Le mail : on peut difficilement faire pire en matière de sécurité !
Quand est-ce qu’on s’en débarrasse ? En plus de nous submerger de son flux incessant de messages, le mail est un maillon faible dont abusent les pirates pour mener leurs attaques virales.
Les derniers chiffres de F-Secure rappellent à l’ordre : plus d’un tiers des incidents de cybersécurité sont initiés par des e-mails de phishing ou des pièces jointes malveillantes reçues par les employés d’une entreprise.
Selon le consultant Tom Van de Wiele, les attaques par e-mail représentent le plus gros danger pour les organisations :
« L’exploitation des vulnérabilités logicielles est typique des attaques opportunistes, mais les intrusions informatiques via e-mail sont bien plus fréquentes (… ) Il convient de toujours réfléchir à deux fois avant de cliquer sur une pièce jointe ou sur un lien… mais la pression professionnelle l’emporte souvent sur le bon sens. Les pirates comprennent et exploitent cette logique ».
Aussi vieille et unanimement utilisée qu’elle soit, la messagerie électronique reste un casse-tête pour la sécurité des données. Les pirates en ont fait un moyen relativement simple d’exfiltrer et d’intercepter des informations pour espionner des internautes, des entreprises et leurs collaborateurs, des contrats et données sensibles… De plus en plus d’utilisateurs, conscients des dangers, ont d’ailleurs recours à des solutions de chiffrement des messages.
Faisons un rapide point sur ces messageries cryptées : contre quoi protègent-elles et comment ça fonctionne…
Elles assurent la confidentialité du contenu de vos mails, mais ne garantissent pas forcément l’anonymat. Prenez Whatsapp : les messages qui transitent par son service sont cryptés, mais les utilisateurs ne sont pas anonymes. D’autres outils, comme ProtonMail, promettent les deux : anonymat et chiffrement des messages. Avec la messagerie suisse sécurisée, pour reprendre l’exemple, l’anonymat est garanti par le fait que ProtonMail ne réclame aucune information personnelle au moment de la création du compte, et ne conserve pas les adresses IP et historiques de ses utilisateurs.
Le chiffrement, lui, pour être optimal, doit être réalisé de « bout en bout ». C’est-à-dire que le contenu va être rendu illisible, par un chiffrement, depuis la boîte d’expédition jusqu’à la boîte de réception et que seuls l’expéditeur et le destinataire du mail ont les clés pour déchiffrer le message. Personne d’autre ne possède ces clés. Elles sont uniques et générées par le logiciel de messagerie cryptée. La protection du contenu des mails est donc liée à l’utilisation d’une messagerie sécurisée par l’expéditeur et le destinataire.
Dans le cas où vous souhaiteriez envoyer un message chiffré à une personne utilisant une boîte mail classique, il faudra lui envoyer une clé de déchiffrement en amont. A vous, dès lors, de trouver le moyen le plus sécurisé pour transmettre ce sésame.
Mais le recours à une messagerie cryptée n’est pas toujours suffisant, nous explique Jocelyn Krystlik, responsable des produits Data Security de StormShield :
« Quand une entreprise s’équipe d’une solution de chiffrement des mails, il reste souvent à régler le problème de fond : la sous-utilisation de l’outil ! L’utilisateur final, qui doit chiffrer ses mails, n’en voit pas les bénéfices, cela ne lui apporte pas un gain palpable ».
Le remède, comme toujours en matière de sécurité, relève beaucoup de la pédagogie. Apprendre aux utilisateurs à reconnaître un mail malveillant, à ne pas ouvrir les pièces sans avoir procéder à la vérification de l’objet du mail, du type d’adresse utilisée par l’expéditeur ou encore des liens contenus dans le message, est essentiel.
Utiliser les logiciels de chiffrement doit devenir un second réflexe. Même si… mi-mai, les spécialistes ont découvert une faille dans l’une de ces méthodes. Jocelyn Krystlik confirme : « La faille EFAIL permet d’exfiltrer des données chiffrées et de les envoyer déchiffrées — en clair, pourrait-on dire- sur un serveur malveillant. Le mail chiffré est modifié après son envoi. Cela veut dire que le pirate doit d’abord intercepter le message, et donc qu’il a une proie déjà identifiée ». Pour ne pas faire partie des victimes ? Etre sur ses gardes, en permanence.
J’ai découvert Phishbots via un contact sur Linkedin, et cette obsession pour le phishing m’a étonnée. Arnaud Lorcestales, fondateur et CEO de l’outil de mise à mort des mails véreux, a répondu à mes questions.
Ok, le phishing est une plaie : un email contenant un lien vers un site malveillant ressemblant comme deux gouttes d’eau à un site officiel sécurisé. Oui, les enjeux sont conséquents : vol de données, pertes financières. Et les victimes ont d’autant plus de soucis à se faire que leur responsabilité pour « négligence grave » peut être engagée. J’ai vu que certaines banques refusaient de dédommager des clients phishés, estimant qu’ils étaient responsables d’avoir confié leurs informations personnelles. Mais créer un logiciel qui ne ferait que ça toute la journée -chasser les phishing !-, c’est vraiment nécessaire ? Pour Arnaud Lorcestales, ingénieur informatique, l’évidence lui est apparue il y a deux ans.
Pourquoi avoir créé un outil de lutte contre le phishing, alors qu’il existe déjà plein de solutions de sécurité ?
J’ai travaillé en tant que consultant informatique dans de nombreuses entreprises. Elles étaient toutes équipées de pack sécurité embarquant, entre autres, une protection contre le phishing. Pourtant, les mails frauduleux passaient entre les mailles du filet. J’ai fait mon benchmark et je me suis aperçu que finalement il n’existait aucun outil vraiment concentré sur la lutte contre le phishing. Alors, j’ai commencé il y a deux ans, avec un ami, à programmer un logiciel entièrement dédié à cette tâche.
Comment fonctionne votre solution ?
Phishbots est un algorithme qui apprend à détecter les mails frauduleux. Il va les identifier en s’appuyant sur de nombreux critères, notamment l’objet du mail, le type d’adresse utilisée par l’expéditeur, les liens contenus dans le message, les pièces jointes… Il va aussi analyser le contenu du mail, repérer les fautes d’orthographes. Nous n’utilisons pas les « listes noires » car ces annuaires sont inefficaces contre les nouvelles attaques. Notre outil n’a pas besoin qu’une campagne de phishing soit déjà détectée pour la repérer.
Et une fois l’email de phishing repéré, que se passe-t-il ?
Si Phishbots est installé sur Outlook, par exemple, il va intervenir avant l’affichage du mail frauduleux dans la boîte du destinataire. Dès la détection, Phishbots va ajouter dans le corps du mail, en haut du message, une alerte : « Attention, ce message semble dangereux. Veuillez vous assurer de connaître l’expéditeur ». Nous précisons aussi que lien envoyé n’est pas sécurisé et renvoie vers un domaine différent de celui de l’expéditeur. C’est avec ces mentions que le destinataire découvrira le mail suspect. Nous préparons également une solution dans le cloud : le trafic mail sera d’abord dirigé vers nos serveurs équipés de Phishbots avant d’être relayés vers leurs destinataires ayant souscrit à un abonnement.
