Les attaques de spams sont désormais plus précises. Les récentes failles en matière de cybersécurité ont permis la capture de nombreuses données... et potentiellement plus d'arnaques. D'autant plus qu'en se focalisant sur l'individualisation des contenus, ils parviennent à tromper plus aisément.
Atlantico : Ces attaques semblent en recrudescence, est-ce avéré ? En quoi deviennent-elles plus "artisanales" ?
Franck DeCloquement : Chacun d’entre nous peut aisément le constater depuis quelques mois : les attaques par spams beaucoup mieux ciblés sont en nette augmentation. Suite aux différentes intrusions "cyber" chez les grands opérateurs de téléphonie mobile et les fournisseurs de services en ligne, de très nombreuses adresses web ont été captées frauduleusement ces dernières années. Pour autant, il ne s’en est pas suivi des actions de très grande envergure, touchant par exemple tout les ressortissants d’un pays ! Les prédateurs malveillants envoient bien au contraire, des e-mails "contrefaits" vers les boîtes de réception de leurs destinataires cibles, qui sont beaucoup mieux confectionnés qu’auparavant, et presque individualisés… Ceux-ci contiennent des liens dédiés vers une page de connexion souvent usurpée, à des cibles francophones plus restreintes ou choisies.
Des salves de l’ordre de 4000 à 5000 envois. Et ceci, malgré les filtres anti-spam sophistiqués d'aujourd'hui.
Ces "spammeurs" malveillants adoptent un type d'approche spécifique par actions sur des "petits lots", comme le rapporte une entreprise de sécurité informatique anglo-saxonne. Et ceci, dans l'espoir de percer les barrières des logiciels de blocage des courriers indésirables, mis en œuvre par les fournisseurs de services en ligne. Nous possédons tous des boites mail "Yahoo" ou "Gmail" qui relèguent ces spams très souvent présents dans les boites de réceptions, dans des dossiers "poubelles" dont nous n’avons probablement jamais vérifié le contenu… Contrairement aux anciennes pratiques d’arnaques classiques, nos boîtes mail ne sont plus obstruées par ces envois si mal formulés - qui déclenchaient bien souvent l’hilarité générale – proposant ici des pilules de Viagra ristournées, ou des escroqueries bancaires à la mode nigérienne, là-bas. Fort heureusement, les filtres "anti-spam" modernes bloquent à plus de 99,99 pour cent les messages indésirables ou détectés comme dangereux.
Pour autant, le recours aux spams à l’échelle mondiale reste un grand classique pour les arnaqueurs de tous poils. En effet, la proportion de ces courriers indésirables, piégés ou non sollicités représente environ 86 % du trafic de mail dans le monde, avec environ 400 milliards de messages spammés envoyés par jour selon l’une des divisions de recherche sur les menaces numériques du géant Cisco Systems. Les entreprises ont généralement mis en place de nombreuses solutions techniques pour assurer leur cybersécurité et celle de leurs clients. Elles optent aussi quasiment toutes (à 92%) pour une limitation des usages de leurs salariés en interne, incluant parfois un "filtrage web puissant" qui ne se révèle pourtant efficace qu'à la marge selon elles...
En conclusion, les spammeurs de nouvelle génération ont de beaux jours devant eux, puisqu’ils ciblent "beaucoup mieux" leurs victimes, et démontrent par la même occasion qu'ils sont beaucoup plus préoccupés par "la qualité" de leurs envois malveillants qu’auparavant. Le constat est confondant et le bilan peu rassurant. La réalité qui se fait jour est préoccupante… et la paranoïa des utilisateurs est à son comble, obligeant chacun de nous à quérir des explications plus circonstanciées et précises pour parer efficacement à des arnaques toujours plus sophistiquées.
Comment s'organisent ceux qui s'adonnent à ce type d'attaques et à quoi s'exposent-ils ?
Franck DeCloquement : Les explications potentielles et les modalités d’accès techniques qu’ont pu mettre à profit les agresseurs pour mener ce type d’actions malveillantes ciblées sont nombreuses. Dans le volet "français" qui a par exemple impacté "iTunes", les attaquants ont pu exploiter leur arnaque par e-mail piégés pendant plus d’une huitaine d’heures, avant que les filtres automatisés n’entrent en action et commencent à entamer leur travail de filtrage… Les agresseurs ont utilisé pour ce faire, des comptes de courriers électroniques hébergés par une petite société de cloud-computing Belge. Société qui n’était pas connue pour être "délinquante" sur les listings de repérage des menaces mondiales. Les spammeurs utilisent le plus souvent ces petits fournisseurs d'hébergement pour exécuter leurs plans machiavéliques, parce que ces entreprises manquent le plus souvent – cruellement – de procédures de contrôles en interne, pour attraper les fraudeurs, contrairement, par exemple aux géants du web comme Google ou Amazon.
Une technique récente et de plus en plus populaire, est connue dans l'industrie de la sécurité sous le doux nom de "raquettes spam". Un terme faisant référence ici aux petites traces informatiques que cette action laisse. Ceci diffère des attaques plus communes de "spear-phishing", et qui ciblent des personnes spécifiques via des messages personnalisés. Le montant des raquettes par usage de spams a plus que doublé dans les deux dernières années et représente aujourd'hui plus de 15 % de tous les messages indésirables distribués à l'échelle mondiale. Tous les experts du secteur de la cybersécurité s’accordent à dire que ces attaques par "usage de spams malveillants", constituent un problème majeur pour l’industrie des fournisseurs de services "anti-spam". Les dépenses mondiales dans le domaine des technologies de la cybersécurité devraient très vite dépasser les 83,6 milliards $ en 2015. Un record selon les spécialistes.
Comment se préserver du phishing par courriel ?
Franck DeCloquement : Le facteur humain est plus important que les solutions techniques pour faire face aux attaques informatiques. Celles-ci se multiplient dans les entreprises françaises et auprès des particuliers selon la dernière étude assez pessimiste du Club des experts de la sécurité de l’information et du numérique. Selon le dernier rapport en date, seules 19% des entreprises interrogées n'ont constaté aucune cyber attaque au cours de l'année… 33% des sondés en ayant recensé au moins dix à treize dans l’année…
Dés lors, il est très difficile pour les particuliers que nous sommes tous, de contre parer à des attaques informatiques de plus en plus sophistiquées, et qui se distinguent des grands classiques en la matière !
D’autant plus quand les messages proviennent d’entreprises de données d'hébergement situées en France, mais qui ne sont pas incluses sur les principales "listes noires" des hébergeurs identifiés comme "véreux". Et ceci, avant qu’une attaque d’envergure n’ait lieu et le mette en évidence… Ces spams malveillants beaucoup plus efficaces ne comprennent le plus souvent aucunes pièces jointes qui permettraient très rapidement d’analyser puis de détecter l’intrusion, afin de "marquer" ces mails comme malveillants.
L'industrie de la cyber-sécurité milite pour l'adoption de nouvelles mesures de protection qui pourraient protéger nos boîtes mails de ces envois pernicieux. Le "DMARC" est par exemple un registre mondial qui permet aux fournisseurs et aux hébergeurs de services de distinguer les sociétés d’envois de "mailing de masse" classiques, des "spammeurs" patentés prétendant être ces mêmes entreprises mais provenant en réalité d'une adresse non enregistré... Tout cela est très prometteur sur le papier, mais comme avec plupart des solutions innovantes proposées, cela oblige aussi tout le monde à se mettre d’accord d’emblée. Ce qui n’est pas une mince affaire dans les faits, et risque de s’avérer très coûteux et chronophage à mettre en place.
Les nouveaux usages du numérique posent des défis inédits en matière de cybersécurité. La dernière étude du CESIN (Le Club des experts de la sécurité de l’information et du numérique) qui a été menée par Opinionway du 8 au 22 décembre auprès de 125 membres de cette organisation et responsables de la sécurité informatique de leur entreprise, montre que l’utilisation de serveurs extérieurs "cloud" en particulier, inquiète très fortement une bonne moitié des professionnels du secteur, pour des raisons de confidentialité des données. Et ceci même si 85% des entreprises s'en servent activement... Pas de solution miracle en vue !
Comment repérer les arnaques via les téléphones portables (SMS, appels en absence) ?
Franck DeCloquement : Comme chacun le sait, il est toujours très difficile "d’authentifier" à coup sûr un appel entrant qui se présente comme un numéro de téléphone classique. Et quand bien même, il est extrêmement difficile pour un particulier de le prouver ou de remonter jusqu’au commanditaire véritable. Voire impossible dans la majeure partie des cas.
Les buts et les effets finaux recherchés peuvent être multiples : surfacturation de services non souscrits, intrusion dans le répertoire mobile de la cible via l’activation ou le téléchargement d’un virus, etc… La liste peut-être longue. Quoi qu’il en soit, ce manque de filtration manifeste des appels malveillants jette l’opprobre sur le degré de sécurité des télécommunications et le mode de contrôle qu’offrent les fournisseurs de téléphonie mobile sur ces actions intrusives, dans l’esprit du grand public… Les entreprises se sentent particulièrement exposées face au vol de données personnelles ou de fuites d'informations stratégiques, quand bien même l'attaque la plus fréquente est la demande de rançon dont elles sont 61% à avoir été victimes. Les trois quarts (76%) s'attendent à une intensification des attaques cette année indique le rapport du Club des experts de la sécurité de l’information et du numérique. Les salariés sont jugés trop peu sensibilisés aux cyber-risques (pas assez à 41%), et très peu enclins à respecter scrupuleusement les recommandations de leur service de sécurité informatique interne (à 52%).
En définitive, les moyens techniques alloués à la cybersécurité sont jugés très insuffisants à 58%. Tout comme les moyens humains à 69%. 47% des sondés envisagent d'augmenter très substantiellement les ressources dédiées à la cyber-sécurité, et 40% prévoient même de souscrire à terme une "cyber-assurance" (19% d’entre eux l'ont déjà fait). Les enjeux prioritaires à leurs yeux sont "humains" plus que "techniques" selon le sondage du CESIN. Tout le monde s’accorde sur le fait qu’il est urgent de donner toute son importance au processus de cybersécurité dans l'entreprise. Ce qui obligera chacun à travailler autour des nouveaux usages du numérique, par l’ensemble des employés et de l’encadrement des entreprises. Il en va de même pour les particuliers que nous sommes.
Concrètement, en France, quel est le risque encouru par ceux qui se lancent dans l'entreprise du spam, de l'arnaque ou du phishing ?
Olivier Roux : Il existe des sanctions pénales, prévues dans le code pénal pour lutter notamment contre les envois massifs et le non respect de la réglementation informatique des libertés qui concerne les données personnelles. les personnes morales encourent une sanction pénale du quintuple. La CNIL peut instruire un dossier à la suite d'une plainte et infliger des amendes. Il peut aussi y avoir à côté de l'amende, la sanction civile : l'octroi des dommages et intérêts, bien que cela soit plus aléatoire. Si quelqu'un reçoit des mails à répétition et s'il parvient à prouver en quoi cela lui porte préjudice, cela peut tout à fait s'imaginer. Et pour cause : l'envoi de messages non sollicités constitue une faute engageant la responsabilité civile de son auteur. Le code de la consommation reproduit le code des postes et des télécommunications, contient aussi des textes spécifiques sur le sujet de la prospection commerciale : la loi prévoit qu'il est possible de recevoir une sollicitation lorsqu'une vente a déjà été réalisée et pour des biens ou services analogues. Concrètement, si quelque chose a été acheté chez un commerçant (qui aurait récupéré des données de son client), il est en droit d'envoyer une sollicitation par courriel ou SMS. Sous réserve que la personne soit informée au moment de la collecte de ses données personnelles qu'elle sera susceptible d'être sollicitée et qu'il lui soit possible de se désinscrire à tout moment, ce qui doit être simple et gratuit. En revanche, si la sollicitation provient d'un inconnu, avec qui il n'y a pas eu la moindre relation, ce n'est pas autorisé. Il existe, à cet objet, un dispositif gratuit d'alerte SMS et d'alerte antispams : au 33700 et http://www.signal-spam.fr.
Le phishing ou "scam", encore plus que le spam, relève du pénal. Au-delà des sollicitations non-autorisées, c'est une pratique d'escroquerie. Cela consiste à utiliser une fausse qualité, des moyens pour se présenter faussement, faire croire à l'authenticité d'une personne (banque, administration...), en vue de récupérer une somme d'argent. L'escroquerie est délit voisin du vol. Le spam, qui constitue une infraction en tant que tel, ne vise pas à voler. A ce titre-là, il ne s'agit pas d'une escroquerie. On peut signaler les phishing sur la plate-forme "PHAROS" qui est accessible sur le site www.internet-signalement.gouv.fr. Le signalement est traité par un service de police judiciaire spécialisé dans ces questions. Les signalements sur la plateforme PHAROS sont, après vérification, orientés vers un service d'enquête. Une enquête pénale peut être ouverte, sous l'autorité du procureur de la République. PHAROS reçoit chaque année plusieurs dizaines de milliers de signalements.
Source : Atlantico.fr
Informations complémentaires :
