(Photo: 123RF)
Vous recevez un courriel de votre patron, qui vous demande de transférer rapidement un montant à un fournisseur. Vous cliquez sur le lien dans le message pour lire les détails. Trop tard, votre ordinateur est infecté.
Vous avez été victime d’hameçonnage (aussi appelée phishing), une tentative envoyée par des fraudeurs pour vous faire télécharger un fichier ou cliquer sur un lien malicieux.
«L’hameçonnage permet de réaliser une fraude en trompant la vigilance de l’utilisateur. C’est de l’ingénierie sociale qui permet d’ouvrir la première porte du réseau de l’entreprise», explique Karim Ganame, fondateur de StreamScan, qui se spécialise en sécurité opérationnelle.
Cette fraude est tellement courante qu’on la surnomme «fraude au président». Pour se faire passer pour le patron, le pirate pourra prendre le contrôle de son vrai compte, utiliser une adresse similaire, ou simplement créer un compte avec le prénom et le nom du patron dans une adresse Gmail.
Les employés en finance, en comptabilité et la haute direction sont particulièrement ciblés. Une fois en contrôle d’un compte, le pirate prendra le temps de l’observer le temps qu’il faut, question d’analyser le flot des courriels avant de créer un scénario d’attaque crédible. Il pourra ensuite attendre que l’employé soit en vacances pour frapper, question de retarder la découverte de la fraude.
Au cours des 3 derniers mois, M. Ganame constate une augmentation de l’hameçonnage qui utilise les services infonuagiques, particulièrement avec Office 365. «Les entreprises ont l’impression qu’elles sont mieux protégées en utilisant le ‘cloud’. Mais elles ne font qu’augmenter la surface d’attaque».
L’importance de la sensibilisation
Comme d’autres entreprises en sécurité informatique, StreamScan utilise les techniques des pirates pour tester les vulnérabilités de ses clients. Pour mettre en situation les employés, on pourra préparer une campagne d’hameçonnage fictive mais réaliste, pour voir s’ils mordent.
À partir de renseignements qui sont faciles à trouver sur les réseaux sociaux, on pourra par exemple envoyer un questionnaire de satisfaction aux employés qui ont participé à une activité sociale de l’entreprise.
Malgré la sensibilisation, l’envie de cliquer semble difficile à contrôler. «Il y a toujours quelqu’un qui va cliquer sur le lien», déplore M. Ganame.
Selon lui, pour que la sensibilisation soit efficace, la menace ne doit pas rester théorique. «Il faut que l’employé sache que si c’était vrai, la société aurait perdu 5000 dollars. La prochaine fois, il fera beaucoup plus attention».
Et les employés doivent rester vigilants: les pirates innovent constamment. «Il est difficile de décrire une attaque type. Chaque semaine, on découvre de nouveaux scénarios. Tous les cas se ressemblent, mais chacun est unique», explique M. Ganame.
L’hameçonnage en hausse
Selon l’outil d’analyse interactif Security Intelligence Report (SIR) de Microsoft, le nombre de courriels d’hameçonnage est en hausse. Le pourcentage de courriels d’hameçonnage est passé de 0,14% en janvier 2018 à 0,85% en juillet 2019. Une augmentation de 250%, qui semble indiquer que la technique continue de fonctionner, mais surtout, qu’elle reste profitable pour les pirates.
La situation est d’autant plus alarmante qu’en 2018, la firme de sécurité Cyberscout rapportait que près de 70% des incidents de sécurité gérés par leur entreprise étaient liés à l’erreur humaine: un lien sur lequel quelqu’un clique, un site malveillant visité par mégarde, un téléchargement. Et la plupart du temps, l’erreur venait d’un courriel d’hameçonnage.