Il y a presque 50 ans, Roy Tomlinson envoyait le premier email de l’histoire ; aujourd’hui, les emails sont devenus un outil omniprésent pour les communications, tant privées que professionnelles. L’ubiquité des emails en fait leur force, mais les rend aussi l’instrument de piratage le plus exploité par les hackeurs.
Aujourd’hui, 92% des cyber-incidents répertoriés impliquent un email. Avec une augmentation annuelle des cyber-attaques par email de 103% et plus de 12 milliards de dollars volés chaque année, tant les entreprises que les privés doivent correctement comprendre les différentes menaces et vecteurs d’attaque afin de mettre en place une défense adéquate et efficace.
Les escroqueries souvent très maladroites du début des années 2000, provenant de soi-disant princes nigériens, ont été remplacées par des fraudes plus professionnelles, ciblées et efficaces. On y voit notamment le vol d’accès aux comptes, le phishing, les escroqueries romantiques, les fraudes au président, le déploiement de logiciels malveillants et l’interception de contenus sensibles.
Le 30 avril 2015, un exécutif de Mattel recevait un email du nouveau CEO lui demandant de valider un transfert de $3 millions dans une banque chinoise en faveur de l’un des leurs fournisseurs. La requête semblait tout à fait légitime vu le nombre de transactions faites avec la Chine et le cadre en question avait toutes les autorisations pour valider et exécuter le transfert. Quelques heures après avoir suivi l‘instruction, il confirmait le transfert au CEO, mais ce dernier n’était au courant de rien. Il s’est avéré que le hackeur ayant usurpé l’identité du CEO avait bien investigué la compagnie afin de correctement imiter une instruction et l’envoyer à la bonne personne, au bon moment.
Cet exemple, parmi tant d’autres, illustre les dangers liés à l’utilisation des emails. Bien qu’il existe nombreux outils technologiques permettant de bloquer des attaques par email, un grand nombre d’emails malveillants ne peuvent être détectés que par des humains. Ci-dessous, nous parcourons les différents types d’attaques ainsi que les moyens pour se défendre.
Vol de compte email
Les boites email ne sont généralement protégées que par un mot de passe et, possiblement, un deuxième facteur. Lorsqu’un hackeur arrive à déjouer ces protections, il peut accéder au compte de sa victime et agir en son nom afin mener des attaques sur sa vie digitale. Nous parlons de « Email Account Compromise » (EAC) ou de « Business Email Compromise » (BEC).
Les criminels utilisent principalement trois méthodes afin de pirater un compte email. Premièrement, le vol du mot de passe : soit en créant un faux site web pour leurrer la victime à entrer son mot de passe, soit en infectant l’ordinateur de la victime afin de récupérer les mots de passe enregistrés. Deuxièmement, lorsque le même mot de passe est utilisé sur plusieurs services internet et l’un d’entre eux se fait pirater, le hackeur peut récupérer un mot de passe et l’utiliser pour s’authentifier sur d’autres plateformes ; c’est pour cela qu’il est essentiel d’avoir des mots de passe à usage unique. Finalement, si la victime utilise un mot de passe faible ou facilement devinable, il devient aisé pour le hackeur de pirater son compte.
L’attaque la plus fréquente, lorsqu’un hackeur prend le contrôle d’une boite email, est de l’utiliser pour approcher les contacts de la victime. Il peut lancer une attaque très basique, telle une demande d’argent urgente, ou infecter les cibles avec un malware. Alternativement, il peut analyser de près, parfois même en utilisant des algorithmes d’intelligence artificielle, les interlocuteurs fréquents et de confiance afin de monter une attaque les visant spécifiquement. En 2018, nous avons investigué le cas d’une petite fiduciaire genevoise où les hackeurs ont attendu plus de 6 mois, en lisant patiemment les échanges d’email, afin de choisir le moment optimal pour mener une attaque leur permettant de voler 2,3 millions de Francs suisses. Généralement, ces hackeurs maitrisent parfaitement les fonctionnalités des boites email : ils arrivent à maintenir une persistance même après que le mot de passe soit changé ; ils analysent le temps de réponse moyen dans les échanges ainsi que les interlocuteurs réguliers ; aussi, ils peuvent automatiquement effacer les emails d’intérêt puis les exfiltrer vers une autre boite email afin que le propriétaire de la boite email ne soit pas conscient des communications.
Les boites email sont régulièrement considérées comme une mine d’or pour les hackeurs. La grande majorité de notre vie en ligne, telle que les sites d’e-commerces, les réseaux sociaux, les abonnements en ligne, etc. sont tous liés à notre boite email. Lorsqu’un criminel y a accès, implicitement il récupère un accès à tous les comptes qui y sont liés. Ainsi, il suffit au hackeur de cliquer sur le bouton « oublié mon mot de passe » sur un site web pour qu’un email soit envoyé à l’adresse du compte, lui permettant ainsi de créer un nouveau mot de passe et finalement récupérer un accès au compte en question. Sur des sites de e-commerces comme eBay, Amazon, Galaxus, leshop, et coop.ch ils peuvent abuser de la carte de crédit enregistrée ; sur les sites de réseaux sociaux comme Facebook, LinkedIn, Instagram et TikTok ils peuvent faire des publications malveillantes vers des sites frauduleux ou dangereux ; sur les plateformes utilisées dans la vie professionnelle ou civile, ils peuvent détourner de l’argent ou même voler une identité.
Usurpation d’identité et typosquatting
Un email est, à de nombreux égards, très semblable à un courrier papier classique, notamment par rapport à l’adresse de l’expéditeur. Comme dans le monde réel, dans un email il est possible d’inscrire une adresse d’expédition de son choix. En théorie, rien ne m’empêcherait d’envoyer un email ayant l’adresse de provenance elon@tesla.com; il appartient au propriétaire du domaine tesla.com de configurer des restrictions et au destinataire de l’email de les vérifier, afin de s’assurer que l’expéditeur soit légitime. Pour protéger son nom de domaine contre ce genre d’attaque, il existe 3 standards qui fonctionnent conjointement : le Sender Policy Framework (SPF), le Domain Keys Identified Mail (DKIM) et le Domain-based Message Authentication, Reporting and Conformance (DMARC). Toutefois, afin de pouvoir jouir de cette protection, il faut correctement les configurer, ce qui n’est que très rarement fait, principalement dû à la difficulté d’un paramétrage correct. En Suisse, moins de 5% des banques ont correctement mis en place ces standards, bien que leur utilisation soit en phase de devenir obligatoire dans d’autres pays.
Ainsi, même sans hacker un compte email, un pirate peut abuser d’une identité en ligne si les précautions adéquates n’ont pas été prises. La compagnie d’assurance américaine Aetna, qui n’a eu aucune boite email interne corrompue, a constaté que 60 millions d’emails frauduleux prétendant venir de la compagnie ont été envoyés à leurs assurés ; grâce à leur configuration correcte du SPF, DMRAC et DKIM, aucun de ces emails n’est parvenu jusqu’à la boite aux lettres électronique des destinataires.
Lorsque les services de protection email sont bien configurés, les hackeurs se rabattent sur un autre type de piratage : le typosquatting. L’attaque consiste à acheter un domaine très similaire à celui de la victime : si le nom de domaine est entreprisesuisse.com un criminel pourrait acheter entreprisesuisse.ch ou entreprisessuisse.com, etc. En achetant un de ces noms de domaine, il pourra envoyer et recevoir des emails et tenter de tromper le destinataire en prétendant être une entreprise légitime.
En début d’année, une ONG genevoise nous a contactés à la suite d’un incident où l’un de leurs membres avait payé une facture à un compte bancaire frauduleux. À la fin de l’enquête, il s’est avéré que les hackeurs s’étaient procuré la liste des membres et une copie d’une facture authentique. Ils ont ensuite acheté un nom de domaine très similaire afin de renvoyer aux membres des factures avec des nouvelles coordonnées bancaires.
Auparavant focalisés sur les grandes entreprises, disposant d’un arsenal d’armes pour répondre rapidement aux menaces d’usurpation d’identité, les hackeurs ciblent désormais, avec ces techniques, les PME, qui sont peu préparées à faire face aux attaques, tant sur le plan technologique que financier.
Phishing et spear-phishing
Le phishing est une attaque d’ingénierie sociale ayant le but de convaincre le destinataire d’un email que l’expéditeur est digne de confiance. Ainsi, la victime leurrée consentira à exécuter une action qui pourra la compromettre. Les démarches les plus communes sont la transmission d’informations personnelles, l’envoi de mots de passe, la divulgation des numéros de carte de crédit et l’exécution de transferts. Ce type d’email vise quotidiennement nos boites aux lettres électroniques et est généralement bloqué par l’antispam (Email Security Gateway). Toutefois, les criminels testent et perfectionnent leurs emails d’attaque sur des plateformes comme Office 365 et Gmail afin de s’assurer qu’ils pourront passer entre les mailles du filet. Pour ce faire, les hackeurs inventent régulièrement de nouvelles techniques d’évasion telles que l’insertion de caractères spéciaux, l’utilisation de polices d’écriture non conventionnelles, l’affichage d’images pour remplacer du texte, etc. Néanmoins, la substance d’un email de phishing n’est généralement pas très élaborée et est souvent reconnaissable par son contenu générique (sans le nom du destinataire), des éléments alarmants (un billet d’avion qui va être annulé), une action demandant des informations sensibles ou financières (remplir un formulaire avec carte de crédit et mot de passe) et une notion d’urgence (dans un délai de 12 heures).
Le principe du phishing est de capitaliser sur la masse. L’email doit être envoyé à des millions de destinataires sans être bloqué par l’antispam. Malgré le texte très générique de l’email, il pourra correspondre à la réalité de certains des destinataires (comme une personne venant d’acheter un billet d’avion, en reprenant l’exemple au-dessus). On estime que 0.01% des phishings envoyés sont traités par la victime. Par exemple, dans un exercice de simulations de phishing avec les 13’000 employés d’une banque, une des campagnes consistait à envoyer un message indiquant que la carte de crédit du destinataire était volée, en précisant les 4 derniers numéros (choisis aléatoirement pour l’exercice). Malheureusement, un employé dans la banque ayant une carte finissant par ces numéros, s’est empressé de bloquer sa carte…
Les spear-phishing sont, quant à eux, plus sournois que les emails de phishing, car ils sont ciblés vers une personne spécifique. L’email malveillant prétendra provenir d’un service que la victime utilise réellement, incluant son vrai nom, des informations personnelles et une histoire très plausible. Ces emails sont beaucoup plus difficiles à reconnaitre, car ils sont personnalisés et envoyés à un moment stratégique. Les hackeurs prennent le temps d’effectuer une « enquête » et utilisent des informations publiques venant, par exemple, des réseaux sociaux ou des données volées dans des brèches afin de créer un email extrêmement réaliste. Bien que moins de 1% des attaques par email soient des spear-phishing, ils causent plus de 80% des pertes financières liées à des emails malveillants. Le groupe de hackeurs FIN7, par exemple, a dérobé plus de 100 banques et institutions financières en volant au total plus de 1 milliard d’euros à travers l’Europe grâce à des emails de spear-phishing.
Malware
Les emails sont également très souvent utilisés comme vecteur pour infecter l’ordinateur de la victime. En utilisant les méthodes décrites ci-dessus, le hackeur va convaincre l’utilisateur d’ouvrir une pièce jointe ou d’effectuer un téléchargement. Un document Word, un PDF ou un lien vers Google Drive peuvent suffire pour contaminer un ordinateur, voire toute une entreprise. Les documents que nous recevons par email ont la capacité d’exécuter du code et de communiquer avec l’extérieur. Les hackeurs utilisent ces fonctionnalités pour installer des ransomware, exfiltrer des données et compromettre les systèmes. La majorité des boites email ne bloquent qu’une fraction des pièces jointes potentiellement dangereuses ; les hackeurs contournent souvent les protections en hébergeant les documents sur des sites de partages communément utilisés tels que Dropbox, OneDrive, WeTransfer, etc. Une fois l’email reçu, il suffit d’un téléchargement ou d’une brève ouverture d’une pièce jointe malveillante pour qu’un système puisse être corrompu, sans qu’il n’y ait une notification inhabituelle ou un message d’alerte.
Ces attaques ne se limitent pas aux PC. Des pièces jointes malveillantes peuvent tout aussi bien infecter un Mac, iPhone, iPad, Android, etc.
Le groupe de cyber-mercenaires DeathStalker, qui a été identifié cet été, vise des établissements financiers et des études d’avocats, entre autres en Suisse, avec des emails contenant une pièce jointe malveillante leur permettant de prendre un contrôle complet de l’ordinateur cible sans que la victime ne s’en rende compte. Ce groupe de hackeurs est très particulier, car il ne demande pas de rançon ni ne vole de l’argent ; ainsi les victimes peuvent rester des mois, voire des années, infectées par l’attaque sans s’en apercevoir.
Escroquerie
Si un hackeur n’essaie pas de soutirer des informations ni d’infecter un ordinateur, il tentera probablement une escroquerie. Ces attaques visent autant les entreprises que les privés et sont souvent très bien construites et ciblées. Ils trouveront une personne déprimée sur Facebook pour se présenter comme un conjoint potentiel ; un chômeur sur LinkedIn sera utilisé dans une opération de blanchiment d’argent ; on proposera à une startup des grandes opportunités de croissance ; un retraité se fera séduire par un montage financier assurant son patrimoine ; une entreprise recevra une facture urgente, etc.. Toutes ces actions ont comme but de voler de l’argent. Nombre de ces escroqueries commencent sur les réseaux sociaux ou par téléphone ; les criminels essaient ensuite de se rabattre rapidement sur la technologie des emails, leur permettant plus de latitude dans leurs actions et moins de contrôle venant des plateformes.
Alors, comment se protéger ?
En sécurité il faut toujours avoir une approche technologique, organisationnelle et humaine afin de pouvoir se protéger, détecter et répondre à une attaque.
Des bons mots de passe, l’authentification forte et le monitoring constant de l’activité sur une boite email permettent de se prémunir efficacement contre le vol d’un compte.
Une configuration correcte des DNS, le blocage des noms de domaines semblables et la supervision des activités autour de tous les domaines internet de la compagnie, peuvent empêcher les usurpations d’identité. Il est aussi possible de mettre en place une alerte lorsqu’un expéditeur externe possède un nom similaire à celui d’un collaborateur ou lorsque c’est la première fois qu’un interlocuteur vous contacte.
Votre antispam doit bloquer les extensions malveillantes, exécuter dans une sandbox les pièces jointes, désamorcer les contenus exécutables et analyser tous les liens dans un email pour prévenir des infections et le vol d’informations sensibles.
Finalement, les employés doivent être sensibilisés afin de pouvoir repérer un email de phishing ou une escroquerie. Plusieurs fois par année, ils doivent être testés sur leurs capacités de reconnaissance de emails suspects. En cas de doute, il est toujours préférable de contacter l’expéditeur via un autre moyen que l’email, afin de valider la véracité de l’échange.
Il n’existe aujourd’hui pas de solution unique pouvant correctement lutter contre l’ampleur et la variété des attaques par email ; une combinaison de procédures préétablies, d’outils technologiques correctement configurés et d’utilisateurs avertis peut assurer à une entreprise de ne pas être la prochaine victime.
Steven Meyer, ZENDATA
Retrouvez l’article original sur le site de ZENDATA
