L’hameçonnage ciblé désigne une technique d'attaque dont l'utilisation s'est largement répandue ces dernières années. Comme le révèle notre nouvel article « FreeMilk : une campagne d’hameçonnage hautement ciblée », nos chercheurs de l'Unit 42 ont identifié une attaque qui franchit un nouveau cap dans l’hameçonnage ciblé en détournant des échanges d'e-mails en cours. Ces attaques touchent un nombre limité de victimes mais elles marquent la montée en puissance des techniques d’hameçonnage ciblé auxquelles les pirates informatiques ont recours, et montrent qu'il est plus important que jamais de mettre en place des mesures de prévention.
Les attaques d’hameçonnage classiques reposent sur des e-mails standards qui sont envoyés à un grand nombre d'utilisateurs. Elles ne sont pas personnalisées et utilisent des thèmes ou des appâts communs pour viser une cible suffisamment large. L’idée est qu’un pourcentage de ces e-mails malveillants soient suffisamment crédibles aux yeux de leurs destinataires pour que l'attaque puisse fonctionner.
La réussite des attaques d’hameçonnage classique s'appuie sur la loi des probabilités : cette tactique est plutôt logique lorsque les pirates s'intéressent davantage au nombre de personnes piégées qu'à leur profil.
La campagne Blank Slate, à laquelle nous avons consacré un article en mars 2017, est un bon exemple d’hameçonnage à grande échelle. Cette attaque était tellement généralisée que les pirates n'y avaient associé ni thème ni appât : ils se contentaient d'envoyer des e-mails vides accompagnés de pièces jointes malveillantes, en espérant que les destinataires les ouvrent.
L’hameçonnage ciblé est une technique plus élaborée, qui se concentre sur une cible définie. Au lieu d'avoir recours à des thèmes ou à des appâts standardisés, il s'emploie à proposer un contenu relativement pertinent ou adapté au destinataire visé. Par exemple, une attaque d’hameçonnage ciblé pourrait envoyer des e-mails portant sur des exercices militaires à des cibles dans le milieu militaire ou gouvernemental, comme ce fut le cas avec les attaques de type cheval de Troie CMSTAR que nous avons récemment étudiées. Dans la mesure où l'e-mail malveillant présente un lien avec le milieu dans lequel évolue la cible, celle-ci a tendance à ne pas se méfier et à ouvrir le message ainsi que les éventuelles pièces jointes associées.
Contrairement à l’hameçonnage classique qui privilégie la quantité, l’hameçonnage ciblé se concentre sur la qualité du thème ou de l'appât utilisé. Cette approche est pertinente lorsque les pirates s'intéressent au profil des personnes piégées. Les campagnes d'attaques classiques consistent à envoyer des e-mails malveillants à des milliers, voire à des dizaines de milliers de cibles alors que les campagnes d’hameçonnage ciblé peuvent viser un unique destinataire. Lorsque ce dernier est considéré comme une cible « de haute importance », l'attaque peut être qualifiée de « Whaling » (que l'on pourrait traduire par « pêche au gros poisson »).
La dernière recherche menée par notre Unit 42 a permis d'identifier une attaque d’hameçonnage ciblé encore plus élaborée. Plutôt que de simplement recourir à un thème ou à un appât qui soit pertinent aux yeux de la cible, les pirates s'introduisent dans les échanges d'e-mails entre deux utilisateurs pour mener leur attaque.
Le schéma 1 ci-dessous illustre le fonctionnement de ce type d'attaque.
Schéma 1 Détournement de discussion pour diffuser un programme malveillant
Le principe est le suivant : deux utilisateurs, que nous nommerons Alice (A) et Bob (B), discutent par e-mail. Charlie (C) est un pirate informatique, que l'on voit sur le premier schéma. Il perpétue une attaque qui lui permet de prendre totalement le contrôle du compte de messagerie d'Alice, probablement en volant ses identifiants de connexion. Après s'être introduit dans le compte de messagerie d'Alice, Charlie trouve des discussions entre Alice et Bob ; ce dernier est la cible finale. Charlie sélectionne ensuite une discussion en cours et prépare un e-mail malveillant que Bob est susceptible de trouver pertinent dans le cadre de cet échange d'e-mails ; il lui envoie (deuxième schéma). Si l'attaque de Charlie est suffisamment bien conçue, Bob ouvrira l'e-mail et les pièces jointes correspondantes ; l'attaque sera alors une réussite.
Contrairement à l’hameçonnage classique ou même à l’hameçonnage ciblé tel qu'il est le plus répandu, cette attaque est très étudiée, chronophage et s'appuie sur un ciblage précis. Pour fonctionner, les attaques d’hameçonnage ciblé par détournement de discussion supposent de connaitre une personne avec laquelle la cible finale communique par e-mail, de s'introduire dans le compte de messagerie de cette personne, d'identifier une discussion en cours avec la cible finale, de préparer un e-mail suffisamment pertinent au regard de cette conversation puis d'envoyer cet e-mail. Le résultat n'est toutefois pas garanti, car la cible peut s'apercevoir de l'attaque ou détenir des moyens de prévention suffisants pour l'empêcher d'aboutir.
Compte tenu de tous ces éléments, la plupart d'entre nous n'ont pas à s'inquiéter de ce type d'attaque. Toutefois, les personnes occupant un poste à responsabilité doivent être vigilantes, car leur profil peut en faire des cibles de choix. Que vous soyez membre de la direction d'une organisation,, PDG, directeur financier, responsable de la sécurité, ou encore si vous avez connaissance d'informations militaires ou politiques sensibles, que vous êtes journaliste ou militant, ce type d'attaque pourrait vous concerner un jour. Comme pour toutes les attaques ciblées, il est possible que vous soyez visé sans pour autant être la cible finale : cette tactique peut s'inscrire dans une campagne d'attaque de plus grande envergure. Par exemple, si vous êtes l'assistant d'un PDG, vous pourriez être visé par une attaque de ce genre (Bob sur le schéma ci-dessus) et seriez utilisé à votre tour pour perpétrer une attaque (« Alice » sur le schéma) à l'encontre de votre PDG (qui deviendrait alors « Bob » dans notre scénario).
Étant donné la nature de la menace, et à moins que vous n'ayez l'habitude de vérifier chacun des e-mails que vous recevez, il est très probable que vous ne puissiez pas identifier et déjouer l'attaque dont vous faites l'objet. Dans ce cas, la meilleure protection est encore la prévention : celle-ci est axée sur deux éléments majeurs.
Premièrement, vous devez vous assurer que vos systèmes et appareils sont actualisés en permanence, en effectuant les dernières mises à jour logicielles et de sécurité disponibles. L'attaque étudiée par les chercheurs de notre Unit 42 exploitait une faille de Microsoft Office, pour laquelle un correctif est pourtant disponible. Si un pirate visait une cible dont le logiciel est équipé de ce correctif, son attaque serait un échec.
Deuxièmement, il est possible de prévenir les attaques en protégeant vos systèmes, appareils et réseaux grâce à des solutions à plusieurs couches de protection.
La menace de l’hameçonnage ciblé par détournement de discussion ne concerne pas tout le monde ; mais pour les cibles potentielles, elle révèle la montée en puissance des attaques d’hameçonnage ciblé par leur complexité et leur capacité à s'introduire dans les échanges entre utilisateurs. Ces attaques franchissent également un nouveau cap en matière de crédibilité, car il devient quasiment impossible de faire la distinction entre un e-mail malveillant et un e-mail légitime. Les dispositifs de prévention technologique, tels que des correctifs et de puissantes mesures de sécurité, s'avèrent d'autant plus importants pour assurer une protection efficace.