Quand les cyber-délinquants se donnent les moyens de campagnes de phishing soignées

« Habituellement, les pages de phishingsont hébergées sur des sites Internet piratés. Ce n’est pas le cas ici, les adresses IP, les serveurs et les noms de domaines semblent loués et donc légitimes », explique Sébastien Gest, évangéliste chez Vade Secure, au sujet d’une vaste campagne de hameçonnage visant à collecter des coordonnées bancaires. Pour lui, « le coût de l’infrastructure engagée par les pirates semble très important, pouvant se chiffrer à quelques dizaines de milliers d’euros ». Au premier semestre, cette campagne aurait pesé pour 550 millions d’e-mails.

Le chiffre a de quoi impressionner. Rencontré en janvier dernier lors du Forum International de la Cybercriminalité, Sébastien Gest avancé le chiffre de 12 à 13 millions de courriels de phishing pour le mois de novembre 2017. A la même période, l’éditeur avait observé rien moins que 46 millions d’échantillons de maliciels uniques – en comptant toutefois les éventuelles variantes multiples et variées.

Georges Lotigier, patron de l’éditeur français, expliquait que la « quantité de pourriels – ou spams– classiques a considérablement chuté. Les cybercriminels se sont tournés vers des activités qu’ils jugent plus lucratives ». Ou des menaces à l’impact plus prononcé. Et cela recouvre donc le hameçonnage, mais aussi la distribution de rançongiciels. Mais pas uniquement.

Sébastien Gest s’attend – et il n’est pas le seul aujourd’hui – à ce que les maliciels de minage de crypto-deniers se multiplient. Car en définitive, pour lui, la médiatisation passée de multiples épisodes de ransomware a conduit une éducation prononcée des entreprises et des particuliers. Et globalement, les maliciels de minage de crypto-deniers peuvent mieux s’inscrire dans la durée. Même s’ils peuvent être à l’origine de « problématiques en cascade » dans les entreprises : disponibilité des systèmes pour les opérations de maintenance programmée, etc.

Mais ce n’est pour autant que le phishing classique serait à négliger. Car comme le souligne Sébastien Gest, il est réalisé avec un professionnalisme croissant. Les listes de réputation continuent d’être utilisées pour l’identifier, mais elles ne suffisent clairement plus. Les outils de Vade Secure vont donc plus loin, analysent les pages vers lesquelles les victimes potentielles sont censées être redirigées, en s’appuyant des modèles établis à partir d’apprentissage automatique.

Mais tout le monde n’exploite son propre serveur de messagerie en interne, et cela même de moins en moins. Vade Secure vient de lancer une offre pour Office 365 basée sur les API proposées par le service. Une part non négligeable des clients du français préfère jouer sur les déclarations MX des enregistrements DNS pour disposer d’un filtrage en amont des serveurs de messagerie en mode Cloud. Cela s’avérer pratique, notamment dans une perspective de gestion de la continuité de service.

Le recours aux API présente toutefois d’autres avantages, et en particulier celui de permettre de relancer des analyses sur les boîtes de messagerie et leur contenu lorsqu’un élément malicieux est détecté, de sorte à s’assurer qu’il n’est pas passé, au préalable, entre les mailles du filet.

Enfin, les équipes de Vade Secure ont conscience des limites du filtrage, aussi efficace soit-il : « on ne peut pas bloquer 100 % des menaces », concède Georges Lotigier. Pour lui, il convient d’accepter le risque, apprendre à vivre avec et, en conséquence, jouer aussi la carte de la formation et de la sensibilisation.

Le patron de l’éditeur évoque ainsi un partenariat avec PhishMe – récemment devenu Cofence, mais également un site Webd’aide à la prise de conscience. Il propose un simple test de reconnaissance de courriels de hameçonnage basé sur dix exemples bien réels. Le piège ? Après quelques succès, le visiteur peut se laisser à gagner en confiance ; la vigilance se relâche ; les résultats reculent. Surpris, Sébastien Gest indique d’ailleurs que « même des partenaires spécialistes de la cybersécurité se font piéger ».