Nul besoin de douter de la menace que représente le phishing en 2020. Nous pourrions passer énormément de temps à essayer de mesurer le risque que le phishing représente pour notre société, nos organisations. Je ne suis même pas certain de pouvoir vous fournir une estimation précise de ce risque. Il y a tant d'inconnues. Cependant, pour beaucoup d'entre nous, être la cible de cyber-attaques par le biais du phishing fait maintenant partie de notre quotidien, ou presque.
Le réseau GÉANT relie 50 millions de personnes à travers l'Europe, soit 50 millions de cibles potentielles d'une attaque de phishing. Nous pouvons compter sur de nombreuses technologies pour prévenir l'hameçonnage (phishing), mais la plupart ont déjà montré leurs limites. Même si elles pouvaient bloquer 95 % des e-mails envoyés lors de ces attaques, nos utilisateurs devraient tout de même détecter et signaler les 5 % restants. En outre, même si nous disposions de systèmes capables de bloquer 99,99 % des courriels de phishing, ils ne pourraient pas bloquer les tentatives de spear phishing, plus ciblé et dangereux, sans bloquer dans le même temps de nombreux courriels légitimes. La technologie ne peut pas tout résoudre. Comme les CISO aiment à le dire : les humains doivent être le dernier pare-feu.
Le phishing est une forme d'ingénierie sociale utilisant les courriels comme vecteur. Les malfaiteurs ont principalement recours au phishing pour atteindre l'un des deux objectifs suivants : voler des informations (numéros de carte de crédit, identifiants) ou installer des logiciels malveillants (ransomware ou chevaux de Troie ) sur l'ordinateur de l'utilisateur. Nous voyons également de nombreuses tentatives de fraude au CxO (où les attaquants se font passer pour un CEO, CFO ou un autre dirigeant de haut niveau) via des méthodes de spear phishing, souvent combinées à d'autres types d'ingénierie sociale comme le vishing (hameçonnage vocal par téléphone) ou le smishing (hameçonnage par SMS).
Notre confiance dans la technologie
Les attaques de phishing tirent profit des caractéristiques humaines. La première est souvent notre confiance. Nous avons tendance à faire confiance aux personnes qui appartiennent au même groupe que nous. Nous sommes membres de plusieurs groupes simultanément : famille, amis, collègues, camarades de classe, chercheurs, coéquipiers ou parents d'élèves. Plus les gens sont proches, plus nos relations sont étroites, plus nous sommes susceptibles de leur faire confiance.
Ainsi, lorsque nous recevons un SMS de notre meilleur ami et que sa photo apparaît sur notre smartphone, nous avons tendance à le prendre au sérieux et à partir du principe qu'il est digne de confiance (sauf peut-être si l'ami en question a l'habitude de faire des blagues). Cela signifie également que nous faisons suffisamment confiance à la technologie pour croire que le message que nous avons reçu provient du téléphone de notre ami. Si notre téléphone affiche la photo et le nom de notre ami, c'est qu'il doit bien s'agir de lui. D'une certaine manière, nous avons raison de penser que la technologie GSM est difficile à pirater.
Mais si nous recevons un courriel de ce même ami, avec le même contenu, nous ne devrions pas accorder le même degré de confiance à ce message. Pourquoi ? Eh bien, la technologie du courrier électronique n'est pas aussi fiable que la technologie GSM ; du moins, pas encore. Il se peut qu'un hacker ait usurpé l'adresse électronique de notre ami ou utilisé un Punycode pour se faire passer pour lui. Même sans cela, il est probable que nous ne connaissions même pas l'adresse électronique de notre ami. La plupart du temps, la seule information que nous examinons est le nom complet de l'expéditeur, et non l'adresse électronique. Ce qui est stupide aux yeux des spécialistes de la cybersécurité ou des personnes ayant des connaissances en informatique. Avec un utilisateur lambda, il suffit d'évoquer le concept « simple » du nom de domaine pour l'avoir déjà perdu. Comme il n'y a pas de « permis » à passer pour surfer sur Internet et obtenir une boîte mail, nous ne pouvons supposer aucune connaissance informatique de base du côté de l'utilisateur. C'est normal. Nous devons donc fournir des services informatiques sûrs et fiables. La technologie du courrier électronique n'est pas encore sûre, mais elle peut le devenir. Elle doit le devenir. Des technologies comme l'anti-spoofing (anti-usurpation d'adresse IP), la vérification de domaine DNS, les protocoles SPF ou DKIM, existent depuis des années et ne sont toujours pas mises en œuvre et appliquées sur tous les serveurs de courrier électronique. Si elles l'étaient, nous pourrions faire autant confiance aux courriels qu'à nos SMS.
Ce serait un progrès énorme. Néanmoins, ces technologies ne feraient pas disparaître complètement le phishing. Les criminels pourraient toujours créer de nouveaux domaines similaires, détourner des comptes de courrier électronique existants ou utiliser différents prétextes. C'est là que les humains doivent être plus vigilants.
Hypervigilance
Le problème est que, même si nous aimerions que les gens soient des « pare-feux humains », ils n'ont pas été engagés à cette fin. Nous attendons d'eux qu'ils fassent leur travail : faire des études, de la recherche, soigner les gens, gérer les finances ou les systèmes informatiques. Le fait d'être vigilant en permanence est appelé hypervigilance. Elle est souvent le résultat d'un événement traumatisant, mais surtout la cause sous-jacente de pathologies. Être vigilant requiert de l'énergie supplémentaire. C'est stressant. Si nous faisions attention à chacun des 150 à 500 courriels que nous pouvons recevoir quotidiennement, nous y passerions des heures chaque jour. Et, plus important encore, nous serions épuisés. Ce n'est pas une bonne idée. Que faire alors ?
Coups de pouce
Nous devons faciliter la détection du phishing. De nombreuses petites modifications peuvent être apportées pour aider les utilisateurs. La facilité d'utilisation doit s'appliquer aux dispositifs de sécurité également. Par exemple, nous pouvons rendre l'adresse électronique visible si le contact nous est inconnu, ou s'il provient de l'extérieur de notre organisation. Cela permettra de repérer les domaines qui se ressemblent ou le changement soudain de l'adresse électronique de notre ami. Nous pouvons marquer les courriels suspects, mais seulement lorsque nous sommes sûrs qu'ils sont suspects. En dessous de 80 %, voire 90 % de précision, les utilisateurs semblent ignorer les informations provenant des systèmes automatisés (Chen et al., 2018).
N'oublions pas de changer régulièrement le signal d'avertissement pour éviter l'accoutumance. Lorsqu'un signal d'avertissement est répété trop souvent, nous avons tendance à l'ignorer (Brinton Anderson et al., 2016). C'est comme quand on s'habille. Nous sentons nos vêtements sur notre peau pendant quelques minutes, ou quelques secondes, puis nous en faisons abstraction et nous n'y pensons plus. En changeant le signal, nous recommençons à y prêter attention.
Apprendre dans le contexte
Cela suffira-t-il ? Probablement pas. Nous devons maintenant former nos utilisateurs à repérer une tentative phishing par mail. En tout premier lieu, nous devons parvenir à ce qu'ils réfléchissent avant de cliquer. Pour certains d'entre nous, la lecture du courrier électronique est devenue une habitude. Nous parcourons nos courriels d'un seul coup d'œil. Nous apercevons un mot lié à quelque chose que nous attendons et cela déclenche une réaction automatique : nous cliquons. Selon certains experts, le phishing est une question d'influence. Mais ce serait ignorer que tout événement social se produit dans un contexte. Le contexte définit la manière dont nous allons réagir. Quand on conduit une voiture, on freine avec le pied droit. Lorsque nous sommes à vélo, nous utilisons nos mains pour faire la même chose. Nous n'avons pas à y penser, le contexte conditionne nos réflexes. C'est pourquoi nous devons former les gens en contexte. Nous n'avons pas appris à conduire une voiture en lisant un livre. Nous n'avons pas non plus appris à nager en restant au bord de la piscine. Les livres ou notre professeur nous ont enseigné la théorie.
Ensuite, nous avons dû nous asseoir à la place du conducteur ou sauter dans la piscine pour acquérir les compétences requises. Pour les exercices de phishing, c'est la même chose. Ils constituent une sorte de vaccin. Ils permettent à nos utilisateurs de reconnaître les e-mails de phishing sans rencontrer le danger inhérent à une véritable attaque de phishing. Les e-mails de phishing sont de différents types, comme la grippe. Nous devons nous entraîner avec tous ces types pour être sûrs de pouvoir détecter et combattre ce que les criminels nous enverront. Comme pour toute formation, elle doit fournir un feed-back rapide aux utilisateurs lorsqu'ils détectent un courriel de phishing. Cela les aidera à s'améliorer. Elle doit également être progressive et adaptée aux gens. Un e-mail de phishing concernant les résultats d'examens fonctionnera probablement auprès des étudiants quelques semaines par an. Il ne fonctionnera normalement pas avec les personnes travaillant dans les services financiers (voir Goel et al., 2017, à ce sujet). Le contexte est essentiel.
On n'obtient rien avec des reproches
Nous devons veiller à être positifs face au phishing. Blâmer les utilisateurs pour quelque chose qu'ils pourraient faire par accident n'aidera pas. Pire, cela pourrait augmenter la charge de travail de notre service d'assistance ou de notre SOC (centre des opérations de sécurité). Les utilisateurs pourraient en venir à signaler tout e-mail suspect, spam, escroquerie ou même communications internes pour ne pas commettre d'erreur. Nous ferions alors peser une charge inutile sur notre première ligne d'assistance. Nous devons rendre les utilisateurs prudents, pas paranoïaques.
Les exercices de phishing ne servent pas seulement à la formation, ils permettent également de maintenir la vigilance de nos utilisateurs. De même que les rappels de vaccin sont nécessaires, nous devons répéter les exercices de phishing. D'expérience, une fréquence mensuelle est idéale. Cela permet aux gens d'être conscients et attentifs et ne prend que quelques secondes de leur temps. Ce n'est pas un prix élevé à payer pour éviter de perdre notre réseau, notre travail de recherche ou de l'argent.
Une voie à suivre
La recherche sur le phishing n'en est qu'à ses débuts. Nous commençons à mieux comprendre son fonctionnement, ce qui nous pousse à cliquer et la façon dont nous pouvons nous améliorer. Pourtant, nous sommes certains de bien peu de choses. Nous faisons de notre mieux jusqu'à présent en réduisant l'exposition, en facilitant la détection et en formant nos utilisateurs. C'est un travail collectif, car tous ces changements nécessitent l'implication de différentes équipes, voire de différentes entités. Nous avons tous notre part à faire, et quand nous le faisons, nous réussissons.
À propos de l'auteur
Emmanuel Nicaise est consultant en cybersécurité chez Approach et chercheur à l'ULB (Bruxelles). Avec plus de 25 ans d'expérience en informatique et en cybersécurité et un master en psychologie, il encourage la cybersécurité dans les organisations qui utilisent la psychologie et les neurosciences. Il poursuit actuellement un doctorat en psychologie sociale, axé sur la confiance et la vigilance dans une société numérique. Le phishing est actuellement son principal domaine de recherche.
Références
- Bonnie Brinton Anderson, Anthony Vance, C. Brock Kirwan, Jeffrey L. Jenkins & David Eargle (2016) From Warning to Wallpaper: Why the Brain Habituates to Security Warnings and What Can Be Done About It, Journal of Management Information Systems, 33:3, 713-743
- Jing Chen , Scott Mishler , Bin Hu , Ninghui Li , Robert W. Proctor , The description-experience gap in the effect of warning reliability on user trust and performance in a phishing detection context , International Journal of Human-Computer Studies (2018), doi: 10.1016/j.ijhcs.2018.05.010
- Goel, S., Williams, K., & Dincelli, E. (2017). Got phished? Internet security and human vulnerability. Journal of the Association of Information Systems, 18(1), 22–44.
Lisez les autres contributions du GÉANT Cyber Security Month!