Comment distinguer un faux e-mail d'un vrai ?

Écrit par © Filactu le . Rubrique: Sécurité des consommateurs

100 milliards d'e-mails sont envoyés chaque jour ! En jetant un œil dans sa boîte de réception, l'internaute  pense que ces e-mails proviennent de ces cybermarchands, de sa banque et de son ami, mais comment savoir s'ils sont légitimes et qu'il ne s'agit pas d'une escroquerie par phishing ?

Qu'est-ce que le phishing ?

Le phishing – ou hameçonnage – est une attaque de grande envergure qui s'appuie sur l'envoi d'un e-mail falsifié. En donnant à cet e-mail une apparence légitime (tel un e-mail provenant d'une banque), le hacker à l'origine de l'attaque cherche généralement à leurrer les destinataires non avertis en les incitant à télécharger un logiciel malveillant ou à saisir des informations confidentielles sur un faux site Web. Là encore, ces faux sites ont tout de sites Web légitimes... alors qu'ils n'ont d'autre but que d'escroquer les internautes en les invitant à révéler leurs données personnelles... auxquelles le hacker pourra ensuite accéder. Les e-mails de phishing peuvent être envoyés à un grand nombre de destinataires pour maximiser les chances de faire mouche. Pour que l'offensive porte ses fruits, il suffit de piéger un petit nombre de personnes.


Qu'est-ce que le spear phishing ?

Le spear phishing est une forme de phishing qui repose généralement sur une attaque ciblée contre un individu ou une organisation. Le terme anglais de « spear » désigne une chasse à la lance. Dans une attaque de type spear phishing, le malfaiteur se fait passer pour une autre personne ou un département de l'entreprise. L'internaute ciblé peut ainsi recevoir un e-mail qui semble provenir de son service informatique où l'on lui demande de saisir à nouveau ses données d'identification pour se connecter à un site. Autre exemple : le mail des RH qui présente la « nouvelle grille d'avantages » dans un document envoyé en pièce jointe.


Pourquoi le phishing représente-t-il une telle menace ?

Le phishing est dangereux, car ces types de messages sont difficiles à identifier. Certaines études ont révélé qu'une majorité d'employés (jusqu'à 94 %) ne savaient pas distinguer un courriel légitime d'un e-mail de hameçonnage. Conséquence : jusqu'à 11 % de personnes cliquent sur les pièces jointes à ces e-mails, qui contiennent généralement des programmes malveillants. Certains pensent que le problème n'est pas si grave ? Dans une récente étude, Intel indiquait que 95 % des attaques sur les réseaux d'entreprise résultaient d'attaques de spear phishing. Édifiant, non ? Le spear phishing n'est donc pas une menace à prendre à la légère.

Les destinataires ont du mal à distinguer les vrais e-mails des faux. Même si certains signes comme les fautes d'orthographe et les fichiers « .exe » en pièces jointes peuvent facilement mettre la puce à l'oreille, d'autres indices sont plus discrets. Il est ainsi impossible de repérer qu'une fois ouvert, le fichier Word envoyé en pièce jointe exécutera une macro avec des conséquences tout aussi dévastatrices.


Même les experts se font avoir !

Dans une étude réalisée par Kapost, 96 % des cadres dirigeants à travers le monde étaient incapables de reconnaître un e-mail légitime d'un e-mail de phishing. Même les personnes les mieux informées sur les questions de sécurité sont en danger. Reste que sans éducation, les risques sont  plus élevés. Curieux de savoir comment on crée un faux e-mail ? C'est un jeu d'enfant, vous allez voir.


Créer un faux e-mail, un jeu d'enfant !

Spear1Dans cette démonstration, la société GlobalSign montrera la simplicité avec laquelle l'on peut créer un faux e-mail à l'aide d'un outil SMTP très facilement téléchargeable sur Internet. On peut créer un domaine et des utilisateurs à partir du serveur ou directement à partir de son compte Outlook. Pour l'exemple, GlobalSign a créé elle-même des adresses Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. et Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. juste pour montrer ce qu'il est possible de faire.

Et l'on peut immédiatement commencer à envoyer des e-mails avec ces adresses à partir d'Outlook, comme dans l'image ci-dessous :

Spear2

Pour suivre l'ensemble de l'expérience, voir à l'adresse suivante :

https://www.youtube.com/watch?v=Q198x9ne9VU&feature=youtu.be


On pourra constater à quel point il est facile pour un pirate de créer une adresse e-mail et d'envoyer un faux e-mail qui permettra ensuite de dérober des renseignements personnels concernant la cible. À vrai dire, on peut emprunter l'identité de n'importe qui et n'importe qui peut usurper la sienne, le plus simplement du monde. Un constat certes effrayant, mais heureusement, que des solutions, comme les certificats numériques, existent.


Qu'est-ce qu'un certificat numérique ?

Un certificat numérique est une sorte de passeport virtuel. Il indique à l'utilisateur que l'auteur du message est bien qui il prétend être. À l'instar des passeports qui sont délivrés par les gouvernements, les certificats numériques sont délivrés par des autorités de certification (AC). De même qu'un gouvernement vérifierait notre identité avant de nous délivrer un passeport, une AC effectue des vérifications afin d'établir que l'on est bien la personne que l'on prétend être.

Il existe plusieurs niveaux de vérification. Au niveau de vérification le plus simple, l'on vérifie simplement que l'e-mail appartient bien au demandeur. Au niveau suivant, c'est l'identité (comme pour les passeports, etc.) qui est vérifiée pour s'assurer que la personne correspond bien à qui elle prétend être. Pour les niveaux de contrôle plus poussés, la société de la personne et sa localisation géographique sont également vérifiées. Un certificat numérique permet de signer numériquement ses e-mails et de les chiffrer.  


Utilisation de la signature numérique dans les e-mails

La signature numérique d'un courrier électronique montre au destinataire que le message électronique reçu provient d'une source légitime.

Spear3

Dans l'image ci-contre, on voit que l'identité vérifiée de l'expéditeur s'affiche clairement dans l'e-mail. Cette fonctionnalité se révèle donc très utile pour distinguer les imposteurs des expéditeurs légitimes, et éviter ainsi de se faire piéger par une attaque de type phishing.

En plus d'attester de la source de l'e-mail, la signature numérique d'un e-mail garantit également :

  • La non-répudiation : comme l'e-mail a été signé à l'aide d'un certificat personnel, l'expéditeur du message ne pourra pas prétendre ultérieurement ne pas l'avoir signé.
  • L'intégrité du message : lorsque le destinataire ouvre l'e-mail, son client de messagerie vérifie que le contenu de l'e-mail correspond au contenu du message au moment de sa signature. Le moindre changement apporté au document original génère un message d'erreur lors de la vérification. <