Open in app

Sign in

Write

Sign in

Retour sur une campagne de phishing pour sensibiliser à la cybersécurité en entreprise

Selon le baromètre annuel du CESIN sur la cybersécurité des entreprises, 54 % d‘entre elles ont subi une attaque informatique en 2021. Soit un bond de 37% par rapport à 2020.

CBTW
L’Actualité Tech — Blog CBTW
10 min readNov 17, 2022

--

Les sept membres de notre communauté d’intérêt autour de la sécurité informatique ont donc voulu tester le discernement de nos collaborateurs face à ces risques.
L’opération Nat Pagle, du nom de ce célèbre pêcheur de World of Warcraft, était née.

Dans le rôle d’hackers éthiques, ils ont voulu s’assurer de la résistance de Linkvalue et de ses collaborateurs au phishing, et par la même occasion sensibiliser sur le sujet et vérifier les besoins en formation inhérents.
Pour cela, ils ont mis sur pied une campagne de phishing à destination de l’ensemble de l’entreprise.

Résultat : On peut tous se faire avoir, que l’on soit développeur, chef de projet, support, … Et on va le voir !

C’est quoi le phishing déjà ?

Le phishing est un procédé qui a pour but d’obtenir des informations privées d’un utilisateur en faisant en sorte que ce soit l’utilisateur lui même qui les donne.

Inutile de dire que cette pratique peut avoir de terribles conséquences…

  • Personnelles : Vas-y que je te commande le dernier Album de Jul ou de Philippe Risoli à la pelle sur Amazon.
  • Professionnelles : perte ou vol de données (accès Bitwarden, données RH sensibles, base de données clients, …), chantage financier ou encore paralysie des systèmes. Ce qui peut impacter directement la réputation et le chiffre d’affaires des entreprises qui en sont victimes.

Les dégâts possibles avec un simple mail de phishing peuvent être monstrueux, car c’est souvent une grande porte d’entrée pour les malfaiteurs (l’humain étant faillible).

Une cyberattaque “chirurgicale” a visé des groupes français du BTP et de la sphère publique

L’alerte a été donnée ce lundi 21 mars. Une cyberattaque “inédite” visant des entreprises françaises a été repérée par…

lexpansion.lexpress.fr

Le workflow mis en place pour faire mordre à l’hameçon

Pour cette campagne de phishing interne :

  • En tout premier lieu, il a fallu obtenir l’approbation de la direction !
    Ça reste quand même du phishing… Il était donc indispensable d’avoir l’autorisation de piéger pédagogiquement les collaborateurs.
    Car les sanctions pénales pour ce type d’action sont inscrites à l’article 226–4–1 du code pénal, soit un an de prison et 15 000€ d’amende.
  • Comme support de campagne, il a ensuite fallu identifier le service qui permettrait de récupérer un mot de passe et qui soit visible depuis l’extérieur comme depuis l’intérieur. Le dévolu s’est jeté sur la plateforme Sésame, un outil de feedback développé en interne.
    Pour s’y connecter il faut renseigner ses identifiants sur une page de connexion.
  • Un faux site a donc été reproduit, qui s’appuyait sur cette interface.
    Il fallait que ce soit convaincant, mais également que cela puisse être identifié comme du phishing. Il fallait donc glisser des « erreurs ».
  • Une adresse Gmail a été créée, car elle permet d’éviter des soucis de délivrabilité des mails, même avec un mail externe.
  • Il fallait ensuite rédiger un e-mail, pas trop vrai, pas trop faux et le rendre crédible.
    L’e-mail était signé de la part d’un collaborateur identifié par tous dans l’entreprise et impliqué sur de nombreux sujets en internes.
    Et pour éviter d’être bloqué par Google, un script d’envoi a été développé, qui envoyait un mail toutes les 10 secondes, en 7 salves, avec une grosse pause entre chaque salve.
    Le mail incluait un lien pour remplir une demande de feedback, qui renvoyait vers la fausse page de connexion.
  • Au clic sur le lien, le collaborateur atterrissait sur une page de login pour accéder au service. S’il remplissait et validait les champs e-mail et mot de passe, les informations étaient finalement détournées (enfin uniquement l’adresse e-mail). Puis l’utilisateur était redirigé vers une landing page où il était prévenu qu’il venait d’être victime d’une tentative de phishing.
    À noter que dans une vraie tentative de phishing on essaie de masquer la diversion et de ne pas faire remarquer l’attaque. On a par exemple l’impression d’avoir rentré un mauvais mot de passe lors d’une première saisie, puis on se fait rediriger vers le vrai formulaire où nos identifiants fonctionnent. On ne se rend pas compte que nos informations ont été interceptées entre temps.
  • Un petit trigger permettait d’être notifié en direct via Slack lorsqu’un collaborateur s’était fait avoir. L’idée était alors de prendre contact avec lui pour le rassurer et lui expliquer la démarche. Ces échanges ont permis de récolter des retours sur cette expérience et de comprendre les éléments qui faisaient tomber dans le piège.

Focus — Développer une bonne contrefaçon

En termes de technique ce n’est pas nécessairement très poussé, mais il s’agit d’une expérience intéressante.
Le développement front a pris entre 1 à 2 heures, mais aurait aussi bien pu être réalisé plus rapidement.

La version d’imitation du site a été hébergée sur Heroku et était accessible via l’url suivante : https://arborescence-link-value.herokuapp.com/.
Il fallait que ça ressemble au lien réel, mais sans acheter un nom de domaine.
Le projet a été initié sur Symfony comme socle de base. Le choix de Symfony s’est fait pour des raisons de praticité : rapide à mettre en place et ensemble de l’équipe familière de cette technologie. En deux secondes on peut démarrer et créer une application. Mais en soi il aurait été envisageable de développer un site from scratch avec son propre code.
Il est aussi possible de faire un faux site avec un aspirateur de code permettant de reproduire un site très facilement. Il existe beaucoup d’outils de ce genre trouvables sur internet. Ils ont même une page Wikipédia dédiée.

Après la création de la première route d’accès /login, la partie front s’est intercalée sur le projet initié. La partie back-end était finalement un simple socle pour se brancher et déposer du code. Du HTML/ CSS pour la partie design (couleurs, polices, …) et du JavaScript pour la partie animation. Il a été possible d’aspirer le style initial pour le réutiliser, mais pour le JavaScript il n’a pas été possible de récupérer le code source.
L’animation a donc été reproduite à la main, en sa basant sur le même comportement, pour que l’utilisateur ne doute pas du fait que ce soit le vrai formulaire.
Mais il fallait quand même laisser quelques indices pour que tout le monde ne se fasse pas avoir.
Il y a donc des différences qui ont été laissées, comme la gestion des erreurs. Volontairement le style n’a pas été reproduit jusqu’au bout avec des messages d’erreur en gris et des grosses puces, assez brut, sans design, sans police.
Et pour le design on était au pixel près, hormis l’absence d’un bandeau bleu présent sur le haut de la page normalement. Au départ il s’agissait d’un oubli, puis cela a été laissé en l’état pour donner un indice supplémentaire.
Il manquait quand même un gros bloc bleu ! Et la couleur du fond de la page est en gris foncé, mais à la place du bandeau manquant on a un gris légèrement plus clair, donc ça dénote.

Pour quelqu’un qui n’a pas accès au code source et qui essaie de reproduire une page, pour le côté design pur (style et couleurs), c’est vraiment très, très facile. Il suffit d’organiser le code, d’enlever le superflu.
La difficulté est plutôt de reproduire les animations. Sans savoir sur quelle librairie était basé le formulaire de connexion, ce n’était pas facile de reproduire tout ce qui est animation au niveau des placeholder, des champs, … Par exemple sur la page d’origine, quand on arrive sur la page, il y a une petite animation qui est faite avec un autofocus sur le champ de login. C’est plein de petites choses qui au premier abord paraissent anodines, mais qui finalement sont très laborieuses à reproduire. Il y avait peut-être 150 lignes de codes juste pour cette partie !

Et la pêche fut bonne ?

Sur 90 mails envoyés, 25 collaborateurs se sont fait avoir, dont 21 profils tech !
Il y a un écart entre les 25 personnes qui se sont faites berner, contre les 5 à 10 qui été attendues avant le lancement de la campagne.
Personne n’est à l’abri et la prévention s’est avérée pertinente et nécessaire !

Avec beaucoup de “victimes”, il a été possible de faire prendre conscience que cela n’arrive pas qu’aux autres. Et de s’assurer que tout le monde a pu être sensibilisé.
Le cas pratique a été percutant, et plus parlant qu’une session de formation plus théorique.

Mais les résultats ne sont pas si étonnants. Bien qu’exposés, nous ne sommes pas nécessairement souvent confrontés à ce genre de situation, surtout en milieu professionnel. Et le plus couramment les tentatives de phishing sont facilement identifiables, car bourrées de fautes ou avec des points d’attention flagrants.
En entreprise on peut être moins vigilant, car le risque paraît moindre et on se sent plus en confiance dans un cadre professionnel.

Dans le cadre de cette campagne, parmi les principales raisons évoquées pour se justifier de s’être fait avoir, on retrouve :

  • La navigation depuis un téléphone portable,
  • La confiance dans le nom de l’expéditeur et en une messagerie interne professionnelle,
  • La cohérence du contenu de l’e-mail,
  • La récence dans l’entreprise,
  • La méconnaissance du service interne imité,
  • La fatigue et l’esprit occupé.

Pourtant il y avait plusieurs éléments qui auraient pu leur mettre la puce à l’oreille, et pour quelqu’un qui avait un doute il était possible de s’en rendre compte.
D’ailleurs il y a même eu un collaborateur qui a démasqué la tentative et qui a reporté la campagne et le compte Gmail associé à Google. Mais la personne a fait une faute de frappe dans l’e-mail signalé, il n’y a donc pas eu de conséquence.

Parmi les éléments qui auraient pu alerter :

  1. Mail tagué par Google comme Externes (qui ne vient pas d’un e-mail de l’entreprise)
  2. Adresse e-mail de l’expéditeur en “@gmail.com” au lieu de “@link-value.fr”. Il s’agit donc d’une adresse externe à l’organisation.
  3. Le lien paraît bon visuellement, mais il redirige vers le site phishing. Le lien écrit dans l’e-mail ne correspond pas à l’url vers laquelle on n’est redirigé. On peut cependant s’apercevoir de la différence au survol, en posant son curseur sur le lien.
    Et après quand on ouvre la page, on voit l’url de destination et on peut également remarquer la différence.
E-mail envoyé dans la campagne de fishing

Ce n’est pas le cas dans cet e-mail, mais il peut aussi y avoir d’autres facteurs qui peuvent alerter, comme :

  • des fautes d’orthographe,
  • un mauvais template ou l’absence de template e-mail,
  • un e-mail d’un service ou d’une société dont vous n’êtes pas client,
  • un objet d’e-mail ou un message trop alléchant ou alarmiste,
  • une demande inhabituelle ou une demande d’informations confidentielles,
  • une incitation à cliquer sur un lien ou une pièce jointe,

ℹ️ Voici aussi un très bon jeu réalisé par Google pour tester et augmenter ses compétences de détection de tentative de phishing : https://phishingquiz.withgoogle.com/

J’ai un doute sur un e-mail, que faire ?

Parmi les collaborateurs qui ne se sont pas fait avoir, plusieurs ont remonté :

  • qu’ils étaient suspicieux sur le fait de devoir renseigner leur mot de passe,
  • qu’ils ont trouvé l’expéditeur du mail bizarre,
  • qu’ils se sont directement connectés depuis leur navigateur et non depuis le lien présent dans l’e-mail.

Comme eux, en cas de doute sur un e-mail, vous pouvez :

  • n’ouvrir aucun lien,
  • aller vérifier directement sur le site indiqué sans passer par le lien dans l’e-mail, via une recherche Google ou en renseignant le lien manuellement dans votre navigateur,
  • contacter directement les services dont le mail se réclame pour s’assurer de la véracité de la démarche,
  • taper l’e-mail de l’expéditeur sur Google pour savoir si elle ressort comme identifiée dans des campagnes de phishing.

Je me suis fait avoir, au secours !

Pas de panique ! Allez tout de suite sur tous les sites où vous utilisez le mot de passe compromis et changez le, si possible avec des mots de passe différents.

Pour protéger vos mots de passes ou en générer des sécurisés, vous pouvez suivre ces quelques rappels :

  • Utiliser des mots de passe uniques par site, ce qui limite les risques en cas de fuite
  • Combiner chiffres, majuscules, caractères spéciaux, ou utiliser une longue phrase pour renforcer vos mots de passe (Password Strength Test)
  • Ne jamais noter ses mots de passe (On le voit ton post-it !)
  • Ne jamais enregistrer ses mots de passe sur son navigateur, mais privilégier un gestionnaire de mots de passe. Ils peuvent générer et stocker de manière sécurisée, des mots de passe plus complexes, plus longs et donc plus robustes ! Il en existe des tas, tels que Bitwarden, 1password ou Keepass.
  • Si vous en avez la possibilité, configurer vos comptes pour utiliser l’authentification à deux facteurs (A2F ou 2FA en anglais). À chaque connexion, un code supplémentaire sera requis en plus de votre mot de passe. Ce code peut vous êtes envoyé par SMS ou directement généré avec une application sur votre téléphone. De ce fait, si un vilain hacker obtient votre mot de passe, il ne sera pas en possession de votre téléphone et donc il ne pourra pas se connecter à vos comptes !

Pour vous guider, n’hésitez pas également à lire les recommandations de la CNIL.

Merci à Romain, Gauthier, Guillaume, Martin, Timothé, Timothée et Yannis pour cette campagne fructueuse et pour leur retour d’expérience.

Nous publions régulièrement des articles sur des sujets de développement produit web et mobile, data et analytics, sécurité, cloud, hyperautomatisation et digital workplace.
Suivez-nous pour être notifié des prochains articles et réaliser votre veille professionnelle.

Retrouvez aussi nos publications et notre actualité via notre newsletter, ainsi que nos différents réseaux sociaux : LinkedIn, Twitter, Youtube, Twitch et Instagram

Vous souhaitez en savoir plus ? Consultez notre site web et nos offres d’emploi.

Cybersecurity
Phishing
Web Development
Cyberattack
Security

--

--

CBTW
L’Actualité Tech — Blog CBTW

Written by CBTW

475 Followers
Editor for

Nos experts partagent leur vision et leur veille en développement web et mobile, data et analytics, sécurité, cloud, hyperautomation et digital workplace.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams