Blog GlobalSign

09 nov. 2016

Comment distinguer un faux e-mail d’un vrai

100 milliards d’e-mails sont envoyés chaque jour ! Jetez un œil dans votre boîte de réception – vous avez probablement reçu quelques offres de boutiques, des infos de la part de votre banque, ou un message d’un de vos amis qui vous envoie enfin ses photos de vacances. Ou du moins, vous pensez que ces e-mails proviennent de ces cybermarchands, de votre banque et de votre ami, mais comment savoir s’ils sont légitimes et qu’il ne s’agit pas d’une escroquerie par phishing ?

Qu’est-ce que le phishing ?

Le phishing – ou hameçonnage – est une attaque de grande envergure qui s’appuie sur l’envoi d’un e-mail falsifié. En donnant à cet e-mail une apparence légitime (tel un e-mail provenant d’une banque), le hacker à l’origine de l’attaque cherche généralement à leurrer les destinataires non avertis en les incitant à télécharger un logiciel malveillant ou à saisir des informations confidentielles sur un faux site Web. Là encore, ces faux sites ont tout de sites Web légitimes... alors qu’ils n’ont d’autre but que d’escroquer les internautes en les invitant à révéler leurs données personnelles... auxquelles le hacker pourra ensuite accéder. Les e-mails de phishing peuvent être envoyés à un grand nombre de destinataires pour maximiser les chances de faire mouche. Pour que l’offensive porte ses fruits, il suffit de piéger un petit nombre de personnes.

Qu’est-ce que le spear phishing ?

Le spear phishing est une forme de phishing qui repose généralement sur une attaque ciblée contre un individu ou une organisation. Le terme anglais de « spear » désigne une chasse à la lance. Dans une attaque de type spear phishing, le malfaiteur se fait passer pour une autre personne ou un département de l’entreprise. Vous pouvez ainsi recevoir un e-mail qui semble provenir de votre service informatique où l’on vous demande de saisir à nouveau vos données d’identification pour vous connecter à un site. Autre exemple : le mail des RH qui vous présente la « nouvelle grille d’avantages » dans un document envoyé en pièce jointe.

Pourquoi le phishing représente-t-il une telle menace ?

Le phishing est dangereux, car ces types de messages sont difficiles à identifier. Certaines études ont révélé qu’une majorité d’employés (jusqu’à 94 %) ne savaient pas distinguer un courriel légitime d’un e-mail de hameçonnage. Conséquence : jusqu’à 11 % de personnes cliquent sur les pièces jointes à ces e-mails, qui contiennent généralement des programmes malveillants. Vous pensez que le problème n’est pas si grave ? Dans une récente étude, Intel indiquait que 95 % des attaques sur les réseaux d’entreprise résultaient d’attaques de spear phishing. Édifiant, non ? Le spear phishing n’est donc pas une menace à prendre à la légère.

Les destinataires ont du mal à distinguer les vrais e-mails des faux. Même si certains signes comme les fautes d’orthographe et les fichiers .exe en pièces jointes peuvent facilement mettre la puce à l’oreille, d’autres indices sont plus discrets. Il est ainsi impossible de repérer qu’une fois ouvert, le fichier Word envoyé en pièce jointe exécutera une macro avec des conséquences tout aussi dévastatrices.

Même les experts se font avoir !

Dans une étude réalisée par Kapost, 96 % des cadres dirigeants à travers le monde étaient incapables de reconnaître un e-mail légitime d’un e-mail de phishing. Même les personnes les mieux informées sur les questions de sécurité sont en danger. Reste que sans éducation, les risques sont  plus élevés. Curieux de savoir comment on crée un faux e-mail ? C’est un jeu d’enfant, vous allez voir.

Créer un faux e-mail, un jeu d’enfant !

Dans cette démonstration, je vous montrerai la simplicité avec laquelle l’on peut créer un faux e-mail à l’aide d’un outil SMTP très facilement téléchargeable sur Internet. Je peux créer un domaine et des utilisateurs à partir du serveur ou directement à partir de mon compte Outlook. J’ai créé moi-même des adresses bill.gates@microsoft.com et barrack.obama@whitehouse.gov juste pour vous montrer ce qu’il est possible de faire.

Fake Email

Je peux immédiatement commencer à envoyer des e-mails avec ces adresses à partir d’Outlook. Voici un faux e-mail que j’ai envoyé à partir de l’adresse netbanking@barclays.com.

Fake email

Si vous souhaitez voir ce processus, cliquez ici.

Vous verrez à quel point il est facile pour un pirate de créer une adresse e-mail et de vous envoyer un faux e-mail qui lui permettra ensuite de dérober des renseignements personnels vous concernant. À vrai dire, vous pouvez emprunter l’identité de n’importe qui et n’importe qui peut usurper la vôtre, le plus simplement du monde. Un constat certes effrayant, mais heureusement, que des solutions, comme les certificats numériques, existent.

Qu’est-ce qu’un certificat numérique ?

Un certificat numérique est une sorte de passeport virtuel. Il indique à l’utilisateur que vous êtes bien qui vous prétendez être. À l’instar des passeports qui sont délivrés par les gouvernements, les certificats numériques sont délivrés par des autorités de certification (AC). De même qu’un gouvernement vérifierait votre identité avant de vous délivrer un passeport, une AC effectue des vérifications afin d’établir que vous êtes bien la personne que vous prétendez être.

Il existe plusieurs niveaux de vérification. Au niveau de vérification le plus simple, nous vérifions simplement que l’e-mail appartient bien au demandeur. Au niveau suivant, nous vérifions l’identité (comme pour les passeports, etc.) pour nous assurer que la personne correspond bien à qui elle prétend être. Pour les niveaux de contrôle plus poussés, la société de la personne et sa localisation géographique sont également vérifiées.

Un certificat numérique vous permet de signer numériquement vos e-mails et de les chiffrer. Dans ce billet, je me concentrerai sur la signature numérique d’un e-mail. (Ne manquez pas nos prochains billets sur le chiffrement des e-mails !)

Utilisation de la signature numérique dans les e-mails

La signature numérique d’un courrier électronique montre au destinataire que le message électronique reçu provient d’une source légitime.

Dans l’image ci-dessus, on voit que l’identité vérifiée de l’expéditeur s’affiche clairement dans l’e-mail. Cette fonctionnalité se révèle donc très utile pour distinguer les imposteurs des expéditeurs légitimes, et éviter ainsi de se faire piéger par une attaque de type phishing.

En plus d’attester de la source de l’e-mail, la signature numérique d’un e-mail garantit également :

  • La non-répudiation : comme l’e-mail a été signé à l’aide d’un certificat personnel, l’expéditeur du message ne pourra pas prétendre ultérieurement ne pas l’avoir signé.

  • L’intégrité du message : lorsque le destinataire ouvre l’e-mail, son client de messagerie vérifie que le contenu de l’e-mail correspond au contenu du message au moment de sa signature. Le moindre changement apporté au document original génère un message d’erreur lors de la vérification.

Je vous invite à visionner notre webinaire sur la sécurisation des e-mails à l’aide des signatures numériques et du chiffrement.

Partager ce blog