Nous connaissons le spam, le scam, le phishing, pour lesquels de nombreuses techniques existent et permettent de bloquer ce type d’attaque avec une grande efficacité (réputation, signature heuristique, etc). Actuellement utilisées dans un contexte de blocage automatique sur le Mail Transfer Agent (MTA), l’ensemble de ces techniques rencontre de plus en plus de difficultés face à la légitimité toujours plus grande du contenu des messages. Par Sylvain Accart, Ingénieur Recherche et Développement de l’équipe Filter Live  chez Vade Retro.

Pour passer au travers des filtres antispam les plus sophistiqués, les cybercriminels s’orientent aujourd’hui vers des attaques dites “chirurgicales”. Ils étudient au préalable l’identité du destinataire et de ses proches sur les réseaux sociaux afin de créer un e-mail reproduisant le contexte interpersonnel allant même jusqu’à usurper un expéditeur connu du destinataire pour effectuer des actions frauduleuses. On parle alors de « spear phishing ».

Cette usurpation d’identité est l’une des menaces les plus compliquées pour les acteurs de la sécurité. En effet, l’ensemble des technologies basées sur de la signature ou réputation sont fortement handicapées de par la caractéristique de l’e-mail :

• L’abus de confiance du destinataire est basé sur des éléments réels de l’expéditeur est très difficile à déceler,
• Un seul exemplaire unique,
• La source protocolaire (IP) de l’e-mail n’est pas une source illégitime.

Les dégâts qui peuvent être engendrés par cette menace (virements, informations confidentielles) montrent bien que cette « nouvelle menace 2.0 » de spear phishing est à prendre très au sérieux.

Le procédé rencontré jusqu’à présent est souvent le même :

• L’adresse d’un dirigeant est usurpée afin d’envoyer un e-mail à destination du service financier de l’entreprise.

• Le mail demande à effectuer un virement à un destinataire d’un compte en particulier.

• Pour plus de crédibilité, une fausse facture en retard de paiement ou autre document peut être jointe.

• Afin que l’attaque soit la plus discrète possible, le contenu de l’e-mail indique de procéder à cette opération avec la plus grande discrétion. Les sommes engagées sont souvent conséquentes (798 200 € pour Scor).

Comment détecter et gérer ce type d’email ?

Les techniques courantes d’analyse contre les menaces transmises par e-mail ne sont pas assez efficaces face à ce type de menaces : l’e-mail est trop ciblé, en faible volume voire à usage unique et trop proche d’un e-mail interpersonnel pour être détecté de façon automatique.

Pour pallier à ce problème, certaines entreprises définissent des règles spécifiques sur leur solution antispam ou relais de messagerie comme l’interdiction de réceptionner les e-mails provenant de l’extérieur du réseau utilisant le même nom de domaine.

Toutefois, en plus des contraintes d’utilisation engendrées par cette technique, celle-ci ne résout que partiellement le problème car de nombreuses parades existent comme :

• l’utilisation de noms de domaines quasi identiques pour tromper l’œil humain,

• l’utilisation des adresses personnelles ou autres alias,

• les intrusions, les machines vérolées, etc.

Des techniques très poussées existent pour détecter ce type d’e-mail comme la recherche de mots clefs ou l'utilisation du filtrage bayésien , les analyses heuristiques ou sémantiques.

Ces techniques identifient ce type d’e-mails ainsi que tous les e-mails légitimes contenant des transferts de fond, ou l’envoi des mots de passe par exemple. L’automate doit donc être très vigilant sur l’action à effectuer : une action trop brutale comme la suppression silencieuse ou la mise en quarantaine créant un nombre trop important de faux positifs.

Pour se protéger efficacement, les entreprises doivent former les utilisateurs notamment aux postes clés. On limite ainsi au maximum les risques.

L’attaque ciblée par email est une menace grandissante qui, alliée à l’usurpation d’identité, se montre très dangereuse, envers les entreprises et les individus. Les solutions de protection doivent adapter leur technologie pour répondre à ce type de menace, notamment afin de prévenir l’utilisateur que le contenu d’un email peut engendrer des actions sensibles et donc de l’inciter à vérifier l’expéditeur.

Sylvain Accart, Ingénieur Recherche et Développement de l’équipe Filter Live  chez Vade Retro.