[Episode 2/3] La coupe du monde 2018 pourrait-elle mettre en danger vos données ?


Il y a quelques jours, la France décrochait sa deuxième étoile !

Un évènement mondial riche en suspens et… en cybermenaces ! Car pour les cyberattaquants, un tel évènement sportif est un excellent moyen « d’appâter » des proies.

Partager l’article :

Si la Coupe du monde 2018 de football nous a tenus en haleine pendant plus d’un mois, elle est aussi un excellent prétexte pour les cyberattaquants. Selon le Kremlin, 25 millions de cyberattaques auraient ciblé la Russie pendant la Coupe du monde 2018.

Dans le précédent épisode (ouvre un nouvel onglet), nous avons introduit le concept du spear-phishing, il est maintenant temps d’aborder le cas pratique* : créer un e-mail de spear-phishing contextualisé à la Coupe du Monde de Football 2018.

Dans cette étude de cas, notre but est de récupérer les identifiants et mots de passe des collaborateurs de l’entreprise XYZ. Pour cela, nous allons utiliser une démarche en trois grandes parties.

Qu'est-ce que le spear-phishing ?

À partir d’informations disponibles en sources ouvertes (site web de l’entreprise, réseaux sociaux, partenariats, journaux, etc…), nous allons collecter le plus d’informations possible.

Ces dernières peuvent être organisationnelles (organigrammes, fiches de postes, nom des collaborateurs, noms de projets etc…), techniques (adresses IP, solutions techniques utilisées, etc..), ou même géographiques (par exemple le nom du restaurant situé à côté de l’entreprise ciblée).

L’exploitation d’informations issues de sources librement accessibles à des fins de renseignement est appelée Open Source Intelligence (OSINT).

Étape 1 : trouver les noms et adresses e-mail des collaborateurs

Il est extrêmement simple de constituer une liste de collaborateurs d’une société car à l’heure du tout numérique, la plupart d’entre nous ont un compte LinkedIn, Viadeo, etc…

Par exemple, sur LinkedIn, en tapant le nom d’une société dans le moteur de recherche, une liste de potentiels collaborateurs s’affiche.

Muni de ces noms et prénoms, il suffit de reconstituer les adresses e-mails, qui suivent toujours une convention de nommage classique : prénom.nom@entreprise.com, p.nom@entreprise.com etc… Pour connaître la convention de nommage de l’entreprise ciblée, nous pouvons, par exemple, faire appel à Google (en utilisant des recherches comme «*.*@entreprise.com ») ou à certains sites qui référencent les adresses e-mail disponibles sur internet, et donc les formats utilisés. D’autres outils d’OSINT permettent d’automatiser cette recherche, par exemple Maltego, ou The Harvester.

Comment rechercher des adresses email ?

Étape 2 : définir le sujet pertinent pour la cible

Pour fonctionner, le sujet de la campagne de spear-phishing doit être adapté à la population ciblée :

  • Si la population ciblée comporte plusieurs utilisateurs, il faut choisir un sujet susceptible d’en toucher le maximum,
  • Si seul un utilisateur est ciblé, il est possible de choisir un sujet plus précis et adapté. Par exemple, cela pourrait être un e-mail de facturation d’un sous-traitant réel de l’entreprise, envoyé aux collaborateurs du service comptabilité. Il est aussi possible de choisir un axe plus personnel, certains outils d’OSINT permettent d’automatiser la recherche d’information sur les réseaux sociaux, ce qui peut permettre de lister les centres ou lieux d’intérêt d’une cible.

Dans notre étude de cas, nous avons choisi un sujet provoquant l’engouement général : la Coupe du monde de football, car il va potentiellement toucher l’ensemble des utilisateurs de l’entreprise XYZ.

Construction

Une fois toutes ces informations collectées, nous pouvons construire le scénario et l’e-mail de spear-phishing contextualisé pour l’entreprise XYZ.

Étape 3 : choisir une stratégie d’approche

Plusieurs possibilités pour que le spear-phishing soit efficient :

  1. Appâter la cible avec un gain / une offre

Exemple : un iPhone X gratuit pour les 100 premières personnes qui cliqueront sur le lien ci-dessous.

  1. Susciter un sentiment de panique

Exemple : votre compte Outlook a été bloqué suite à de nombreuses tentatives de connexion, veuillez suivre la procédure en PJ, sinon votre compte sera supprimé dans 24h.

  1. Utiliser l’engagement envers une cause

Exemple : si vous êtes dévoué à la cause animale, vous serez plus à même de cliquer sur un lien vers une pétition contre les violences animales.

 

Dans notre cas, nous avons choisi un sujet qui a une forte probabilité d’intéresser la cible, couplé à l’appât du gain.

 

Le gain n’est pas nécessairement élevé, d’ailleurs, il ne devrait pas l’être, car plus il semble important, plus le bon sens et les soupçons de l’utilisateur seront éveillés.

 

Pour un spear-phishing efficient, nous avons opté pour un e-mail provenant du CE ou de l’équipe de communication interne, avec un gain adapté à notre sujet et au contexte (un ballon, un maillot, etc…).

Étape 4 : définir le type d’action malveillante

Afin de récupérer des informations sensibles, ou d’infecter le poste de travail, plusieurs possibilités :

  • Inclure une pièce-jointe malveillante, que l’utilisateur devra ouvrir,
  • Inclure une URL, qui pointe vers un site permettant de récupérer des informations, d’exploiter une vulnérabilité du navigateur, ou qui téléchargera un fichier malveillant sur le poste de l’utilisateur,
    • Demander à la personne d’effectuer une action (souvent liée à son poste, par exemple un changement d’IBAN pour un collaborateur du service financier).

Sachant que notre objectif est de récupérer des identifiants, nous choisissons d’inclure une URL, qui redirigera l’utilisateur vers un site que nous maîtrisons.

Ainsi, nous allons :

  • Demander aux utilisateurs ciblés de cliquer sur le lien afin de se connecter à l’intranet et de pouvoir gagner un maillot de l’équipe de France,
  • Les rediriger vers une mire d’authentification qui ressemblera trait pour trait à un site légitime,
  • Récupérer les identifiants entrés.

Étape 5 : améliorer la vraisemblance de l’e-mail

Certains éléments facilitent la détection, par l’utilisateur, du spear-phishing :

  • Expéditeur suspect ou inconnu,
  • Absence de personnalisation,
  • Absence ou manque de contexte,
  • Fautes d’orthographe / de syntaxe,
  • Esthétique / disposition suspecte,

Selon une étude portant sur la prédisposition d’un utilisateur à cliquer sur un lien frauduleux en fonction de diverses variables (Unpacking Spear Phishing Susceptibility – Benenson, Gassmann, Landwirth), plus de 50% des utilisateurs ont déclaré ne pas avoir cliqué car l’expéditeur était inconnu. À l’inverse, seuls 4% ont porté attention au lien.

En général, les utilisateurs conscients de la présence de phishing, détectent facilement les tentatives de phishing triviales, comme celle ci-dessous.

Exemple d'un email de phishing

Dans notre spear-phishing fictif, nous allons donc attacher de l’importance à ces critères et à la personnalisation : le nom d’un collaborateur faisant partie de l’équipe communication ou même un simple logo de l’entreprise ciblée peut suffire à mettre en confiance l’utilisateur.

Étape 6 : utiliser un nom de domaine plausible

Comme nous avons choisi le scénario incluant une URL dans l’e-mail, un site illégitime doit être créé. Le nom de domaine utilisé sera proche du nom de domaine légitime.

C’est ce que l’on appelle le typosquatting.

Utiliser un nom de domaine plausible pour le phishing

Autre exemple de typosquatting possible : l’encodage dans un autre alphabet que l’alphabet latin. Récemment, des tentatives de phishing usurpant le nom d’Air-France ont eu lieu. Nous pouvons observer, ci-dessous, un point sous le caractère a. C’est un caractère vietnamien, encodé en VISCII, et non un « a » classique, afin de duper l’utilisateur.

Tentative de phishing en usurpant la marque Air France

Ce site illégitime pourrait même utiliser le protocole HTTPS, ce qui augmentera la confiance de l’utilisateur.

En effet, il est souvent fait mention, dans les conseils pour les utilisateurs, de vérifier le « cadenas vert », ce qui est vrai pour s’assurer de la confidentialité d’une transaction sur un site de e-commerce mais qui ne devrait pas être un élément de détection d’un phishing.

Un attaquant peut tout à fait créer un certificat pour son site illégitime en utilisant, par exemple, Let’s Encrypt, autorité de certification proposant des certificats gratuits.

Choisir le bon canal de diffusion pour le phishing

Étape 7 : Choisir le canal de diffusion

Lorsque l’on parle de spear-phishing, on pense directement à l’e-mail, mais ce n’est pas le seul canal !

On pourrait également utiliser l’appel vocal (vishing), le SMS (smishing) ou les réseaux sociaux.

En effet, selon la cible l’un ou l’autre aura plus d’effet. On observe, dans l’étude Unpacking Spear Phishing Susceptibility, que sur un panel d’étudiants le taux de succès d’un spear-phishing envoyé par e-mail est de 20% contre 42.5% pour celui transmis via Facebook.

Autre réseau utilisé : Twitter. John Seymour et Philip Tully, deux chercheurs, ont développé un outil, SNAP_R, permettant de générer du spear-phishing sur Twitter. L’outil se base sur différents paramètres (les fréquences et heures des tweets de la cible, les sujets abordés, etc.) pour générer un tweet, contenant un lien potentiellement malveillant, qui intéressera la cible.

Selon leurs tests, le taux de succès de ces phishing automatisés est d’environ 30%. Ce qui est moins que le taux d’un spear-phishing manuel, mais l’outil permettant de générer de nombreux spear-phishing en un temps très court pour un coût modique, le rend plus « rentable » que du spear-phishing manuel.

Exemple de tweet malveillant | Le Blog d'Orange Cyberdefense

L’heure et le jour d’envoi de l’e-mail peuvent également être déterminant : selon une étude menée par Wombat (State of the Phish – 2018), les e-mails suspects seraient moins signalés le vendredi, ce qui laisse à penser que les utilisateurs sont moins vigilants ce jour-là. Quant à l’heure, selon Proofpoint (The Human Factor 2017), nous serions plus vulnérables en début et fin de journée.

Statistiques concernant les clics sur des URL malveillantes

Étape 8 : usurper le nom de l’expéditeur

Pour rendre plus authentique notre e-mail, nous allons usurper l’adresse e-mail de l’expéditeur (spoofing), afin d’afficher une adresse e-mail appartenant à l’entreprise XYZ.

En fonction du canal de diffusion choisit, le spoofing prendra différentes formes :

 

  • Par e-mail, il suffit de disposer d’un serveur SMTP. Un autre moyen serait de louer un botnet (réseau d’ordinateurs infectés), pour une dizaine de dollars par heure (en fonction de la taille du botnet) et de s’en servir comme serveur mail.
  • Sur les réseaux sociaux, il est aisé de créer un profil usurpant l’identité d’une personne, en utilisant sa photo, ses informations etc…
  • Par SMS, l’un des scénarios de spoofing possible, détourne la fonctionnalité de reconnaissance de l’utilisateur. Démontré par Wandera, le nom du contact proposé par l’iPhone lorsque le numéro n’est pas présent dans les contacts, peut être usurpé et tromper l’utilisateur sur la provenance du message.
Exemple de phishing | Le Blog d'Orange Cyberdefense

Spear-phishing finalisé

Une fois ces étapes réalisées, l’attaque peut être lancée.

Exemple de spear-phishing fictif| Le Blog d'Orange Cyberdefense

Grâce à notre e-mail de spear-phishing fictif, nous avons collecté des identifiants. Ces derniers peuvent nous permettre d’accéder à des comptes de messagerie, de récupérer des informations sensibles à des fins d’intelligence économique, d’avoir accès à d’autres comptes en ligne (par rebond ou parce que bien souvent les mots de passe sont réutilisés), etc…

Le spear-phishing est souvent la porte d’entrée d’attaques ciblées, ayant des conséquences dévastatrices sur une entreprise.

Avec une forte simplicité de réalisation, et des impacts potentiellement critiques, le risque lié à une attaque de spear-phishing est particulièrement élevé, et ne doit pas être négligé.

Dans le prochain et dernier épisode, nous aborderons, les mesures à mettre en œuvre afin de se protéger de ce type d’attaque.

*Cet article a été rédigé à titre informatif et préventif uniquement. En aucun cas il n’incite à transgresser les lois. Selon l’Article 323-1 (ouvre un nouvel onglet) du Code pénal, « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende ».

Alice Colas, consultant chez Orange Cyberdefense

A propos du blogueur

Alice Colas est diplômée de l’Institut Mines-Telecom de Lille, où elle a suivi une spécialité en Sécurité des Systèmes d’Informations. Rattachée au pôle Conseil et Audit d’Orange Cyberdefense, Alice intervient sur des missions aussi bien fonctionnelles (audit, risques et gouvernance, sensibilisation)  que techniques (étude et choix de solutions techniques, analyste CSIRT…) pour le SI de gestion et le SI industriel.

Conseil & Audit

Nos experts accompagnent les entreprises dans leur stratégie de cybersécurité