Alors que nous prenons une profonde respiration collective avant de plonger en 2021, voici un aperçu des menaces et des tendances passées, présentes et futures concernant les boîtes de réception.
En 2020, nos dossiers de courrier indésirable regorgent de courriers électroniques contenant des logiciels malveillants, de leurres de phishing liés à des programmes de rançon, d’attaques par usurpation d’identité, d’usurpations de marques et de faux domaines et de demandes douteuses émanant d’entreprises légitimes. Alors, qu’est-ce qui a défini 2020 dans le domaine du spam ?
COVID-19 était un thème dominant pour les spammeurs et les hameçonneurs – une tendance qui devrait se poursuivre jusqu’en 2021. Alors que les entreprises envoyaient des millions d’employés dans leurs bureaux à domicile, ils étaient laissés à eux-mêmes lorsqu’il s’agissait d’être juge, jury et effaceur de courrier électronique. Cette seule situation était suffisamment préoccupante pour certains professionnels de l’informatique.
« De nombreuses entreprises mondiales ont été contraintes d’adopter des politiques de travail à distance pour les employés de bureau afin d’assurer la sécurité de la main-d’œuvre pendant la pandémie COVID-19, et les acteurs de la menace les ont suivis chez eux », a écrit Mimecast dans son rapport annuel sur les tendances du courrier électronique.
La réalité du travail à domicile a créé une vague de nouvelles opportunités criminelles. Les escrocs ont rapidement modifié leurs attaques pour refléter l’insécurité de l’emploi, les préoccupations sanitaires et les pénuries de produits. Les cyberattaquants ont atteint un pic en avril, envoyant 1,5 million de courriels malveillants par jour liés à COVID-19, selon Forcepoint X-Labs.
Au cours des premiers mois de la pandémie, le secteur de la vente au détail a été fortement ciblé, avec l’usurpation de domaines de grandes marques de détail qui ont profité des insécurités liées aux pénuries de produits, a rapporté Mimecast.
Ensuite, la popularité croissante des outils de travail collaboratif, tels que Zoom, Skype et Trello, stimulée par la tendance au travail à domicile, a déclenché une vague d’attaques de boîtes de réception. Un stratagème typique a circulé au début de ce mois, lorsque des attaquants ont envoyé des initiations malveillantes sur le thème de Zoom par courrier électronique, par SMS et par le biais de médias sociaux. L’objectif était de voler les identifiants de la plateforme de vidéoconférence.
Au-delà de la fraude par usurpation d’identité dans la boîte de réception, de la compromission des courriels d’affaires (BEC) et des attaques de phishing par courriel, les criminels ont utilisé des pièges techniques astucieux pour piéger leurs victimes.
Une campagne de phishing menée en septembre a utilisé des écrans superposés et des politiques de quarantaine des courriels pour voler les identifiants Microsoft Outlook des cibles. En avril, Apple a corrigé deux vulnérabilités de sécurité de type « zero-day » activement exploitées par les acteurs de la menace au cours des deux années précédentes. Les bogues étaient exploitables à distance par des attaquants qui, pour les exploiter, avaient simplement besoin d’envoyer un courriel à l’application iOS Mail par défaut des victimes sur leur iPhone ou iPad pour lancer leur attaque.
Cette année, les chercheurs de Kaspersky ont signalé une augmentation des fichiers malveillants déguisés en notifications des services de livraison. « Nous avons découvert un mailing ciblant des employés liés aux ventes à un certain titre. Les escrocs ont persuadé les destinataires d’ouvrir les documents joints, censés payer des droits de douane pour l’importation des marchandises. Au lieu de documents, la pièce jointe contenait [un logiciel malveillant] Backdoor.MSIL.Crysan.gen », ont-ils écrit.
Le rapport d’enquête sur les atteintes à la protection des données de Verizon (DBIR) de 2020 a révélé que les pièces jointes de courriels malveillants étaient la principale cause des atteintes à la protection des données et des attaques par logiciels rançonnés. Mais les liens de messagerie électronique battent les pièces jointes comme le vecteur d’infection le plus utilisé, avec 40 % des attaques utilisant cette méthode.
Alors que les groupes de menace affinent leurs attaques – en recherchant et en testant de nouvelles tactiques, techniques et procédures – les outils de protection de nos boîtes de réception ont vu leurs niveaux d’investissement approcher ceux du projet Manhattan au fil des ans. Pourtant, des attaques telles que le BEC ont contribué à des pertes massives pour les entreprises en 2020. Au cours des cinq dernières années, les attaques BEC ont coûté aux entreprises 26 milliards de dollars, selon le FBI.
C’est ce qui explique la popularité de solutions telles que le DMARC (Domain-based Message Authentication, Reporting and Conformance), un protocole d’authentification parfois appelé modèle de courrier électronique de confiance zéro. Le DMARC est conçu pour donner aux propriétaires de domaines de messagerie la possibilité de protéger leur domaine contre une utilisation non autorisée. Bien sûr, le DMARC n’est pas nouveau, mais comme les attaques par usurpation d’identité continuent à faire des victimes, c’est une technologie qui est souvent remise en question.
Microsoft, qui domine l’espace des fournisseurs de courrier électronique avec sa suite de productivité Microsoft 365 office, a également tenté de contribuer au déluge de boîtes de réception. Cette année, elle a déployé une version bêta de son Application Guard for Office, qui isole les fichiers d’application de productivité Office 365 (y compris Word, Powerpoint et Excel) potentiellement malveillants.
Mais les chercheurs de Mimecast estiment que Microsoft laisse encore de la place pour des améliorations. Dans une étude sur les clients de Microsoft, la société a constaté que près de 60 % des personnes interrogées ont déclaré avoir subi une interruption de service de Microsoft 365 au cours de l’année dernière. Cette panne a ouvert la porte aux attaques, affirment les chercheurs.
Ajoutez à cela notre confiance et notre compréhension parfois erronées des outils de sécurité – par exemple, les VPN protègent les connexions, mais ne peuvent pas filtrer une attaque par harponnage – et les boîtes de réception deviennent le ventre mou de notre armure de cybersécurité.
« De nombreuses entreprises ne survivraient pas à l’impact opérationnel – et encore moins financier – d’une violation de données. En comprenant le risque potentiel et en introduisant un comportement positif autour de la cyber-sensibilisation, elles ont de bien meilleures chances de survivre à un incident », a écrit Bill Strain, directeur de la sécurité chez Iomart.
Alors que certains espèrent que 2021 verra l’avènement de nouvelles technologies de protection des boîtes de réception telles que l’intelligence artificielle avancée pour éliminer les menaces, la réalité est que les méchants utilisent la même technologie défensive de base pour construire des armes offensives. Si 2o21 se rapproche de 2020, nous devrons tous rester vigilants.