Phishing : pourquoi le filtrage d’e-mail est indispensable, mais pas suffisant

Environ une dizaine d’entreprises du CAC40 semble utiliser les services de Proofpoint pour protéger la messagerie électronique. Ce choix n’est pas anodin, car il induit une double protection, entrante et sortante. De fait, les messages entrants passent au travers de filtres censés bloquer les pourriels relativement anodins, mais également ceux intégrant des pièces jointes malicieuses. Mais ce filtrage entrant, aussi efficace soit-il, n’est pas suffisant.

C’est d’autant plus vrai lorsque les campagnes de hameçonnage utilisent des services légitimes pour passer au travers des filtres de messagerie électronique. Fin juillet, Cofense a ainsi alerté sur une campagne de phishing visant à voler des identifiants Office 365… en s’appuyant sur une redirection mettant à profit les Google Ad Services pour berner les filtres de messagerie entrante.

En la matière, les cyberdélinquants ne manquent pas créativité. Il y a un peu plus d’un an, Cofense évoquait une campagne visant ses clients français et utilisant… des codes QR, à scanner avec son téléphone, et redirigeant vers la page malicieuse – un faux site SharePoint. Et il faut aussi compter avec les envois par WeTransfer – de fichiers HTML redirigeant vers un site malicieux –, les pages Google Docs piégées – comme vu avec TrickBot –, etc.

Proofpoint a compris la situation : sa solution réécrit les URL présentes dans les messages pour ajouter un filtrage en sortie et éviter qu’un utilisateur n’aille visiter une page malveillante. Mais là encore, ce n’est pas forcément suffisant : encore faut-il que l’URL correspondante soit connue de l’éditeur et intégrée à ses systèmes de filtrage. Et ironie de l’histoire, selon les captures de Cofense, c’est dans des environnements protégés par Proofpoint que certaines de ces menaces ont été observées.

Un filtrage DNS peut aider, de même qu’une passerelle de sécurisation des accès Web (SWG), avec ou sans déport de rendu Web. Fin 2018, Menlo, spécialiste du sujet, avait d’ailleurs fait son entrée dans le quadrant magique de Gartner pour les passerelles de sécurité Web. Fin 2019, les analystes du cabinet recommandaient d’ailleurs de combiner ces approches « la redirection DNS ou le proxy complet pour élever le niveau de sécurité global des entreprises ayant les besoins de sécurité les plus stricts ».

De nombreux acteurs ont pris la mesure des enjeux. VMware s’est associé récemment à Menlo à cette fin. McAfee s’est offert un spécialiste du déport de rendu Web fin février, pour l’intégrer à son offre de sécurité des extrémités cloud, baptisée Mvision Unified Cloud Edge.

Cette acquisition se devait d’être replacée dans une tendance, plus large, au développement de capacités de sécurité des accès aux extrémités : le concept de « sassy », ou SASE, pour secure access service edge. Et là, si le déport de rendu Web ne compte pas parmi les fonctionnalités clés de l’approche, le cabinet d’analystes le compte parmi celles qu’il recommande. Un terrain sur lequel Akamai, Cato Networks, Cisco, Cloudflare, Forcepoint, Fortinet, McAfee, Netskope, Palo Alto Networks, Proofpoint, Symantec, Versa, VMware et encore Zscaler se sont déjà engagés. Sans oublier, peut-être dans une moindre mesure, Infoblox.

Dans le courant de l’été, Forcepoint a d’ailleurs continué d’avancer dans cette direction, présentant un service cloud d’accès distant de type « zero trust », ou ZTNA, ainsi qu’une passerelle consolidant SWG, CASB et DLP, sa Cloud Security Gateway. Sans oublier le déport du rendu Web avec les outils d’Ericom.

Fortinet s’est également récemment engagé dans cette voie, avec le rachat d’Opaq Network, l’éditeur d’une solution de ZTNA. Fin juillet, Pulse Secure a annoncé le lancement de son propre service d’accès réseau sans confiance. Et il convient de ne pas oublier non plus le Français Systancia avec son offre Gate.

Mais le dernier rempart contre le hameçonnage est encore l’humain. Confense compte d’ailleurs parmi les leaders en la matière, lui qui s’appelait initialement PhishMe. Mais Proofpoint l’a bien compris aussi, comme l’illustrait le rachat de Wombat Security début 2018. Peu avant, Barracuda Networks s’offrait quant à lui PhishLine. Dans l’Hexagone, Conscio Technologies, spécialiste de la sensibilisation à la sécurité, a lancé, au début de l’été, la version 3 de son logiciel Sensiwave.