Dans le paysage numérique actuel, distinguer un ami d’un ennemi est devenu mission impossible. Il y a tout juste un mois, des pirates ont lancé une campagne imitant la police, la gendarmerie nationale ou parfois même Europol pour soutirer des informations confidentielles à leurs victimes. Mais la supercherie est relativement facile à identifier pour des utilisateurs attentifs sensibilisés au phishing. Imaginez maintenant que vous receviez un e-mail provenant d’une adresse et d’un serveur légitimes, d’une entité censée assurer votre protection vous avertissant d’une menace imminente visant votre infrastructure informatique. Votre première réaction serait-elle de supposer que l’expéditeur est en réalité un pirate ? Probablement pas.

Plus de 100 000 destinataires d’e-mails ont dû faire face à ce dilemme lorsqu’ils ont reçu un e-mail provenant de l’adresse « eims@ic.fbi.gov », correspondant aux services d’information en matière de justice pénale du FBI. L’e-mail provenant réellement d’un serveur légitime du FBI, il a échappé aux outils de sécurité e-mail et a atteint les boîtes de réception de ses cibles, provoquant à juste titre la panique chez les destinataires.

Cependant, l’e-mail n’a pas été envoyé par le FBI. Il aurait en réalité été envoyé par un hacker qui avait apparemment l’intention de nuire à la réputation d’un chercheur en sécurité, le désignant de manière calomnieuse comme un pirate dans son message.

E-mail compromis visant la supply chain… le plus redoutable des Spearphish

L’un des types d’attaque par e-mail les plus sophistiqués consiste à détourner le compte d’un tiers de confiance pour le faire passer pour un contact authentique et vérifié. Cette technique est redoutable, car les attaquants ciblent spécifiquement une organisation et un individu à partir d’un contact de confiance vérifié, et faisant ainsi passer la fraude à un niveau supérieur en trompant facilement la victime humaine et en échappant aux technologies traditionnelles de sécurité des e-mails.

Dans ce cas, ces e-mails provenaient d’un serveur de messagerie du FBI fiable, et non d’une fausse adresse e-mail du FBI, le pirate ayant profité d’une erreur de codage sur un site Web du FBI pour diffuser son message frauduleux. En dépit d’une bonne cyber-hygiène, de la mise en place d’une passerelle de messagerie traditionnelle et d’une formation anti-phishing, le fait est qu’il devient presque impossible de distinguer un domaine légitime d’un domaine malveillant, en particulier lorsqu’un fournisseur ou un partenaire de confiance a été usurpé.

Dans les faits, les pirates obligent les entreprises à choisir entre faire aveuglément confiance à leurs fournisseurs ou risquer de perturber leur activité en se méfiant de chaque communication entrante. Ce défi de sécurité n’est désormais plus du ressort de l’homme, et les entreprises doivent s’appuyer sur des technologies innovantes pour protéger leurs environnements numériques dans un contexte où les attaques ciblées augmentent en nombre, en ampleur et en complexité.

Désormais, les pirates informatiques sont en mesure de détourner des comptes de fournisseurs et d’obtenir les informations d’identifications dérobées pour envoyer des e-mails de phishing sur-mesure à une entreprise cible. Ils peuvent y adjoindre des liens frauduleux vers des documents ne présentant pas d’anomalie visible (une facture, un appel d’offres etc.). Les hackers peuvent ainsi compromettre un compte interne et obtenir des informations sensibles sur un utilisateur, prendre le contrôle de sa boîte mail et envoyer d’autres e-mails malveillants à l’ensemble de l’entreprise. Comme ces e-mails parviennent à imiter à la perfection des demandes provenant de fournisseurs et même d’employés en interne, les outils traditionnels de sécurité e-mail de l’organisation les jugent inoffensifs. Alors comment peut-on se protéger de ce type d’attaque ciblée sophistiquée ?

L’IA auto-apprenante : comprendre les communications, le contexte et les comportements

Comme nous l’avons évoqué plus tôt, les solutions de sécurité traditionnelles sont le plus souvent impuissantes lorsque l’expéditeur du mail est un tiers de confiance. Plutôt que d’examiner les attaques passées et de répartir les adresses électroniques dans des listes binaires distinguant les « bonnes » des « mauvaises », les entreprises devraient adopter des approches de sécurité capables de passer en revue une myriade d’aspects d’un courrier électronique, depuis les détails du contenu du message jusqu’à une compréhension approfondie des habitudes de communication des expéditeurs et des destinataires, afin de déterminer ce qui doit ou ne doit pas arriver dans la boîte de réception des destinataires. Les outils de sécurité d’aujourd’hui doivent être en mesure de comprendre les communications, le contexte et les comportements des entreprises pour lutter contre les attaques sophistiquées et l’ingénierie sociale.

Les organisations ne peuvent pas se fier à la formation ou aux outils traditionnels de sécurité des e-mails qui ne font qu’arrêter les anomalies reconnaissables par l’homme ou les menaces qui ont déjà été observées dans le passé. Les outils de sécurité actuels doivent comprendre les communications, le contexte et les comportements des entreprises pour combattre les attaques sophistiquées par e-mail. Heureusement, même si ces e-mails proviennent d’adresses légitimes d’organismes gouvernementaux faisant autorité, comme le FBI, une IA auto-apprenante peut évaluer de manière autonome de nombreux facteurs, y compris de subtils écarts de langage, afin de déceler les anomalies et bloquer les mails frauduleux avant qu’ils n’atteignent la boîte de réception de leur cible.