À défaut de roulements de tambour, c’est avec des statistiques tonitruantes que Microsoft a lancé Cyber Signals, un état des lieux de la cybersécurité dans le monde que la firme américaine s’est engagée à publier trimestriellement. Il contient ce chiffre choc : Microsoft a intercepté l’année dernière près de 36 milliards d’e-mails malveillants à travers le monde. Autrement dit : en 2021, toutes les secondes, Microsoft a bloqué 1000 emails de phishing. Et non, hélas, il n’est pas question ici d’une bonne partie de pêche, mais bien d’une des cybermenaces les plus inquiétantes pour les entreprises… y compris la vôtre. Il n’est donc pas inutile de rappeler comment fonctionne le phishing et quelles mesures vous pouvez prendre pour vous en protéger.
36 milliards d’emails frauduleux
Le premier rapport Cyber Signals a compilé des données provenant de l’antivirus Microsoft Defender (inclus dans le bouquet de logiciels Microsoft 365 et d’Azure Active Directory pour établir ce premier bilan de cybersécurité. Plus précisément, celui-ci indique que Microsoft Defender a intercepté pas moins de 35,7 milliards d’e-mails malveillants et/ou de phishing l’année dernière. Ces e-mails étaient destinés à des collaborateurs d’entreprise et des particuliers.
On apprend également qu’un autre outil de cybersécurité de la firme, Defender for Endpoint, à bloqué quant à lui près de 10 milliards de tentatives d’attaques de logiciels malveillants, tandis qu’Azure Active Directory est parvenu à stopper 25,6 milliards de tentatives de compromission de comptes clients d’entreprises par force brute (dans cette technique de piratage, les hackers tentent de deviner des identifiants de connexion d’un compte pour pouvoir y accéder. Bien souvent, ces tentatives sont automatisées par des programmes qui essaient successivement de très nombreuses combinaisons, jusqu’à ce qu’ils trouvent la bonne).
Microsoft explique également qu’une grande partie de ces cyberattaques sont initiées par des armées de pirates aux ordres de puissances étrangères. Apparemment, ces groupes seraient de plus en plus actifs.
Et la firme de Redmond en profite pour pointer au passage la responsabilité des entreprises et des consommateurs qui continuent d’utiliser des mots de passe trop faibles dans un grand nombre de cas.
Qu’est-ce que le phishing ?
Le phishing est une technique d’ingénierie sociale, c’est-à-dire, une tentative d’escroquerie basée sur la tromperie et l’usurpation d’identité (« ingénierie sociale » implique que ce type de cybermenace est basée sur la manipulation des victimes).
Une attaque de phishing implique généralement l’envoi d’un e-mail imitant le plus fidèlement possible les e-mails d’une personne ou d’une organisation de confiance (banque, Paypal, réseau social ou autre). Bien souvent, ce faux e-mail contient un lien vers un faux site copiant le site réel de la personne ou de l’organisation de confiance.
Cette copie de site aura été préalablement créée intentionnellement pour amener le destinataire de l’e-mail à dévoiler ses identifiants de connexion (c’est-à-dire, ceux du site réel) à son insu. Le pirate pourra alors s’emparer de ces données et usurper l’identité de sa victime sur le site réel.
Dans une autre forme d’attaque, l’e-mail contient un fichier infecté par un logiciel malveillant qui s’installera discrètement sur l’ordinateur du destinataire lorsque celui-ci l’ouvrira.
Ce logiciel pourra être un keylogger, destiné à enregistrer les touches frappées sur le clavier. Les pirates pourront ainsi trouver les mots de passe et identifiants de connexion de la victime sur les sites qui les intéressent.
Mais il pourra aussi s’agir d’un rançongiciel (ou ransomware), un logiciel capable de chiffrer (brouiller) toutes ou certaines données informatiques de la société. L’entreprise devra alors payer une rançon aux hackers pour récupérer l’accès à ses données.
Phishing, spear phishing et whaling : quelle différence ?
Une attaque de phishing classique cible un grand nombre de personnes à la fois (songez à ces e-mails improbables provenant du Nigéria que vous avez peut-être déjà reçus et qui sollicitent votre aide pour récupérer une somme colossale en échange d’un pourcentage très intéressant).
Mais une autre forme de phishing, le spear phishing, ne prend pour cible qu’une seule personne. Il s’agit souvent d’un responsable ou d’une personne dotée de certaines prérogatives qui lui confèrent un accès à des comptes bancaires ou à des logiciels particuliers, par exemple.
Dans ce cas, les pirates se livrent à un gros travail de préparation. Ils collectent le plus d’informations possibles concernant leur victime pour confectionner le message le plus crédible possible.
Enfin, lorsqu’une attaque de phishing vise un cadre de haut niveau, on parle alors d’attaque de « whaling ».
Votre entreprise est-elle concernée par le phishing ?
Dans son rapport annuel dédié à la cybersécurité pour 2021, le spécialiste des réseaux Cisco indique que dans 86 % des organisations, au moins une personne aurait cliqué sur un lien inclus dans un e-mail de phishing. Dans le même rapport, on apprend que le phishing est responsable de 90 % des violations de données.
Une autre firme, Tessian, a calculé en 2021 que chaque année, les employés des entreprises recevaient en moyenne 14 e-mails malveillants. Cette société a aussi établi que les fichiers PDF étaient les plus couramment utilisés par les pirates en tant que pièce jointe des e-mails de phishing. Un fichier PDF peut contenir une portion de code JavaScript, par exemple, dont l’exécution se déclenchera à l’ouverture du fichier.
Les fichiers Microsoft Office sont aussi fréquemment utilisés. Ils peuvent contenir des macros qui s’exécutent à l’ouverture.
Comment reconnaître une tentative de phishing ?
Voici quelques indices pour vous permettre d’identifier un e-mail frauduleux :
- une orthographe et/ou une grammaire approximative dans un e-mail provenant prétendument d’une grande société. En principe, les grandes entreprises soignent leur communication ;
- un e-mail peu personnalisé : si l’e-mail ne comporte pas a minima votre nom de famille, méfiez-vous ;
- si l’e-mail contient un lien : survolez-le avec votre souris. Vous pourrez ainsi voir si l’adresse réelle de ce lien est bien celle qu’elle devrait être. Attention, vérifiez scrupuleusement l’intégralité du lien, y compris son extension. Les pirates les plus astucieux acquièrent des noms de domaine très similaires à celui qu’ils cherchent à copier ;
- Les messages contenant une notion d’alerte ou d’urgence : les hackers invoquent souvent des menaces de fermeture de compte, une date sur le point d’expirer, et d’autres stratagèmes impliquant un caractère d’urgence. Ils savent que ce type de message tend à endormir votre vigilance ;
- Un e-mail vous réclamant des renseignements confidentiels tels que des identifiants de connexion à un compte bancaire, ou un code de carte de crédit. En principe, les entreprises sérieuses ne vous demandent jamais ce type de renseignements ;
Comment se protéger contre les tentatives de phishing ?
De nos jours, toute entreprise, quelles que soient sa taille et sa localisation, est susceptible d’être victime de tentatives de phishing. Même à La Réunion ! Heureusement, il est possible de neutraliser la plupart de ces attaques grâce à des mesures simples :
- utilisez un logiciel de messagerie électronique incluant un antispam et un bon antivirus doté d’une protection contre le phishing ;
- n’envoyez jamais d’identifiants de connexion et de mot de passe dans vos e-mails ;
- formez votre personnel à éviter les pratiques à risque (connexion sur des sites ou des plateformes non validées par votre service informatique, envoi d’identifiants par e-mail, utilisation de smartphone ou de tablettes personnels peu sécurisés pour travailler) ;
- assurez-vous de sauvegarder régulièrement les données de votre entreprise. Vous devez disposer d’une sauvegarde sur au moins 2 supports différents. Un exemplaire doit être conservé à l’extérieur de l’entreprise ;
- installez les mises à jour de vos logiciels dès qu’elles sont disponibles afin de maintenir leur niveau de sécurité à son maximum ;
- veillez à ce que tout le monde au sein de l’entreprise utilise des mots de passe forts (au moins 8 caractères associant majuscules, minuscules, chiffres et caractères spéciaux). Chaque mot de passe ne devra être utilisé que sur un seul site et renouvelé régulièrement. Au besoin, utilisez un gestionnaire de mots de passe ;
- utilisez des mesures de sécurité avancée telle que l’authentification à deux facteurs et le chiffrement de bout en bout. Certaines messageries électroniques proposent ces fonctionnalités ;
- Tenez-vous constamment à jour en matière de cybersécurité pour développer votre vigilance.
À la Réunion, Stor Solutions est un partenaire reconnu de Microsoft, et propose à ce titre Microsoft 365, la solution de collaborativité intégrée et sécurisée favorite des entreprises du monde entier. Contactez-nous dès à présent et vous aussi, faites intercepter vos e-mails frauduleux par Microsoft Defender.
