Phishing réussi : les utilisateurs ne sont pas à blâmer

Selon un expert de la sensibilisation intervenant à RSA Conference, la semaine dernière, les utilisateurs piégés par du hameçonnage ciblé ne devraient pas être blâmés.

Selon un expert de la sensibilisation intervenant à RSA Conference, la semaine dernière, les utilisateurs piégés par du hameçonnage ciblé ne devraient pas être blâmés.

Ira Winkler, président de Secure Mentem, a ainsi relevé que l’humain ne représente que deux des dix points clés potentiels des attaques par phishing. Pour lui, celles-ci ne peuvent être réussies que si huit couches possibles de contrôles technologiques sont absentes ou échouent.

« Les attaques par hameçonnage représentent une combinaison d’échecs humains et technologiques », expliquait ainsi Winkler.

Avant que l’utilisateur ne soit confronté à un courriel malveillant, il existe en effet des opportunités de blocage de l’attaque, que ce soit au niveau du serveur recevant les e-mails ou de celui abritant les boîtes aux lettres. Là, il est possible de mettre en quarantaine ces messages, ou au moins leurs pièces jointes.

Certes, les annonces récentes de Blue Coat et de Check Point en la matière montrent que ces technologies continuent et doivent continuer d’évoluer. Mais elles sont disponibles. Et ce n’est finalement que lorsque ces technologies échouent – à compter qu’elles soient déployées – que l’utilisateur se trouve impliqué.

« Les utilisateurs n’échouent que si les technologies ont d’abord échoué, ou si les contrôles nécessaires n’ont pas été implémentés au niveau des serveurs de messagerie », a ainsi souligné Winkler.

Mais pour lui, si les utilisateurs ont été formés de manière appropriée à reconnaître et à signaler ces attaques par hameçonnage, celles-ci peuvent être bloquées à cette troisième étape.

Dès lors, selon Winkler, les programmes de sensibilisation des utilisateurs devraient être conçus pour assurer que ces derniers sont capables de reconnaître des attaques potentielles par phishing et savent comment les signaler.

« Mais la sensibilisation, comme toute contre-mesure, n’est pas parfaite et peut échouer, parce que même les personnes les plus intelligentes commettent des erreurs lorsqu’elles sont confrontées à un piège bien tendu », a alors expliqué Winkler.

Reste que lorsque l’utilisateur clique sur un lien malicieux dans un e-mail malveillant, tout n’est pas perdu : il existe des technologies pour alerter les utilisateurs sur des pièces jointes et des liens dangereux.

« L’utilisateur a l’opportunité de signaler les tentatives d’attaque pour permettre aux administrateurs d’effacer tout e-mail lié sur le serveur. Mais si un utilisateur décide d’ouvrir un message alors même qu’il est placé en quarantaine, le client de messagerie devrait être capable de prévenir l’exécution du code malicieux ».

Et là encore, même si l’exécution a lieu, il existe des recours : « le réseau peut être équipé de sorte à constituer une couche de défense. Il devrait être capable de prévenir les activités malicieuses, de bloquer les tentatives d’ouverture de session illicite ».

Winkler concède que, dans de nombreux cas, les programmes de sensibilisation ont besoin d’être améliorés. Mais selon lui, les entreprises doivent reconnaître que le succès des attaques par hameçonnage n’est dû uniquement à l’échec des utilisateurs : « les attaques par phishing sont inévitables, mais elles peuvent toujours être prévenues en plaçant des capacités technologiques de détection et de blocage dans chaque couche ».

Avec nos confrères de Computerweekly.com (groupe TechTarget)

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close