Attaques de phishing : Pourquoi ne réfléchissons-nous pas avant de cliquer ?
Demandez une démo

MetaBlog

Le paysage des cybermenaces et des cyberattaques est en constante évolution. Explorez notre blog sur la cybersécurité pour obtenir des conseils en matière de conformité, formation et sensibilisation à la sécurité en entreprise.

Sensibilisation à la cybersécurité
Phishing et ransomware
Formation en ligne
Gestion des politiques et de la conformité
Conformité
Confidentialité, RGPD et CCPA
GRC

Attaques de phishing : Pourquoi ne réfléchissons-nous pas avant de cliquer ?

Attaques de phishing : réfléchissez avant de cliquer

au sujet de l'auteur

James MacKay

James MacKay

James MacKay est le COO de MetaCompliance et un expert reconnu en matière de formation à la sensibilisation à la sécurité informatique. Grâce à sa solide expertise en dispensation de formations efficaces en cybersécurité, James est engagé à aider les organisations à assurer la sécurité de leur personnel en ligne, à protéger leurs actifs numériques et à préserver leur réputation. 

Les attaques par hameçonnage portent autant sur la manipulation du comportement humain que sur la technologie. Cette affirmation résume pourquoi il est si difficile de prévenir les campagnes de phishing qui aboutissent à des ransomwares, des identifiants volés et d'autres cyberattaques.

Dans les années 1970, une campagne sur l'alcool au volant avait pour slogan "Réfléchissez avant de boire et de conduire". Cette campagne a été efficace et a contribué à réduire les accidents de la route liés à l'alcool au Royaume-Uni. Faire en sorte que les gens "réfléchissent" avant d'agir n'est pas aussi facile qu'il y paraît. En fait, les campagnes de phishing s'appuient sur le fait que les gens ne réfléchissent pas et n'ont pas de réaction instinctive à un e-mail. Le hameçonnage est une affaire sérieuse, un rapport récent ayant révélé que 95 % des responsables informatiques estiment que les données sont menacées par le canal du courrier électronique. 

Alors, comment une entreprise moyenne peut-elle espérer avoir autant de succès que la campagne de lutte contre l'alcool au volant des années 70 lorsqu'il s'agit de contrer les tours de passe-passe d'un cybercriminel ?

Attaques de phishing et comportement humain

Cette difficulté de prévention se reflète dans le succès des attaques de phishing : En 2019, avant la pandémie, les statistiques de phishing étaient effroyables, la compagnie d'assurance Beazley ayant constaté une augmentation de 105 % des attaques par ransomware au premier trimestre 2019. Mais 2020 a vu les attaques de phishing dépasser les limites de l'échelle. Le FBI a publié un rapport montrant que le phishing était de loin le plus répandu des crimes signalés à sa section des plaintes, IC3. L'une des forces motrices du succès du phishing au cours des 12 derniers mois a été la pandémie de Covid-19, qui a fourni aux hameçonneurs des opportunités à profusion pour exploiter le comportement humain : en témoigne une augmentation stupéfiante de 30 000 % des menaces basées sur Covid-19 au cours de 2020 ; la plupart de ces attaques ont utilisé des sites Web malveillants et des e-mails de phishing.

Le phishing (et ses variantes, Vishing/Smishing/Pharming) est un vecteur d'attaque répandu parce que la technique fonctionne. Elle fonctionne parce qu'elle utilise le comportement humain naturel pour effectuer une action qui profite au cybercriminel à l'origine de l'attaque. Pouvoir manipuler une personne légitime pour qu'elle accomplisse une action illégitime est la marque de fabrique de l'escroquerie, même avant l'avènement des technologies modernes. Mais la technologie peut gâter même les utilisateurs les plus avertis, car les habitudes d'utilisation de la technologie sont "codées en dur" à mesure que l'on se familiarise avec un système. 

L'email, par exemple, est une technologie du quotidien que nous utilisons en permanence. En 2020, 306,4 millions d'e-mails ont été envoyés et reçus quotidiennement. Ouvrir un e-mail et cliquer sur un lien est presque une seconde nature, un comportement réflexe face à une tâche régulière. C'est sur cette répétitivité, et sur le manque de réflexion nécessaire à l'action, que se concentre le phisher.

5 Caractéristiques typiques du phishing

Les attaques de phishing veulent prendre les gens au dépourvu avant qu'ils ne réfléchissent trop. Pour ce faire, les campagnes doivent veiller à ce que certains critères soient remplis et que les circonstances soient optimisées :

  1. Source de confiance : Une façon de supprimer ce processus de réflexion est de faire en sorte que le destinataire de l'e-mail se sente en sécurité. Les campagnes de phishing se font généralement passer pour des marques connues. Dans une étude sur les marques utilisées par les hameçonneurs, Microsoft arrive régulièrement en tête des marques préférées des hameçonneurs. Parmi les autres marques usurpées figurent Netflix et PayPal.
  2. L'attrait du clic : Alors que 79 % des gens disent pouvoir reconnaître un courriel de phishing, près de la moitié d'entre eux cliqueront quand même sur un lien dans un courriel suspect. Les raisons de ce comportement s'expliquent probablement par la formation implicite que nous avons tous reçue pour utiliser le contenu d'Internet. Cliquer est presque une réponse pavlovienne lorsqu'un courriel contient un lien. Les concepteurs d'expérience utilisateur (UX) ont utilisé ce type de conditionnement pour aider les gens à utiliser la technologie plus facilement ; les cybercriminels utilisent la même manipulation psychologique pour nous inciter à cliquer sur un lien de phishing afin de lancer l'étape suivante du phish.
  3. Diriger par la tâche : Faire en sorte que l'e-mail se concentre sur une tâche simple permet de supprimer le processus de réflexion. Les tâches répétitives et reconnues, comme la réinitialisation des mots de passe, sont les préférées des phisher. Cela permet d'effectuer ce "clic" si important sans trop réfléchir aux conséquences possibles. Si la tâche est liée au travail, il est plus probable que le clic soit effectué et que le phishing soit déclenché.
  4. L'urgence : Souvent, les courriels d'hameçonnage contiennent une sorte d'incitation à cliquer automatiquement. Il s'agit souvent de la menace d'une mesure disciplinaire ou d'une inquiétude concernant une action, comme le paiement d'une facture. Certaines campagnes de phishing sont très ciblées (Spear phishing). Ces campagnes usurpent souvent l'identité d'un PDG ; le faux PDG envoie ensuite un courriel au service de la comptabilité pour lui demander de transférer de l'argent sur un compte bancaire. Ce compte est, bien entendu, détenu par un escroc.  
  5. Surchargé de travail: Une étude sur les hôpitaux ciblés par des campagnes de phishing a conclu que le personnel surmené était plus susceptible de cliquer sur un lien de phishing. Si vous n'avez pas le temps de réfléchir, vous vous contenterez d'une réponse automatique.

Une note sur les attaques de spear phishing. Ce type d'hameçonnage nécessite un niveau de reconnaissance plus approfondi afin de délivrer des e-mails d'hameçonnage plus convaincants à la cible. Ce niveau de détail rend les e-mails de spear phishing encore plus difficiles à repérer pour les employés. Ainsi, les attaques de spear-phishing par e-mail ont augmenté de 667 % pendant la pandémie de Covid-19.

Comment faire en sorte qu'un employé clique sur un lien de phishing ?

Les cybercriminels sont passés maîtres dans l'art de créer les conditions d'une campagne de phishing réussie. Ils utilisent toutes les astuces pour inciter un utilisateur à cliquer, comme l'usurpation de marques de confiance, pour faire de l'utilisateur un appât facile. La ruse de phishing d'Office 365 en 2020 en est un exemple. Elle comportait tous les éléments qui manipulent les utilisateurs pour qu'ils cliquent avant de réfléchir :

  • Des courriels frauduleux ressemblant à ceux de Microsoft Office 365 ont été envoyés aux employés. 
  • L'email avait pour titre "Formation COVID-19 pour les employés : Un certificat pour des lieux de travail sains". Les employés étaient encouragés à donner suite à l'e-mail pour des raisons professionnelles.
  • Les destinataires de l'e-mail étaient invités à cliquer sur un lien dans l'e-mail qui les conduisait à une page de connexion Office 365 falsifiée : la page semblait identique à une page Office 365 réelle.
  • Un utilisateur était invité à saisir ses informations d'identification Office 365 pour se connecter et recevoir le certificat. S'il le faisait, ces informations d'identification étaient volées, puis utilisées pour se connecter au véritable portail Office 365.

Comment empêcher un employé de cliquer sur un lien de phishing ?

La prévention des comportements codés en dur nécessite une formation de sensibilisation spécialisée. Les technologues ont conçu les systèmes pour qu'ils soient faciles à utiliser et pour que le clic soit une action facile, cette réaction d'auto-clic doit être brisée pour empêcher le succès du phishing. En proposant un test de phishing bien conçu et contrôlé, une organisation peut contribuer à modifier le comportement dont dépendent les cybercriminels. Les tests de phishing simulés créent un environnement sûr pour former les utilisateurs aux manières subtiles dont les hameçonneurs manipulent leur comportement, afin qu'ils puissent se méfier de ces astuces. Dans le cadre d'un programme plus large de sensibilisation à la sécurité, la simulation de phishing est efficace pour prévenir le succès du phishing qui se traduit par le vol d'identifiants, l'exposition de données et l'infection par un ransomware. 

Guide Phishing : sensibilisation au phishing en entreprise

Sensibilisation à la cybersécurité : d'autres articles que vous pourriez aimer

Demandez une démo

Demandez une démonstration gratuite dès aujourd'hui pour voir comment notre logiciel et notre formation anti-hameçonnage pourraient profiter à votre organisation.

La démo ne prend que 30 minutes et vous n'avez pas besoin d'installer de logiciel.