[Tribune] E-commerce: des impacts lourds en cas d'attaques de phishing et spear phishing?

Le phishing (hameçonnage) et désormais le spear phishing (harponnage, aussi appelé " l'arnaque au Président ", " CEO Fraud " ou encore " Whaling ") comptent parmi les menaces de sécurité les plus graves pour les acteurs du e-commerce.

Le phishing est en forte augmentation. Cette technique, désormais bien connue, de piratage d'e-mails malveillants issus de l'envoi massif de publipostage, vise à pousser les internautes à cliquer sur des liens malveillants et leur faire divulguer des renseignements privés. De manière générale, selon le groupe de travail Anti-Phishing Working Group (l'AWPG), les campagnes de phishing mondiales, reçues et signalées, ont connu une augmentation de 186% entre 2013 et 2015. Il s'agit là de la partie immergée de l'iceberg, car d'innombrables autres e-mails de phishing de masse ont été bloqués par les filtres anti-spam des entreprises et n'ont, par conséquent, pas été comptabilisés. Les filtres anti-spam peuvent bloquer un grand nombre de phishing, mais pas l'intégralité des attaques de masse. Cependant, les filtres anti-spam sont généralement impuissants face à des attaques plus ciblées, comme le spear phishing.

Une menace très forte pour l'e-commerce

Le spear phishing est une variante du phishing, encore plus dangereuse car elle cible des victimes spécifiques avec des e-mails prétendant provenir d'amis ou de collègues. Les chiffres exacts sont difficiles à définir, mais nos sources internes démontrent une augmentation importante des attaques de spear phishing autant par trimestre que sur une année pleine, au cours des deux dernières années.

Le caractère virtuel et distribué de l'e-commerce offre une couverture exceptionnelle pour les pirates utilisant le spear phishing parce qu'ils comptent généralement sur l'usurpation d'identité, qui est plus difficile à réaliser quand tout le monde se trouve dans un seul bureau.

Par exemple, de nombreuses entreprises du commerce électronique répondent à de multiples entités indépendantes, comme les centres de traitement, les dispositifs de traitement de carte de paiement ou encore les centres d'appels. Ces entreprises peuvent également embaucher du personnel travaillant depuis leur domicile, etc. Dans ce contexte, il est très difficile pour un employé de savoir avec certitude si l'expéditeur d'un e-mail est effectivement affilié à l'un des autres maillons de la chaîne e-commerce.

Entrons dans le détail des attaques avec des exemples concrets de la manière dont une attaque de spear phishing peut se produire dans le e-commerce :

Pierre dirige un département dans une entreprise de e-commerce. Un vendredi après-midi, Pierre reçoit un email de Laure, sa directrice, sur sa boîte email professionnelle, expliquant qu'elle est en chemin et qu'elle a besoin de lui pour vérifier le contenu d'une feuille de calcul Excel aussi vite que possible. A l'ouverture du document, rien ne se passe, mais un programme malveillant (malware, ransomware, keylogger...) s'est téléchargé et installé. Autre cas, Pierre reçoit une commande provenant de la boîte email de Laure lui demandant de payer un fournisseur indonésien tout de suite, en suivant les instructions de virement jointes. En réalité, les informations bancaires vont grossir le compte du pirate. Ou encore, Pierre reçoit un email de Laure expliquant qu'elle a besoin de lui envoyer une liste des numéros de sécurité sociale des employés afin que le service informatique puisse tester un nouveau système de RH immédiatement, pour qu'il puisse être mis en service très rapidement...

La nature hiérarchique de la relation de Pierre et Laure risque d'amener Pierre à baisser sa garde et à ne pas remettre en question les demandes urgentes. Ce dont il ne se rend pas compte, c'est que " Laure " est un hacker utilisant une adresse e-mail ressemblant à celle de Laure (remplacement du L par un 1 pour faire 1aure@entreprise.com). Le pirate a également vérifié la présence de Laure sur les réseaux sociaux, afin de pouvoir mentionner dans l'e-mail des noms de collègues et des projets afin de gagner la confiance et tromper la vigilance de Pierre en se faisant passer pour la " vraie " Laure.

Au final, il s'avère que le document Excel est un vecteur pour l'injection de logiciels malveillants (malwares). Le fournisseur indonésien est faux. Il n'y a pas de nouveau système RH.... A chaque objectif établi par le hacker, sa technique, mais dans tous les cas le but est de faire fructifier ces e-mails.

Ces exemples ne présentent que quelques-unes des méthodes possibles utilisées, pour qu'une attaque de spear phishing puisse avoir accès à des renseignements confidentiels ou à des fonds.

Un e-mail qui peut coûter très cher

Les impacts commerciaux potentiels du spear phishing dans l'e-commerce sont vraiment graves. Les violations de données de clients sont coûteuses et embarrassantes. Pour les entreprises, cela signifie également a minima, l'envoi de notifications, la mise à disposition de services de protection d'identité et d'éventuelles poursuites judiciaires à traiter, etc.

Le vol pur et simple constitue également un risque. Les pirates utilisent souvent des informations sur la clientèle pour commander des marchandises de manière frauduleuse auprès de la société de e-commerce à laquelle ils ont volé les renseignements. Ces commandes ont l'air légitime car elles proviennent de clients réguliers, avec simplement une nouvelle adresse ou une adresse de livraison différente, mais la marchandise réelle est " réexpédiée " à l'étranger.

D'autres risques de perturbation des activités et des dommages à la réputation :

• Pertes massive de revenus potentiels en raison d'un site lent ou en panne
  

• Les dommages à la société de e-commerce victime
  

• Des amendes pour chaque enregistrement du titulaire de carte qui a été compromise.
  

Au final, les coûts peuvent se compter en dizaines de millions d'euros.

Les solutions contre le phishing et spear phishing

Le plus grand défi dans la défense contre le le phishing et le spear phishing repose dans le fait que les solutions standards de sécurité des e-mails comme les filtres anti-spam ne sont généralement pas efficaces contre la menace. En effet, les e-mails de spear phishing ne suivent pas les règles du spam. Un e-mail de phishing contenant une URL peut sembler légitime alors que dans de nombreux cas les pirates envoient des URL qui ne pointent même pas directement vers des sources de logiciels malveillants. C'est en effet une fois que l'email a franchi le serveur de messagerie que le pirate peut activer le lien pour le renvoyer vers des contenus malveillants et piéger le destinataire.

Alors que les éditeurs de solutions de protection travaillent continuellement à mettre à jour leurs solutions avec les dernières technologies et innovations, les cybercriminels rivalisent d'ingéniosité pour franchir les outils de détection et piéger les utilisateurs, professionnels et particuliers. Parmi les derniers exemples en date, le ransomware Locky qui a été optimisé en cours d'utilisation pour transformer les pièces jointes en fichier scan (pour donner l'illusion que la pièce jointe de l'e-mail a été générée par le scan d'un document par un collègue en interne) ou encore la dissimulation d'un site de phishing derrière un QR code, la grande nouveauté que nous venons de détecter !

Pour se protéger, les solutions existent et les plus efficaces sont basées sur le filtrage heuristique des e-mails, c'est à dire l'analyse du contenu des e-mails. Alors qu'encore aujourd'hui de nombreuses solutions reposent encore sur des bases de signature impliquant que l'attaque ait déjà été détectée ailleurs implique que le piège a déjà fonctionné au moins une fois. Mais derrière ces solutions, un élément clé demeure... La vigilance des utilisateurs eux-mêmes ! Car, faut-il encore le rappeler, une protection à 100% n'existe pas. Des utilisateurs avertis, par le biais de formations ou simulation d'attaques en interne par exemple, sont le meilleur gage de protection contre ces attaques qui risquent de continuer à se multiplier au cour des prochaines années.