère systématiquement des vagues d’attaques de phishing et bien entendu de whaling. Il y a d’ailleurs fort à parier que le récent piratage massif des serveurs de la messagerie professionnelle Microsoft Outlook, qui est largement utilisée par les TPE/PME, va offrir à des attaquants une source inestimable d’informations contenues dans des historiques de mails et résulter en de vastes vagues de phishing et de whaling…
Notre salut viendra obligatoirement de l’inculcation d’une culture cyber au sein de l’entreprise
Le phishing, et plus encore le whaling, ne peuvent pas se régler uniquement par le recours à de multiples technologies de sécurité. La technologie est certes un rempart permettant par exemple d’empêcher un grand nombre d’emails d’arriver dans leur messagerie de destination, mais elle ne peut pas le garantir à 100%. Dès lors, l'utilisateur doit jouer le rôle de dernier maillon de la chaîne de sécurité. Malheureusement, non seulement la sensibilisation à ce type d’attaques a un coût mais les entreprises ne disposent la plupart du temps pas d’experts capables de prendre en main le sujet pour diffuser de bonnes pratiques. C’est donc au dirigeant, qui a par ailleurs souvent le plus à perdre, de prendre en main le sujet et d'insuffler progressivement une culture cyber au sein de son équipe.
Cela passe par des actions de sensibilisation et d’éducation (qu’est-ce que le phishing ? Comment reconnaître une attaque de ce type ? etc.) mais également par la mise en place de processus de validation plus complexes dans le cadre d’actions sensibles : par exemple, un processus de validation bi voire tripartite clair pour tout virement bancaire, ou partage d’informations sensibles vers l’extérieur.
L’essor du télétravail rend la cybersécurité plus complexe encore
Avec la généralisation du télétravail, beaucoup de dirigeants travaillent désormais à distance. Certains cadres ont sûrement été recrutés pendant la pandémie de COVID-19 ou durant une période de confinement et ne connaissent encore que très peu leurs équipes. Ce contexte est totalement propice au whaling et doit de fait déboucher sur de nouvelles mesures de sécurité. Ainsi, puisque la situation est vouée à durer dans le temps, pourquoi ne pas intégrer le réseau informatique des cadres dirigeants à la maison au sein du périmètre de gestion de l’IT de l’entreprise « traditionnelle » ? En effet, pour quelques centaines d’euros, le réseau à la maison - à minima du directeur général et des directeurs aux activités sensibles tels que le DAF - peut être sécurisé grâce à un firewall d’entreprise. Lorsque l’on connaît le montant des pertes potentielles liées à des attaques de whaling, la question d’un budget complémentaire pour élargir la sécurité au-delà du périmètre traditionnel, doit nécessairement se poser.