(In)sécurité du courrier électronique
Le Business E-Mail Compromise (BEC) est l’une des formes d’attaque les plus dangereuses. Leur nombre augmente ainsi que les coûts associés. Une défense efficace n’est possible qu’en faisant interagir technologie, culture de sécurité et processus.
Depuis des décennies, les experts en cybersécurité s’efforcent de comprendre les tactiques des cybercriminels pour améliorer la protection des entreprises. Mais s’il est important de comprendre qui attaque et avec quelles méthodes, il faut aussi comprendre qui est attaqué. Et il s’avère que de plus en plus de cyberattaques sont dirigées contre des employés. Les méthodes peuvent différer –
phishing, spoofing, ou utilisation de logiciels malveillants et rançongiciels – mais les conséquences sont très similaires: atteinte à la réputation et pertes financières importantes pour l’entreprise cible.
Le Business E-Mail Compromise (BEC ou compromission de la messagerie en entreprise), également connu sous l’appellation «fraude au CEO», est l’une des formes d’attaque les plus dangereuses. , le BEC a déjà causé des pertes de 26 milliards de dollars dans le monde depuis 2016.
Vulnérabilité du courrier électronique
Les entreprises sont généralement confrontées à deux formes d’attaques de type BEC. La première consiste à usurper (falsifier) le nom de domaine légitime de l’entreprise permettant ainsi à l’attaquant de tromper son identité pour envoyer des e-mails frauduleux à l’apparence authentique. D’autres attaques BEC sont cependant encore plus dangereuses et passent par des comptes de messagerie d’entreprise légitimes auxquels le cybercriminel a pu accéder auparavant.
Profitant ainsi de la confiance accordée à une «adresse électronique réelle d’un collègue, d’un superviseur ou d’un partenaire commercial fiable», l’attaquant peut utiliser l’ingénierie sociale pour astucieusement manipuler l’employé visé afin qu’il réalise les actions souhaitées, généralement de nature financière. Il s’agira dans bien des cas de faire changer les conditions de paiement. La falsification de la correspondance électronique est également toujours plus courante, sa fréquence ayant sur un an. Ce type de fraude use souvent des abréviations RE: ou TR: dans l’objet du message
Employés vulnérables?
Malheureusement, les attaques de BEC ne sont plus des événements rares et isolés. , elles ont augmenté de 58% en un an.
Le risque d’être attaqué par ce biais diffère cependant selon son rôle dans l’entreprise. ont par exemple constaté qu’il existe une corrélation entre la fonction et la probabilité d’être attaqué. Contrairement à ce que l’on pourrait penser, les employés en bas de la hiérarchie sont les plus susceptibles d’être victimes de ces attaques.
Une protection forte
Une demande qui paraît légitime provenant d’un compte e-mail apparemment authentique est extrêmement difficile à identifier comme une cyberattaque. Une protection solide doit ainsi couvrir trois niveaux:
Les contrôles techniques, en particulier pour les comptes de courrier électronique et les comptes cloud. Il ne faut pas négliger l’importance des mots de passe uniques et forts et l’authentification à deux facteurs.
La formation, laquelle ne doit pas être occasionnelle ou sporadique, mais continue et complète, afin que chaque employé soit à tout moment conscient du danger encouru par l’entreprise.
La stratégie de défense doit être complétée par des lignes directrices fondées sur la compréhension que l’e-mail est un moyen de communication intrinsèquement peu sûr. Les instructions de paiement envoyées par courriel doivent toujours être confirmées par un second canal distinct.
Ce n’est qu’en combinant technologie, sensibilisation à la sécurité et processus que les entreprises peuvent se protéger contre les cyberattaques avancées.
____________________
Le BEC peut être mis en œuvre avec très peu de moyens techniques
Le Business E-Mail Compromise (BEC) est sournois. Contrairement aux e-mails de phishing classiques, les messages
sont ici minutieusement déguisés et trompent les employés encore et encore. Michael Heuer, VP DACH chez Proofpoint, explique pourquoi la «fraude au CEO» est si dangereuse.Interview: Oliver Schneider
Quelles sont les plus grandes menaces en matière de cybersécurité?
Il y a trois grandes tendances. Premièrement: le Business E-Mail Compromise (BEC), également connu sous le nom de fraude au CEO, se diversifie de plus en plus. Le FBI estime les pertes mondiales causées par le BEC à 26,2 milliards de dollars US entre juin 2016 et juillet 2019, et la tendance est à la hausse. Ce type d’attaque constitue une menace importante à cause de l’apparition de nouvelles variantes et surtout de l’augmentation de la compromission des comptes de messagerie (EAC), la véritable usurpation technique de l’identité. Deuxièmement: les comptes cloud – Office 365 et G-Suite – sont particulièrement ciblés par les cybercriminels. Nous l’avons analysé et notre enquête montre que 85% des entreprises ont été attaquées de cette manière au cours des six derniers mois. 45% signalent des comptes compromis. Une troisième tendance est la complexité croissante des attaques, qui se déroulent souvent en plusieurs étapes. Pour gérer le risque, il est donc essentiel d’identifier la cible des attaques.
Pourquoi la compromission de la messagerie en entreprise est-elle une pareille menace?
Du point de vue du cybercriminel, le BEC ne nécessite que peu de moyens techniques et il est relativement facile à mettre en œuvre. Mais en cas de succès cette pratique promet des profits élevés. D’autre part, un mail de BEC bien documenté, agrémenté d’une ingénierie sociale suffisante, est extrêmement difficile à distinguer d’un courriel légitime pour l’employé qui le reçoit. Tous les facteurs auxquels nous avons appris à prêter attention – expéditeur digne de confiance, pièces jointes douteuses, liens trompeurs – ne suscitent pas de soupçon. Dans les chaînes d’approvisionnement, correspondre avec les fournisseurs au sujet de paiements fait partie du quotidien. Dans cette masse d’e-mails, un employé aura d’autant plus de mal à démasquer un e-mail frauduleux.
Comment les cybercriminels procèdent-ils lorsqu'ils mènent des attaques de compromission de courrier électronique professionnel?
Une attaque BEC est généralement divisée en quatre phases. Tout d'abord, la recherche. Les attaquants BEC prennent généralement le temps d'identifier des individus spécifiques au sein de l'organisation. Ils collectent des informations provenant de diverses sources pour pouvoir envoyer des courriers électroniques absolument crédibles. Deuxièmement, l'initiation. Les attaquants BEC tentent souvent d'établir des relations avec ceux qui ont le pouvoir de décision en matière financière. Cette phase est généralement menée à l'aide de comptes de courrier électronique falsifiés ou compromis et elle peut prendre des jours, des semaines ou même des mois dans le but d’établir la confiance.Troisièmement, le piège. Dès que l'agresseur a compromis un ou plusieurs comptes et qu'il est convaincu que la victime les croit authentiques, il intervient. Dans la plupart des cas, on demande à la personne visée d'effectuer un virement bancaire ou de modifier les informations relatives à un paiement qui a déjà été libéré.Et la quatrième phase, la fraude proprement dite. Une fois que la victime est convaincue que la demande est authentique, elle transfère l'argent sur le compte du fraudeur. Le montant est généralement transféré rapidement, ce qui rend le recouvrement difficile une fois la supercherie détectée.
Comment le nom de domaine d’une entreprise peut-il être falsifié dans un courriel?
La communication par e-mail fonctionne via le protocole SMTP (Simple Mail Transfer Protocol). Ce protocole remonte aux débuts de l’Internet et a été développé sans considérations de sécurité et donc sans aucune possibilité d’authentification, d’où la plupart des problèmes actuels. Tout comme une lettre, un courriel est constitué d’une enveloppe qui contient les informations nécessaires à la livraison, sans être pour autant visibles par le destinataire. Un courriel contient aussi des informations comparables à un en-tête de lettre et le message lui-même. Normalement, les informations sur l’expéditeur – son adresse électronique et le nom affiché dans l’outil de messagerie – sont générées automatiquement dans l’enveloppe et l’en-tête, mais il est très facile de les falsifier. En outre, l’adresse de l’expéditeur figurant dans l’enveloppe ne doit pas nécessairement correspondre à celle de l’en-tête pour que l’envoi du courriel soit réussi. Le fait que le destinataire ne voit que l’adresse affichée dans l’en-tête rend la tromperie encore plus facile.
Pourquoi les collaborateurs se font-ils encore avoir par de faux expéditeurs de courrier électronique?
Les cybercriminels se sont beaucoup professionnalisés ces dernières années. Leur grammaire est correcte, il n’y pas de fautes de frappe et, comme je l’expliquais, les attaques sont souvent planifiées et font l’objet de recherches sur une longue période. De plus, en transférant les messages frauduleux, les cybercriminels renforcent encore la confiance. On aurait tort d'attribuer la pleine responsabilité à l'employé, lorsqu’il s’agit de communications avec des collègues ou des partenaires commerciaux dans la chaîne d’approvisionnement. La combinaison de solutions techniques et de processus clairement définis peut contribuer à réduire le risque. Par exemple, en demandant à l'employé de vérifier toutes les modifications apportées aux données bancaires via un autre canal (par téléphone, par exemple). Attention toutefois: le numéro indiqué dans le courrier électronique ne doit pas être utilisé, sans quoi l'utilisateur risque d’appeler le criminel. Au lieu de cela, il faut toujours composer le numéro officiel de l'entreprise pour établir la connexion.
Vous évoquez des mots de passe forts comme mesure de protection. Que peut-on faire d’autre sur le plan technique?
Sur le plan technique, je voudrais souligner deux points: la passerelle de courrier électronique (e-mail gateway) et l’authentification. La passerelle doit être capable de détecter les menaces BEC courantes en utilisant des approches dynamiques et algorithmiques pour vérifier la relation expéditeur-récepteur, la réputation du domaine et d’autres attributs. Cependant, l’authentification à l’aide de la norme DMARC, relativement récente mais qui domine déjà, est peut-être encore plus importante, en particulier dans la chaîne d’approvisionnement ou la communication client. La norme DMARC peut être utilisée pour s’assurer que les e-mails qui abusent d’un nom de domaine d’entreprise ne sont pas livrés aux destinataires.
Vous expliquez que le courrier électronique est un moyen de communication intrinsèquement peu sûr. Y a-t-il des alternatives à l’e-mail dans l'entreprise?
Au sein de l'entreprise, les plateformes de collaboration sont souvent déjà utilisées pour la communication, et elles remplacent en partie le courrier électronique. Toutefois, tant qu'aucune norme généralement acceptée n'est établie, c'est-à-dire une plate-forme de communication utilisée par tous les clients, toutes les entreprises, leurs partenaires commerciaux et les fournisseurs en amont, nous continuerons à utiliser le courrier électronique. Il est en revanche essentiel d'utiliser efficacement les technologies existantes, les processus et les formations ; c’est le trio de choc dans la défense contre les attaques cybercriminelles.
