Si vous êtes un lecteur régulier de ce blog, je soupçonne que vous vivez dans un état de vigilance perpétuelle contre les attaques ciblées telles que les messages de d’hameçonnage – ou phishing. Vous savez que les messages urgents provenant d'adresses d'expéditeurs qui semblent étranges, surtout s'ils comprennent des pièces jointes ou des liens vers des sites externes, doivent être abordés avec une extrême prudence. Et pourtant, je soupçonne que vous recevez aussi un bon nombre de courriels qui proviennent en fait d'expéditeurs légitimes qui ne réalisent pas qu’ils paraissent incroyablement douteux
Ces messages ne proviennent que de novices en matière de sécurité. Des personnes et des organisations qui devraient définitivement mieux s’y connaître envoient aussi des messages qui préparent activement les destinataires à être victimes d'attaques malveillantes et ciblées. Les politiques de sécurité exigent une application cohérente pour réussir. Demander à vos utilisateurs de faire des exceptions - en particulier lorsque les règles pour savoir quand faire des exceptions sont à la fois tacites et nébuleuses - compromet sérieusement leur capacité à suivre des directives appropriées et axées sur la sécurité.
Examinons quelques caractéristiques communes des courriels d'hameçonnage :
- Le message lui-même arrive à l'improviste
- Le contenu du message semble inhabituel
- Il semble provenir d'une autorité ou cite une autorité
- Il provient d'un expéditeur différent de l'autorité susmentionnée
- Le texte suggère un SENS D'URGENCE!!!!!!
- Le message ne comprend aucune formule de salutation, ou une formule générique
- Le message ne comprend que peu ou pas d’explications
- Le message contient une pièce jointe ou un lien inhabituel ou inattendu.
Un courriel qui incluant ne serait-ce qu'un seul de ces éléments pourrait certainement susciter une certaine méfiance d'une personne soucieuse de sa sécurité. Et pourtant, je vois souvent des courriels légitimes qui regroupent toutes ces caractéristiques, qui sont couramment utilisées dans les attaques d'ingénierie sociale. Il est très dangereux de s'attendre à ce que les employés acceptent, par habitude, de tels messages.
Parfois, ces messages sont envoyés directement par des employés humains. Si c'est le cas dans votre organisation vous gagneriez à fournir à vos employés une formation anti-hameçonnage différente : « Comment ne pas entraîner vos collègues de travail dans une campagne d’ingénierie sociale. » Bien que cela devrait inclure des conseils sur la façon d'éviter d'avoir l'air d'un escroc en ligne, pour être très utile, il devrait aussi inclure des conseils de gestion du personnel sur la façon de réagir lorsque les gens ne répondent pas aux demandes par courriel en temps opportun ou de façon satisfaisante.
Un scénario de plus en plus courant est l'envoi de courriels factices par des applications SaaS (Software as a Service) comme celles des services de télécopie ou d'expédition, des portails de ressources humaines ou de comptabilité, des outils de collaboration, des bulletins d'information ou même des planificateurs de fêtes. La plupart de ces courriels sont envoyés à partir d'adresses externes ; ils sont aussi souvent inattendus ou non sollicités, ils ne comprennent que peu ou pas d'explications, et ils utilisent une formule de salutation générique ou pas de salutation du tout.
Le fait que ces applications envoient des « courriels d'entreprise » à partir d'adresses externes augmente considérablement l'éventail des adresses de courriel légitimes bien au-delà du domaine de l'entreprise. Il est donc beaucoup plus difficile pour les employés de savoir quels domaines sont connus et donc, d’identifier les expéditeurs vraiment fiables.
Que pouvez-vous faire pour rendre vos courriels moins suspicieux? Voici quelques points à considérer :
-
Envoyer des courriels attendus
Si vous allez envoyer un courriel qui exige une action des employés, envoyez-leur d'abord un courriel d'introduction, pour les aviser, leur fournir des explications sur le contenu du courriel, ainsi qu'une description de ce qui est attendu de leur part à la réception du message. Plus vous leur donnerez d'informations sur ce à quoi s'attendre - comme l'adresse électronique de l'expéditeur, un bref résumé du contenu, un message d'accueil ou d'approbation distinctif, etc. - plus ils seront en mesure de vérifier l'authenticité de cet email. Notez que les adresses électroniques sont faciles à usurper. Ainsi, plus vous personnalisez un courrier électronique (plutôt que d'utiliser un texte standard), plus il sera facile pour vos employés d'identifier le message comme étant légitime.
-
Gardez votre calme
Il n'y a aucune bonne raison d'employer des tactiques d'ingénierie sociale pour générer un sentiment de peur chez vos employés. Les personnes que vous embauchez sont certainement des adultes responsables et vous pouvez les motiver à agir en décrivant avec précision le niveau d'urgence sans recourir à la panique. Il existe toujours des moyens de traiter la non-conformité d'une manière calme, mais sérieuse ; il n'est pas bon pour votre moral de partir du principe que vos employés se comporteront mal. Autant que possible, assurez-vous que l'expéditeur du courriel correspond au message et utilise un niveau d'autorité approprié. Si vous envoyez un « message important du vice-président de l’administration », assurez-vous qu'il est bien envoyé par le vice-président de l’administration plutôt que par un autre membre de ce service. Ou mieux encore, demandez-vous si elle doit être envoyée par le vice-président, ou si un simple « message de l’administration » ne serait pas suffisant. Et pour protéger la tension artérielle de chacun, ÉVITEZ D'ENVOYER DES MESSAGES RÉDIGÉS EN MAJUSCULE.
-
Optez pour des produits soucieux de la sécurité
Pouvez-vous signer numériquement ou chiffrer les courriels envoyés à partir d'applications tierces? Existe-t-il une option pour les envoyer à partir de votre propre domaine d'entreprise? Pouvez-vous personnaliser les courriels avec votre propre texte ou le nom d'un destinataire? Les courriels peuvent-ils être envoyés en texte en clair plutôt qu'en utilisant des messages lourds en images ou au format HTML? Ce sont quelques-unes des questions que vous devriez vous poser lorsque vous envisagez d'implémenter de nouvelles applications SaaS. Même si vous n'avez que peu ou pas de choix quant aux applications nouvelles ou anciennes que vous utilisez, il peut y avoir des options disponibles pour personnaliser les messages afin de les rendre plus conviviaux. Assurez-vous que les gens remplissent également toutes les variables des modèles. Combien de fois avez-vous reçu un courriel adressé à « Cher %RECIPIENT%”? Si de telles options de personnalisation n'existent pas, vous devrez peut-être compter davantage sur l'avertissement des employés avant l'envoi des campagnes de courriels.
-
Gardez les choses simples
Utilisez du texte formaté par défaut; n'optez pour le contenu HTML que si c'est absolument nécessaire. Dans la mesure du possible, les destinataires ne devraient pas avoir à cliquer sur un lien ou une pièce jointe pour lire la substance du message. Faites en sorte qu'il soit aussi rapide et facile que possible pour vos employés d'obtenir au moins un résumé de base de l'information, et qu'ils se rendent à un endroit standard (comme un site interne à l'entreprise) pour obtenir des renseignements plus détaillés, plutôt que de les inviter à suivre un lien incorporé dans le message.
L'hameçonnage, la compromission des courriels d'affaires (ou BEC, pour business email compromise ) et la compromission des comptes de courriel (ou EAC, pour email account compromise) causent des centaines de millions de dollars de pertes chaque année. Il semble peu probable que ce nombre diminue si nous continuons à donner aux employés des renseignements contradictoires sur la façon de traiter les emails suspects. En nous assurant que les messages que nous envoyons semblent à la fois fiables et vérifiables, nous permettons aux employés de suivre systématiquement les conseils anti-hameçonnage et d'affiner leur instinct pour reconnaître quels courriels sont vraiment sécuritaires.
Voici quelques ressources supplémentaires sur l'éducation des utilisateurs à l'hameçonnage, de mon estimé collègue David Harley :
- https://www.welivesecurity.com/2015/05/29/phish-phood-thought/
- https://www.welivesecurity.com/2013/11/26/phish-to-phry-the-thoughtful-phisher-revisited/
- https://web-assets.esetstatic.com/wls/2013/12/The_Thoughtful_Phisher_Revisited.pdf
- https://www.welivesecurity.com/2015/01/08/phish-allergy-recognizing-phishing-messages/
- https://web-assets.esetstatic.com/wls/2012/11/PhishPhodder.pdf