À l’heure où Facebook relance une campagne auprès de ses utilisateurs pour qu’ils activent la double authentification, Google de son côté souhaite privilégier le minimalisme au pays de l’expérience utilisateur, en rendant la sécurité la moins contraignante possible pour les utilisateurs. Peut-on espérer que ce choix permette à la recherche d’avancer sur les limitations des attaques de phishing et de spear phishing dans le cas d’une authentification à facteur unique ? Un avis d’expert de Sébastien Gest, Tech Evangelist chez Vade Secure, pour les lecteurs de Solutions Numériques.
La sécurité au service de l’expérience utilisateur : mythe ou réalité ? De plus en plus intégrées, des plateformes comme Google donnent accès à de nombreuses applications, outils en ligne, avec une seule authentification. Grâce à un protocole « Oauth », l’utilisateur peut s’authentifier sur des plateformes au travers de son compte Facebook, Twitter ou Google. Si en termes de fluidité d’acheminement, de temps de réponse, l’utilisateur bénéficie d’un processus quasiment transparent à son service, c’est malheureusement aussi une aubaine pour les pirates. Ceux-ci accèdent aux comptes utilisateurs, grâce à des attaques dites de phishing/spear phishing, peuvent plus facilement accéder à tous les outils et applications tierces utilisées par les entreprises (le fameux Shadow IT) et par les particuliers (Uber, Airbnb, etc.).
Si certains acteurs du numérique préfèrent adapter leurs solutions et plateformes aux exigences de sécurité quitte à empêcher quelques innovations ou fonctionnalités jugées trop risquées, d’autres inversent le paradigme : progresser de façon significative sur la sécurité pour qu’aucune innovation ou fonction numérique ne soit empêchée. C’est la raison qui explique que Google investisse à coups de millions pour ne pas renoncer à l’authentification unique et faire une lutte acharnée au vol d’identifiants. Ceci exige de l’innovation et l’intelligence artificielle semble y contribuer.
Google, premier sur l’IA ?
Google, pionnier en la matière, vient par exemple de dévoiler pour les utilisateurs en entreprise sur Gsuite des nouvelles fonctionnalités. La première est destinée à retarder la distribution d’un mail afin de laisser du temps à son analyse et pouvoir y repérer des URL suspectes. Une deuxième basée sur des solutions de Data Loss Prevention, déclenche une alerte à l’attention de l’utilisateur qui s’apprête à répondre à un mail qui se situe hors de la sphère de l’entreprise. Une autre bloque des pièces jointes potentiellement malveillantes.
Ces développements vont dans le sens des dernières déclarations. Encore au mois de mai, Google a en effet subi une attaque de phishing à forte viralité sur Google Docs via une invitation à ouvrir un document. Il déclarait alors « travailler désormais à bloquer toutes les attaques de ce type à l’avenir ». Il n’empêche que la vigilance reste de mise.
Le Phishing et le Spear Phishing : des attaques moins bruyantes, mais très destructrices
On a tendance a y prêter moins d’attention qu’à des attaques très visibles comme le ransomware (cf : Wannacry) ou le piratage de jouets connectés. Pourtant, le phishing est un modèle toujours aussi redoutable, qu’il convient d’avoir bien en tête.
Pour rappel, le phishing est envoyé en masse alors que le spear phishing ne cible qu’une seule personne ou un public précis de l’entreprise, à l’instar d’une assistante de direction, ou les collaborateurs du service financier. Là où le phishing espère tromper quelques centaines ou milliers de personnes en les renvoyant vers de faux sites web usurpant l’identité d’un organisme familier (Assurance maladie, opérateur électrique, etc.) en vue de récupérer des combinaisons d’identifiants – Login/mots de passe, numéros de cartes de crédit, numéro de sécurité sociale, etc – le spear phishing, lui, est concocté pour que la cible visée réalise une action très précise, dans un contexte précis. Par exemple, dans le cas de ce qu’on appelle communément la fraude au président, l’idée est de tromper la cible en se faisant passer pour le président de l’entreprise visée et de pousser la cible (le service financier le plus souvent) à passer un ordre de virement, qu’elle pensera légitime mais qui est en réalité frauduleux. Le phishing sert également de vecteur pour diffuser des malwares, le plus souvent des ransomwares (cryptolocker, CB Lock…), en invitant les utilisateurs à ouvrir une pièce jointe.
91% des intrusions impliquent l’email via le phishing, et les cas ne manquent pas. Nous citerons à titre d’illustration l’attaque ayant touché DocuSign, un malware envoyé grâce à une campagne de phishing, ou encore les campagnes électorales américaines et françaises. Le rapport Citizen Lab a fait état d’une campagne de phishing et de désinformation liée à la Russie utilisant les services de Google.
L’instinct de survie numérique, c’est bien aussi
Auparavant ce modus operandi de phishing et spear phishing servait à détourner des fonds, en se faisant passer pour un opérateur ou une administration, ces attaques se sont professionnalisées. L’espionnage et l’extorsion d’informations en sont aujourd’hui les principales ambitions.
C’est bien ce qui justifie qu’ils ne doivent pas être pris à la légère. Eduquer l’humain est indispensable et pour cela, qu’il soit acteur de sa sécurité y contribue fortement. Ceci participe de la vigilance collective. En revanche, qu’il soit conscient et alerté ne signifie pas l’impétueuse nécessité d’être assisté. Des outils existent, comme Isitphishing.org, un outil gratuit mis à disposition des marques et utilisateurs, basé sur un écosystème dédié, pour valider des URL avant de cliquer.
