Cybersécurité, ransomwares et fraude par email en cette année qui a changé le monde - Single line - eb-Qual
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
RAPPORT Le facteur humain 2021 Cybersécurité, ransomwares et fraude par email en cette année qui a changé le monde proofpoint.com/fr Single line
LE FACTEUR HUMAIN 2021 | RAPPORT
Introduction
La tragédie, la tourmente et les bouleversements historiques de 2020 ont alimenté toutes les conversations.
Mais à l'heure où les entreprises du monde entier amorcent lentement leur retour à la normale, « l'année qui
n'a pas eu lieu1 » mérite d'être explorée plus avant. C'est d'autant plus vrai dans le monde de la cybersécurité.
Tandis que la pandémie bouleversait les habitudes de travail et la vie familiale, les cybercriminels s'en donnaient
à cœur joie. Ils en ont profité pour exploiter un cadre de travail totalement inédit, mais aussi la peur ambiante,
les doutes et les incertitudes pour abuser les utilisateurs et compromettre les entreprises. Et à présent, en 2021,
ces cybercriminels enhardis poussent leur avantage en multipliant les attaques de ransomwares contre des
infrastructures et des entreprises réputées.
Et même si la vie semble reprendre peu à peu son cours normal, certaines tendances nées pendant la pandémie
risquent de perdurer. Ainsi, de nombreux collaborateurs sont voués à conserver un mode de travail hybride,
partageant leur temps entre la maison et le bureau. Quant aux équipes distribuées, elles collaboreront par-delà
les frontières et les juridictions. Déjà amorcée avant la pandémie, la transformation intervenue dans l'e-commerce,
le cloud et d'autres domaines ne fait que s'accélérer.
Quelle que soit l'apparence que prendra le monde de l'après-COVID, la protection des personnes,
indépendamment de la méthode et du lieu de travail, sera un défi permanent.
À propos de ce rapport Au sommaire de ce rapport Portée
Depuis son lancement en 2014, le Ce rapport explore en profondeur chacune Les données de ce rapport s'appuient
rapport Le facteur humain repose sur des trois facettes du risque utilisateur. sur le graphique des menaces Nexus
un principe simple, à savoir que les Il examine la façon dont les événements de Proofpoint, alimenté par les données
personnes, et non les technologies, exceptionnels de l'année 2020, et les issues des déploiements Proofpoint
constituent la variable la plus critique bouleversements inédits qu'ils ont du monde entier. Chaque jour, nous
face aux cybermenaces d'aujourd'hui. amenés, ont transformé le paysage analysons plus de 2,2 milliards d'emails,
des menaces. Il analyse l'écosystème 35 milliards d'URL, 200 millions de
Cette notion qui pouvait sembler
en pleine mutation des menaces et les pièces jointes, 35 millions de comptes
au départ paradoxale est devenue
implications pour nous. Enfin, il explique cloud, et plus encore, soit plusieurs
aujourd'hui une vérité communément
comment une défense centrée sur les billions de données couvrant les
admise. Les cybercriminels s'en prennent
personnes peut renforcer la résilience des principaux canaux numériques.
aux personnes. Ils les exploitent. Et au
utilisateurs, limiter les attaques et optimiser Le rapport porte sur la période s'étalant
bout du compte, ils sont aussi humains.
la gestion des privilèges. du 1er janvier au 31 décembre 2020. Sauf
Pour prévenir, détecter et contrer
Le présent rapport fait également le point indication contraire, il inclut les menaces
efficacement les menaces et les risques
sur les menaces détectées, neutralisées observées directement par notre réseau
de conformité actuels, les professionnels
et résolues au cours de l'année 2020 au mondial de chercheurs sur les menaces
de la sécurité des informations doivent
sein des déploiements Proofpoint partout et associées à une campagne d'attaques,
être conscients que le risque utilisateur
dans le monde, l'un des référentiels de que nous définissons comme une série
repose sur plusieurs dimensions centrées
données les plus importants et variés d'actions effectuées par un cybercriminel
sur les personnes : la vulnérabilité,
dans le domaine de la cybersécurité. pour atteindre un objectif.
les attaques et les privilèges. En pratique,
il s'agit donc de comprendre : Le rapport se concentre dans une large En ce qui concerne la section 3 :
mesure sur les menaces faisant partie Privilèges, 300 clients ont communiqué
• Les principales vulnérabilités
de campagnes d'attaque de plus grande leurs alertes Insider Threat Management,
des utilisateurs
envergure ou sur les diverses actions ce qui permet de déterminer les formes
• Les méthodes utilisées par les menées par les cybercriminels pour d'exploitation de privilèges qui les
cybercriminels pour les exploiter atteindre leur objectif. Dans certains cas, préoccupaient le plus. Nous avons
• Les risques potentiels résultant de la nous associons ces campagnes à un comparé les alertes générées entre
cybercriminel ou un collectif spécifique, février 2020 et janvier 2021, période
compromission d'un accès privilégié
une démarche appelée attribution. qui correspond au pic de la pandémie,
aux données, systèmes et
Mais pour les raisons expliquées dans à celles émises entre octobre 2019 et
autres ressources la section « L'art de l'attribution », janvier 2020.
Les solutions mises en œuvre pour page 27, ce n'est pas toujours possible.
neutraliser ces éléments — le facteur
humain de la cybersécurité —
représentent les piliers fondamentaux
d'une défense moderne.
1
The Economist, « 2020 : The year that wasn’t » (2020 : l'année qui n'a pas eu lieu), novembre 2020.
LE FACTEUR HUMAIN 2021 | RAPPORT
Sommaire
Principales observations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1 Vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Mise à l'épreuve des utilisateurs : taux d'échec aux simulations
de phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Taux d'échec par secteur d'activité . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2 Attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Les ransomwares en plein essor . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
États clés de la présidentielle américaine : attaques sur le thème
des élections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
COVID-19 : l'exploitation de la pandémie par les cybercriminels . . . . . 15
Types d'attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Techniques d'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Outils d'attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3 Privilèges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Conclusion et recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3
LE FACTEUR HUMAIN 2021 | RAPPORT
Principales
Principalesobservations
observations
Plus d'une personne sur trois ciblées lors
de campagnes d'attaque ayant recours à la
stéganographie a cliqué sur l'email malveillant,
soit le taux de réussite le plus élevé parmi toutes
Voici quelques-unes des principales observations les techniques d'attaque.
réunies dans le rapport de cette année.
Plus de 48millions de messages contenaient Le nombre de clics capturés par
un malware pouvant servir de point d'entrée
à des attaques de ransomwares. >50X les attaques de type CAPTCHA est
plus de 50 fois supérieur
à celui recensé l'année précédente.
Alors que le monde était totalement absorbé par
l'actualité liée à la COVID-19, les cybercriminels
ne se sont pas gênés pour tirer parti de la situation.
Les leurres sur le thème de la pandémie ont été Les campagnes d'attaque lancées par le collectif TA542
plus nombreux que n'importe quel autre appât (le groupe associé au botnet Emotet) ont convaincu
lié à des événements ou des faits d'actualité. le plus grand nombre d'utilisateurs de cliquer.
Pratiquement tous les groupes cybercriminels surveillés Ce total reflète à la fois l'efficacité de ce groupe
par Proofpoint ont utilisé à un moment ou un autre du et le volume considérable d'emails envoyés lors
contenu lié à la pandémie au cours de l'année 2020. de chaque campagne.
Près de 10 % des emails malveillants liés à des campagnes
ont tenté de distribuer le malware Emotet.
Avant d'être démantelée par une vaste opération
des forces de police en janvier 2021, Dans un monde où les utilisateurs ont été subitement confinés
~10 % l'infrastructure d'Emotet était proposée
en location à d'autres groupes, qui l'ont utilisée
pour distribuer des ransomwares
à la maison et où le télétravail est devenu la nouvelle normalité,
l'avis des entreprises quant aux risques associés
et d'autres types de malwares. aux privilèges a évolué. Le nombre d'entreprises
qui ont configuré des alertes DLP pour les activités
ci-après a considérablement augmenté
Près de 25 % de toutes les campagnes par rapport aux niveaux constatés avant la pandémie :
d'attaque dissimulaient des malwares dans
des fichiers exécutables compressés, lesquels ne
s'exécutent qu'après une interaction du destinataire.
25 % • Utilisation de clés USB
• Copie de dossiers et fichiers volumineux
(surtout à des heures inhabituelles)
• Évaluation des services de partage
de fichiers
Le phishing d'identifiants de connexion , qu'il vise
les particuliers ou les entreprises, est de loin la forme la • Activités susceptibles de contourner
plus courante d'attaque, et représente près de deux tiers l'outil de surveillance des utilisateurs
de tous les messages malveillants, laissant loin derrière
toutes les autres attaques combinées. Le phishing
d'identifiants de connexion entraîne la compromission
de comptes. Ceux-ci peuvent ensuite être exploités dans
le cadre d'autres attaques, dont le vol de données et le
piratage de la messagerie en entreprise (BEC, Business
Email Compromise).
Contrôles visant à prévenir les fuites de
Les techniques qui exigent une données et les menaces internes mis
interaction du destinataire avec une
pièce jointe ou directement avec d'autres
en place par les clients en général :
attaques ont sensiblement augmenté. 1. Connexion d'une clé USB non approuvée
Le piratage de fils de discussion 2. Copie de dossiers ou de fichiers volumineux
a progressé de 18 % par rapport à
l'année précédente. Les attaques qui 3. Chargement d'un fichier sensible sur le Web
18 % 10X
exploitent les fichiers protégés par mot
de passe ont pratiquement quintuplé. 4. Ouverture d'un fichier texte susceptible
de contenir des mots de passe
Quant aux attaques par macro Excel
Piratage de fils Macro 4.0, leur volume a plus que décuplé. 5. Téléchargement d'un fichier possédant
de discussion Excel 4.0 une extension potentiellement malveillante
Attaques
4
LE FACTEUR HUMAIN 2021 | RAPPORT
Chaque collaborateur est unique.
Structure de ce rapport Sa valeur aux yeux des cybercriminels
et les risques qu'il représente pour Vulnérabilité
En cybersécurité, le risque est déterminé l'employeur le sont également.
comme suit : menaces x vulnérabilité Les collaborateurs ont tous leurs
x impact +/- contrôles de sécurité. propres vulnérabilités, habitudes
numériques et points faibles.
Ce rapport se concentre sur chacune de Cibles Cibles
Ils sont attaqués de diverses
vulnérables latentes
ces facettes en les analysant au moyen manières et à une fréquence
Cibles
variable. Ils disposent en imminentes
de notre modèle de risque utilisateur
outre de différents niveaux
centré sur les personnes – vulnérabilité, de privilèges d'accès Attaques Privilèges
attaques (menaces) et privilèges (impact) – aux données, systèmes
Cibles
et ressources. majeures
et en proposant des recommandations
sur les mesures à appliquer pour limiter Ces facteurs se conjuguent
pour déterminer le risque
au maximum chacune d'elles.
global posé par chacun d'eux.
sont autant de compromissions vouées
Vulnérabilité Privilèges à se produire. Un utilisateur à privilèges
élevés n'occupe pas nécessairement un
Le niveau de vulnérabilité des utilisateurs Les privilèges désignent tous les éléments
poste en vue. Même des collaborateurs
s'évalue selon leur comportement potentiellement de valeur auxquels les
numérique : leurs méthodes de travail utilisateurs ont accès (données, autorité subalternes des départements RH,
et leurs clics. financière, relations clés, etc.). L'évaluation technique ou administratif peuvent
de cet aspect des risques est essentielle, présenter un niveau d'accès à
De nombreux employés travaillent à car elle reflète les gains potentiels risque entre de mauvaises mains.
distance ou accèdent à leurs emails des cybercriminels, et les dommages S'ils ne le sont pas encore, ce sont
professionnels sur leurs terminaux que subiraient les entreprises en cas incontestablement des cibles en devenir.
personnels. Certains utilisent une solution de compromission.
cloud de stockage de fichiers ou installent • Cibles vulnérables : Les utilisateurs
des modules complémentaires proposés La position de l'utilisateur dans régulièrement attaqués et vulnérables aux
par des tiers pour leurs applications cloud. l'organigramme de l'entreprise est menaces constituent des cibles faciles
D'autres se laissent facilement piéger bien entendu un facteur à prendre en pour les cybercriminels. Une intervention
par les tactiques de phishing par email considération lors de l'évaluation des et une neutralisation rapides peuvent
des cybercriminels. privilèges. Ce n'est cependant pas le seul limiter les dommages pour les utilisateurs
facteur – et bien souvent, il est loin d'être à privilèges limités. Toutefois, si elle
le plus important. Pour les cybercriminels, réussit, une attaque peut permettre à son
Attaques toute personne leur permettant d'arriver
à leurs fins constitue une cible précieuse.
auteur de s'implanter dans le système
et de s'en prendre à des utilisateurs
Toutes les cyberattaques ne se valent pas. jouissant d'un accès à des données,
Bien qu'elles soient toutes potentiellement
nuisibles, certaines sont plus dangereuses,
ciblées ou sophistiquées que d'autres.
Cumul des facteurs de risque ressources et systèmes plus sensibles.
• Cibles majeures : Le risque posé par
Un niveau de risque élevé dans l'une les utilisateurs à privilèges élevés et très
Les attaques « classiques », menées de ces catégories est préoccupant et ciblés peut être atténué en limitant leur
à l'aveugle, sont sans doute plus demande, dans la plupart des cas, vulnérabilité grâce à des formations de
nombreuses que les menaces plus l'implémentation de mesures de sécurité sensibilisation à la sécurité informatique
avancées, mais elles sont généralement supplémentaires. Deux facteurs élevés et à de bonnes pratiques numériques.
bien comprises et plus facilement ou plus sont le signe d'un problème de Les personnes de cette catégorie sont
bloquées. (Mais ne vous y trompez pas, sécurité plus urgent.
confrontées à quantité de menaces, et il
elles peuvent causer autant de dégâts.)
Les quatre catégories d'utilisateurs ne faut qu'une attaque aboutie pour causer
D'autres menaces n'apparaissent que suivantes montrent comment le cumul des des dommages durables à une entreprise.
dans quelques rares types d'attaques, vulnérabilités, des attaques et des privilèges • Cibles imminentes : Les utilisateurs qui
mais représentent un danger plus grand peut affecter votre niveau de risque global : présentent des niveaux élevés de ces
en raison de leur sophistication ou des
trois facteurs posent un risque immédiat
personnes ciblées. • Cibles latentes : Les utilisateurs à
et critique. La limitation du risque qu'ils
privilèges élevés qui sont également
posent doit être considérée comme une
plus vulnérables aux leurres de phishing
priorité urgente.
5
LE FACTEUR HUMAIN 2021 | RAPPORT
SECTION 1
Vulnérabilités
STÉGANOGRAPHIE Les vulnérabilités peuvent être envisagées sous un autre angle, en se posant la question
Les cybercriminels utilisent cette technique suivante : « Si mes utilisateurs étaient la cible d'une cyberattaque, quelle est la probabilité
pour dissimuler la charge virale malveillante qu'ils se laissent abuser ? ».
dans un fichier en apparence anodin (photos
ou fichiers audio, par exemple). En général, Certaines des techniques d'attaque les plus efficaces en 2020 étaient également
la charge virale est encodée dans des bits extrêmement ciblées et ont été utilisées dans le cadre de campagnes parfois constituées
normalement inutilisés de données que les de quelques emails seulement.
utilisateurs ne voient pas et qui sont difficiles
à détecter avec des outils d'analyse de fichiers La STÉGANOGRAPHIE, qui consiste à dissimuler du code malveillant dans des images
et sandbox. Une fois qu'elles sont sur les et d'autres types de fichiers, a uniquement été utilisée dans quelques campagnes
machines des victimes, les données très ciblées. Toutefois, la technique s'est avérée extrêmement efficace puisque trois
dissimulées sont décodées et activées. destinataires sur huit ont cliqué sur ce type de fichier*. Un tel taux de réponse ferait
l'envie de n'importe quel cybercriminel — ou annonceur d'ailleurs.
CAPTCHA
La plupart du temps, les techniques CAPTCHA Les techniques CAPTCHA, qui utilisent des tests visuels pour distinguer les personnes
sont utilisées en tant que mesure antifraude. des machines, affichent un nombre de clics 50 fois supérieur à celui de l'année
En demandant à l'utilisateur d'exécuter une précédente. Bien que le taux de réponse global ne représente que 5 %, ce que reste un
tâche facile pour un être humain, mais
franc succès pour la plupart des campagnes de marketing email, un nombre bien plus
compliquée pour une machine, cette technique
important d'utilisateurs se sont laissé berner par cette technique en 2020 par rapport
permet de s'assurer que c'est bien une
à l'année précédente.
personne, et non un robot automatisé,
qui accède à un site Web. Les cybercriminels
l'utilisent d'une façon similaire mais bien plus
inquiétante. En employant un CAPTCHA, ils
s'assurent que leur malware est sur le système
d'un véritable utilisateur et non dans un outil
d'analyse en environnement sandbox capable
d'observer ses activités malveillantes.
La technique permet également de déterminer
la localisation de l'utilisateur (sur la base de
son adresse IP) pour les attaques ciblant les
personnes d'un pays ou d'une
région déterminée.
Capture d'écran du code CAPTCHA d'une attaque sur le thème de la COVID en mai
Il est difficile de savoir pourquoi les utilisateurs ont été plus vulnérables à ces deux
techniques. Il est possible que les collaborateurs distants aient été plus distraits et mis
à rude épreuve sur le plan cognitif en raison du stress subi en 2020. Certains étaient sans
doute plus disposés à se laisser prendre au piège en raison des nouveaux contrôles mis
en place pour le télétravail et à considérer le code CAPTCHA comme une mesure de
sécurité normale.
* Dans les campagnes attribuées.
6
LE FACTEUR HUMAIN 2021 | RAPPORT
Techniques enregistrant le plus grand nombre Évolution par rapport à l'année précédente
de clics par message* (Nombre moyen de clics en 2020 et en 2019)*
La stéganographie s'est avérée extrêmement payante dans les Les techniques CAPTCHA, qui échappent aux outils de sécurité
quelques campagnes ciblées qui ont eu recours à cette technique. dans la mesure où elles nécessitent une interaction humaine,
Les attaques exploitant la vulnérabilité CVE-2018-8174 de Windows ont généré en 2020 un nombre de clics 50 fois supérieur à celui
ont également été efficaces et ont été utilisées dans des campagnes de l'année précédente. Elles ont été utilisées dans plusieurs
plus fréquentes et à plus grande échelle. dizaines de campagnes de grande envergure.
Stéganographie CAPTCHA
CVE-2018-8174 BlackTDS
Kit d'exploitation RIG
CMSTP
Traitement des scripts XSL
BlackTDS
CVE-2018-8174
Java
HTML
Traitement des scripts XSL
Protection par mot de passe
VBS Java
JavaScript Keitaro TDS
0% 10 % 20 % 30 % 40 % 0% 10 % 20 % 30 % 40 % 50 % 60 % 70 %
Dans tous les cas, les auteurs de menaces ont eu tôt fait de
profiter des utilisateurs vulnérables.
À l'origine des campagnes les plus volumineuses de 2020, le
collectif TA542 a généré 454 clics par campagne d'attaque, avec
un taux de réussite d'environ 0,1 %. Son manque d'efficacité a
TA542 été largement compensé par le volume de messages envoyés.
Avant son démantèlement en janvier 2021, TA542 était devenu l'un des (Pour en savoir plus sur ce célèbre groupe cybercriminel,
groupes cybercriminels les plus prolifiques de ces dernières années consultez la Section 2 : Attaques.) TA576, un autre collectif
grâce à des campagnes de grande envergure utilisant une souche de à l'origine de campagnes de grande envergure, a enregistré
malware appelée Emotet. Le groupe cible de multiples secteurs d'activité 568 clics par campagne, avec un taux de réussite similaire.
à travers le monde et envoie des centaines de milliers, voire des millions, En revanche, certains des cybercriminels les plus « efficaces »
de messages par jour. (avec les taux de réussite les plus élevés) affichaient les volumes
Emotet ne se contente pas de compromettre les systèmes qu'il infecte. les plus faibles de messages.
Il s'en sert également pour lancer de nouvelles attaques, en les absorbant
Ainsi, un groupe que nous avons baptisé TA407 a généré en
dans un réseau zombie de plus d'un million de machines infectées, appelé
moyenne un clic pour cinq messages envoyés en 2020, soit l'un
« botnet ». D'autres cybercriminels utilisent l'infrastructure du botnet de
des taux de réussite les plus élevés parmi tous les cybercriminels
TA542 pour toutes sortes d'attaques.
suivis par Proofpoint. Ce groupe s'est montré très sélectif en
TA576 n'envoyant que quelques dizaines d'emails dans le cadre de
Ce groupe cybercriminel s'en tient généralement aux fraudes aux déclarations moins de 100 campagnes durant toute l'année 2020.
fiscales. Même s'il n'a lancé que deux campagnes en 2020, il s'agissait
d'attaques de grande envergure.
TA407
Également connu sous d'autres noms (Silent Librarian, Cobalt Dickens
ou encore Mabna Institute), ce groupe cybercriminel opère depuis l'Iran.
Il a ciblé diverses universités d'Amérique du Nord et d'Europe pour s'emparer
de leur propriété intellectuelle. En 2018, les autorités américaines ont
condamné neuf membres présumés du groupe pour le vol de données
évaluées à 3,4 milliards de dollars USD.
7
LE FACTEUR HUMAIN 2021 | RAPPORT
Le groupe est connu pour la sophistication des techniques d'ingénierie sociale qu'il
emploie. Ses campagnes email utilisent par exemple des sites Web d'apparence
professionnelle, de type universitaire, et des activités scolaires normales (par exemple,
le renouvellement des inscriptions à la bibliothèque) pour inciter ses victimes à fournir
leurs identifiants de connexion.
Taux de clics (par campagne) moyens Nombre moyen de clics et nombre
pour les auteurs de campagnes moyen de messages par campagne
de grande envergure
Nombre moyen de clics et nombre moyen de messages par campagne
1,5 0,25
Clics pour 1 000 emails 1,2 0,2
0,9 0,15
0,6 0,1
0,3 0,05
0,0 0
TA542 TA567 TA544 TA505 TA800 TA407 TA4561 TA4557 TA556 TA2718
Clics par campagne
600
500
Nombre moyen de clics
400
300
200
100
0
TA567 TA542 TA568 TA570 TA569 TA543 TA556 TA2718 TA800 TA505
8
LE FACTEUR HUMAIN 2021 | RAPPORT
Mise à l'épreuve des utilisateurs : taux d'échec
aux simulations de phishing
Les simulations d'attaques de phishing offrent un autre moyen d'évaluer la vulnérabilité
des utilisateurs. Ces simulations d'attaques permettent d'identifier les leurres et tactiques
qui ont le plus de chances de berner les utilisateurs en situation réelle et dans des
conditions de travail normales.
Notre rapport annuel State of the Phish a analysé les réactions des utilisateurs face
à plus de 60 millions d'emails de simulation d'attaque de phishing sur 12 mois en 2020.
En comparant les taux d'échec moyens (le pourcentage d'utilisateurs qui sont tombés
dans le piège), le rapport montre dans quelles circonstances les utilisateurs peuvent
être les plus vulnérables.
Voici quelques-unes des principales observations du rapport :
Taux d'échec par type de modèle
Chaque email de « phishing » est conçu sur la base d'un modèle qui permet à l'entreprise
d'imiter un large éventail de leurres, de styles et de thèmes d'attaque. Bien que les
modèles soient aussi variés que les menaces réelles en circulation, ils peuvent être
classés dans trois grandes catégories :
• Phishing basé sur les liens (incluant une URL dangereuse redirigeant les utilisateurs
vers des sites Web malveillants et des malwares)
• Phishing basé sur la saisie de données (dirigeant l'utilisateur vers une fausse page
de connexion afin de dérober des identifiants de connexion et d'autres données
personnelles)
• Phishing basé sur une pièce jointe (contenant un fichier malveillant)
En moyenne2, un utilisateur sur cinq a cliqué sur des emails comportant une pièce jointe.
Parmi les trois catégories de modèles, c'est celle qui connaît le taux d'échec le plus
important (plus que les deux autres catégories réunies).
Types de modèles de phishing : taux d'échec moyen
12 % 4%
20 %
Lien Saisie de Pièce jointe
données
2 Pour éviter une pondération excessive des grandes entreprises, nous avons calculé des notes moyennes
par client et non par utilisateur individuel.
9
LE FACTEUR HUMAIN 2021 | RAPPORT
Taux d'échec par secteur d'activité
Secteurs les plus vulnérables Départements internes les plus vulnérables
D'après les taux d'échec constatés lors des simulations Les taux d'échec par secteur ne suffisent cependant pas à
d'attaque de phishing, il semble que les utilisateurs de identifier les fonctions et les équipes potentiellement vulnérables.
certains secteurs soient plus vulnérables que d'autres. Les cybercriminels ciblent souvent des boîtes de réception et des
alias de messagerie spécifiques. Le taux d'échec par département
Les utilisateurs des secteurs de l'ingénierie, des donne un aperçu plus précis des vulnérabilités potentielles.
télécommunications, de l'exploitation minière et de
l'éducation, par exemple, sont plus enclins à se laisser Les départements informatique, fiscal, des achats, de la recherche
duper. En revanche, ceux appartenant aux secteurs et du développement, d'audit et des RH sont les moins enclins
de l'hôtellerie / voyages et du divertissement / médias à se laisser abuser par des emails de simulation d'attaque de
sont plus difficiles à abuser. phishing. Les départements d'ingénierie, de contrôle qualité,
de maintenance et des équipements sont les plus susceptibles
(Remarque : les secteurs représentés dans ce tableau de tomber dans le piège.
incluent les données d'au moins 15 entreprises et d'au
moins 150 000 simulations d'attaques.) (Remarque : les secteurs représentés dans ce tableau
incluent les données d'au moins 15 entreprises et d'au moins
150 000 simulations d'attaques.)
Taux d'échec moyen par secteur d'activité Taux d'échec moyen par département
Hôtellerie / Voyages : 9 % Taux d'échec moyen Achats : 7 % Taux d'échec moyen
global de 11 % global de 11 %
Juridique : 9 % Technologies de l'information : 8 %
Divertissement / Médias : 9 % Recherche et développement : 8 %
Automobile : 10 % Fiscalité : 9 %
Alimentation et boissons : 10 % Ressources humaines : 9 %
Santé : 10 % Audit : 10 %
Secteur public : 11 % Opérations : 10 %
Fabrication : 11 % Service client : 10 %
Services financiers : 11 % Comptabilité : 10 %
Services aux entreprises : 11 % Entrepôt : 11 %
Technologies : 11 % Chaîne logistique : 11 %
Construction : 11 % Ventes : 11 %
Vente au détail : 11 % Finance: 11 %
Transport : 12 % Services administratifs : 12 %
Assurances : 12 % Sécurité : 12 %
Énergie / Services d'utilité publique : 12 % Marketing : 12 %
Éducation : 13 % Ingénierie : 13 %
Exploitation minière : 13 % Qualité : 14 %
Télécommunications : 14 % Maintenance : 15 %
Ingénierie : 16 % Installations : 17 %
0% 5% 10 % 15 % 20 % 0% 5% 10 % 15 % 20 %
10LE FACTEUR HUMAIN 2021 | RAPPORT
SECTION 2
Attaques
Les ransomwares en plein essor
D'après les chiffres du gouvernement américain3, les attaques de RANSOMWARES ont
augmenté de 300 % l'année dernière. Au cours du premier semestre 2021, le problème
s'est encore intensifié avec les attaques lancées contre Colonial Pipeline, JBS Foods et le
système de santé publique irlandais (HSE, Health Service Executive), ce qui montre que
les auteurs de ransomwares peuvent réellement mettre en péril les infrastructures critiques
du monde entier.
RANSOMWARE
Ce type de malware prend en otage les données Certes, les attaques de ransomwares continuent d'utiliser le canal email, mais bien des
de ses victimes en les chiffrant, puis exige le choses ont changé depuis 2016, année où Locky a envahi des millions de boîtes de
paiement d'une rançon pour les déverrouiller. réception. Au lieu d'être envoyé en tant que charge virale principale dans des campagnes
email malveillantes, les ransomwares sont désormais le plus souvent téléchargés par un
malware déjà présent dans un système ou distribués via un accès RDP (Remote Desktop
Protocol) ou VPN (réseau privé virtuel). Cela étant, l'email continue de jouer un rôle clé
dans ces attaques puisqu'il s'agit du vecteur utilisé pour distribuer la plupart des malwares
de la première phase, qui servent ensuite à télécharger le ransomware.
Les cybercriminels responsables de ces chargeurs et chevaux de Troie jouent ensuite
le rôle d'intermédiaires et de facilitateurs pour permettre aux auteurs d'attaques de
ransomwares d'utiliser des portes dérobées d'accès aux systèmes infectés en échange
d'une part des profits. Au lieu de privilégier les campagnes de grande envergure mais peu
lucratives, les auteurs d'attaques de ransomwares préfèrent à présent « chasser le gros
gibier », c'est-à-dire des entreprises de plus grande taille qui ont bien plus à perdre et sont
donc plus enclines à payer.
3 James Rundle et David Uberti (Wall Street Journal), « How Can Companies Cope with Ransomware? »
(Comment les entreprises font-elles face aux ransomwares ?), mai 2021.
Messages malveillants provenant de souches de malware associées à des ransomwares
3,5
3,0
2,5
2,0
Millions
1,5
1,0
0,5
0
02/01/2020 02/02/2020 02/03/2020 02/04/2020 02/05/2020 02/06/2020 02/07/2020 02/08/2020 02/09/2020 02/10/2020 02/11/2020 02/12/2020
11
Emotet The Trick BazaLoader Qbot SDBbot Dridex Zloader Buer PhorpiexLE FACTEUR HUMAIN 2021 | RAPPORT
Compte tenu de ce changement de stratégie, notre passerelle de messagerie a détecté
peu de ransomwares. En fait, une seule souche, Avaddon, représente près de 95 %
de toutes les charges virales de ransomware de la première phase pour l'année 2020.
En revanche, plusieurs charges virales courantes de la première phase, telles que
The Trick, Dridex et Qbot, ont servi de points d'entrée pour une infection de ransomware
ultérieure. Les trois sont d'ailleurs utilisées dans les campagnes les plus importantes
en termes de volume observées l'année dernière. Au total, nous avons recensé plus de
48 millions de messages contenant un malware capable de télécharger un ransomware
ou d'autres charges virales secondaires en 2020.
Le malware distribué pour l'accès initial ne se contente pas de télécharger une souche
spécifique de ransomware. D'après nos observations et celles d'autres chercheurs4,
les relations sont bien plus complexes et multiples qu'il n'y paraît.
MALWARE RANSOMWARE
The Trick WastedLocker
Ryuk
BazaLoader
Egregor
SocGholish
Maze
IcedID
Sodinokibi
Qbot ProLock
Échantillon des charges virales d'accès initial distribuées par des cybercriminels
et ransomwares associés déployés à la suite de l'accès initial
Si le réseau de relations entre les organisations cybercriminelles est complexe, la
séquence d'événements dans le cadre d'une attaque de ransomwares classique lancée
par email ne l'est pas : l'infection initiale par un chargeur ou un cheval de Troie bancaire
laisse l'entreprise vulnérable aux auteurs d'attaques de ransomwares en quête de cibles
de grande valeur. Pour la plupart des entreprises, la première ligne de défense contre les
ransomwares consiste à se protéger contre l'infection initiale.
En d'autres termes, il leur faut donc bloquer le chargeur pour bloquer le ransomware.
4 Clifford Krauss (The New York Times), « How the Colonial Pipeline Became a Vital Artery for Fuel »
(Comment le Colonial Pipeline est devenu un canal vital d'approvisionnement en carburant), mai 2021.
12LE FACTEUR HUMAIN 2021 | RAPPORT
Bien que les leurres sur le
États clés de la présidentielle américaine :
thème des élections n'aient
fait leur apparition qu'au
attaques sur le thème des élections
La plupart des chercheurs en sécurité avaient prévu que les élections américaines de 2020
moment où la campagne constitueraient une opportunité de choix pour les cybercriminels : certains chercheraient
électorale battait son à lancer des campagnes de désinformation tandis que d'autres utiliseraient les élections
comme tactique d'ingénierie sociale dans les menaces véhiculées par email.
plein à l'automne 2020,
les cybercriminels n'ont C'est exactement ce qu'il s'est passé. Bien que les leurres sur le thème des élections
n'aient fait leur apparition qu'au moment où la campagne électorale battait son plein
pas hésité à attaquer des à l'automne 2020, les cybercriminels n'ont pas hésité à attaquer des organisations liées
organisations liées aux aux élections tout au long de l'année.
élections tout au long Des cybercriminels motivés par l'appât du gain et des collectifs à la solde d'États ont
de l'année. ciblé des organisations directement et indirectement liées aux élections. Leurs attaques
visaient tous les échelons gouvernementaux et politiques, qu'il s'agisse d'entités locales
ou fédérales, ou encore de comités d'action politique.
Quel que soit leur caractère (politique ou électoral), les leurres ont ciblé de nombreux
secteurs partout aux États-Unis. Les attaques ont connu un pic en octobre 2020 avant
de chuter le 3 novembre, au lendemain des élections. Parmi les thèmes abordés, citons
les suivants :
• État de santé de l'ex-président Donald Trump
• DNC (Comité national démocrate)
• EAC (commission américaine d'assistance électorale)
• Inscription des électeurs
CARACTÉRISTIQUES NOTABLES :
• Il exploite un thème qui suscite souvent
des émotions fortes.
• Il usurpe le domaine de messagerie de l'EAC.
• Il utilise le sceau présidentiel américain
pour donner une impression d'autorité.
• Il inclut une URL malveillante maquillée
en site Web d'inscription.
Leurre d'email soi-disant envoyé par la commission d'assistance électorale
13LE FACTEUR HUMAIN 2021 | RAPPORT
Exploitation des fils de discussion
Une des campagnes a pris pour cible des fonctionnaires responsables de l'administration
des élections et de la planification de l'infrastructure électorale. Les cybercriminels ont
utilisé une méthode appelée PIRATAGE DE FILS DE DISCUSSION.
PIRATAGE DE FILS DE DISCUSSION
Après avoir pris le contrôle du compte de Certaines campagnes de malwares, telles qu'EMOTET et certaines attaques URSNIF,
messagerie d'un utilisateur, le cybercriminel s'insèrent automatiquement dans les fils de discussion email. La technique fonctionne
peut faire ce qu'il veut dans la boîte de comme suit :
réception de la victime. Avec un tel contrôle,
il peut répondre à des conversations passées 1. Le malware analyse les emails d'une boîte de réception compromise.
et en cours en injectant un email malveillant. 2. Lorsqu'il identifie « re: » dans l'objet d'un email, il crée un message destiné à être
Comme les destinataires connaissent envoyé aux autres destinataires du fil de discussion et semblant émaner de l'utilisateur
l'expéditeur, lui font confiance et, qui plus est, compromis dans le fil de discussion.
interagissent activement avec lui, cette
3. Comme les autres participants considèrent ce dernier comme une personne de confiance
technique peut s'avérer très efficace.
avec qui ils interagissent, ils sont davantage susceptibles de tomber dans le piège.
Certains malwares peuvent désormais
automatiser le piratage de fils de discussion
pour s'adonner au piratage psychologique
à grande échelle. Campagne « Proud Boys »
EMOTET Une campagne inhabituelle de menaces email axée sur les élections a été soi-disant
Avant le démantèlement de son infrastructure lancée par le groupe de propagande haineuse d'extrême droite, les Proud Boys,
en 2021, Emotet était le malware le plus à l'encontre des électeurs démocrates de Floride.
distribué au monde. Il fait partie des premiers
groupes à s'être quelque peu détourné de sa Des messages avec l'objet « Vote for Trump or else! » (Votez pour Trump sinon gare !)
fonction première, à savoir le vol d'identifiants menaçaient de recourir à la violence si le destinataire refusait d'obtempérer. Ils contenaient
bancaires, pour devenir un service d'accès un lien vers une vidéo caractéristique des Proud Boys montrant une personne remplissant
pour d'autres groupes cybercriminels, soi-disant des cartes d'électeur et des bulletins d'électeurs absents pour des citoyens
y compris ceux distribuant Dridex et Qbot. d'Alaska. Cette campagne se démarquait complètement des cybermenaces habituelles
URSNIF liées aux élections de par les menaces flagrantes et l'incitation à la violence physique.
Ursnif est un cheval de Troie bancaire très
Bien que les membres du groupe Proud Boys soient connus pour leurs violentes attaques
répandu, issu d'une souche de malware
contre la gauche, les autorités et les sociétés de cybersécurité ont déclaré que les emails
appelée Gozi, dont le code source a été
divulgué en 2015. Ursnif est la plus connue provenaient en réalité de cybercriminels à la solde de l'Iran.
des variantes de Gozi, lesquelles incluent
Dreambot, ISFB et Papras.
14LE FACTEUR HUMAIN 2021 | RAPPORT
Emotet profite de la fièvre électorale
Emotet, qui est à l'origine de la plus importante campagne de menaces de l'année en
termes de volume, a également eu recours à des leurres liés aux élections au début du
mois d'octobre 2020. TA542, le collectif à l'origine d'Emotet, a entrepris diverses activités
en rapport avec les élections, dont les suivantes :
• Usurpation de l'identité du DNC
• Incitation des destinataires à faire du bénévolat pendant la campagne électorale
• Soutien aux organisations politiques
(Pour en savoir plus sur Emotet, consultez la section « Le « gotha » du paysage
des menaces : les principaux groupes cybercriminels », page 27.)
Exploitation des élections par une attaque Emotet
Emotet n'a pas pris pour cible des personnes ou organisations spécifiques impliquées
dans le processus électoral. Il s'est plutôt servi de l'intérêt porté aux élections et aux
événements connexes pour créer des leurres susceptibles d'intéresser un large public
MALWARE DE BASE au sein de différents secteurs.
Un malware de base désigne des outils
courants, accessibles à tous et utilisés par un
large éventail de cybercriminels. Même si les
malwares de base sont généralement connus COVID-19 : l'exploitation de la pandémie par
les cybercriminels
et facilement bloqués par les outils de sécurité,
les cybercriminels les utilisent souvent de
façon ingénieuse et dans le cadre de vastes
campagnes. Ces malwares peuvent dès lors La COVID-19 a bouleversé les habitudes de travail et la vie familiale de la plupart d'entre nous.
causer autant de dégâts que des menaces Pour se protéger dans ce nouvel environnement inconnu, il est primordial de déterminer
plus évoluées et ciblées. comment les utilisateurs sont attaqués et, si possible, qui est responsable de l'attaque.
MENACES PERSISTANTES AVANCÉES
Les cybercriminels s'inspirent constamment de l'actualité pour créer leurs messages
(APT)
de leurre. Cela dit, 2020 a été une année différente dans le sens où, pour la première
Les auteurs de menaces persistantes avancées
fois, tous les cybercriminels ont utilisé les mêmes thèmes en même temps. Tandis que
se livrent généralement à des activités
l'attention du monde entier était rivée sur la pandémie, l'ensemble de l'écosystème des
d'espionnage pour le compte d'un État, même
si cette catégorie peut également inclure des cybermenaces a évolué en parallèle vers le même contenu thématique.
cybercriminels très évolués. Ils s'adonnent
Qu'il s'agisse de spammeurs, d'utilisateurs de MALWARES DE BASE, de cybercriminels de
notamment au vol de propriété intellectuelle
grande envergure ou d'auteurs de MENACES PERSISTANTES AVANCÉES (APT), pratiquement
ou d'argent, et lancent des attaques visant
à perturber ou à endommager des données tous ont fait de la COVID-19 leur thème d'ingénierie sociale de prédilection. Nous avons
et des systèmes. recensé près de 250 millions de messages ciblés associés à la COVID-19 et des milliards
d'autres issus de campagnes de spam et d'attaques plus globales.
15Récupération La pandémie de COVID-19 illustre parfaitement la faculté des cybercriminels à adapter leurs tactiques en temps réel pour tirer profit de la peur,
des incertitudes et des doutes des victimes.
d'une crise sanitaire Voici une ligne chronologique des événements marquants de la crise sanitaire mondiale et de la réaction des cybercriminels.
7 mars
19 janvier Aux États-Unis, des personnes
reçoivent des emails soi-disant
Au Japon, des envoyés par « Mobility
attaques ciblent des Research Inc. » demandant
utilisateurs à l'aide aux destinataires de collaborer Avril
de leurres liés à la à la recherche d'un traitement Des citoyens américains
COVID-19 pour inciter contre le coronavirus sont ciblés par des emails de
les destinataires à 10 février
en participant à un projet phishing soi-disant envoyés
Attaques notables
ouvrir des documents Un leurre sur le thème Folding@Thome. Le discours par la « Réserve fédérale », 19 janvier 2021
Microsoft Word de la COVID-19 est s'inspire d'un projet légitime, qui les connectent à un site
infectés. Les emails Des emails ciblant des
envoyé par email baptisé Folding@home, qui d'apparence officielle qui
font partie d'une citoyens américains et
à des cibles au Japon. utilise la puissance de calcul leur demande d'entrer leurs
campagne de plus canadiens promettent aux
libre des ordinateurs des identifiants bancaires pour
grande envergure Des emails envoyés à destinataires des doses
utilisateurs à des fins de recevoir les aides versées au
distribuant la souche des destinataires basés du vaccin Pfizer-BioNTech.
recherche médicale. Mais au titre des mesures de relance.
de malware Emotet. en Italie, pays durement Lorsque les destinataires
lieu d'aider la recherche sur Le site a été mis sur pied pour
touché par la pandémie, cliquent sur l'URL, ils sont
la COVID-19 avec la véritable voler les identifiants des plus
promettent de les tenir dirigés vers une fausse
application Folding@home, grandes banques américaines.
informés de l'évolution de page d'authentification
la pandémie. Les emails les destinataires qui cliquent
Microsoft 365 conçue
contiennent une pièce sur l'URL sont infectés par le
pour voler leurs identifiants
jointe au format Microsoft malware RedLine, qui vole les
de connexion.
Word contenant une URL identifiants de connexion et
dirigeant les victimes vers télécharge d'autres malwares.
une page de phishing
conçue pour voler des
identifiants de connexion.
Volume d'emails malveillants liés à la pandémie
JANVIER FÉVRIER MARS AVRIL MAI JUIN JUILLET AOÛT SEPTEMBRE OCTOBRE NOVEMBRE DÉCEMBRE JANVIER
9 3 6 11 1 22 7 8 2 16 11
L'Organisation mondiale Les États-Unis déclarent 21 passagers d'un bateau Les premiers chèques Le Remdesivir est Toujours aux États-Unis, Les négociations L'Université d'Oxford et Le Président et la La FDA s'engage à La FDA homologue
de la santé (OMS) une urgence sanitaire de croisière californien d'aide à la relance homologué par le département de la Santé concernant le deuxième AstraZeneca interrompent Première dame sont accélérer la procédure le vaccin contre la
annonce une publique. sont testés positifs. sont déposés sur les la FDA pour une et des Services sociaux paquet de mesures de l'essai clinique de phase 3 testés positifs à la d'homologation des COVID-19 de
mystérieuse pneumonie comptes bancaires des utilisation d'urgence. (HHS, Health and Human relance sont suspendues. du vaccin en raison d'un COVID-19 ; Donald Trump vaccins Pfizer et Pfizer-BioNTech pour
Dates marquantes de la pandémie
liée à un coronavirus
à Wuhan, en Chine. 25 11 destinataires américains. Services) et le ministère
de la Défense (DoD,
effet indésirable présumé
chez un participant.
est admis à l'hôpital. Moderna pour une
utilisation d'urgence.
une utilisation d'urgence.
Le CDC déclare
que la COVID-19
L'OMS déclare que la
COVID-19 est devenue
Department of Defense)
annoncent la conclusion
12 14
20 est en passe de une pandémie. Johnson & Johnson Sandra Lindsay,
d'un accord avec Pfizer et
se transformer
28 BioNTech pour distribuer
suspend la phase 3 infirmière en soins
13
Trois aéroports — de l'essai clinique du intensifs, est la première
JFK, San Francisco
et Los Angeles —
en pandémie.
Les États-Unis déclarent
Les États-Unis
franchissent la barre
100 millions de doses de
leurs candidats vaccins 21 vaccin après qu'un
des participants a
citoyenne américaine
à être vaccinée.
contre la COVID-19. Johnson & Johnson
commencer à tester que la COVID-19 est des 100 000 décès entre dans la phase 3 développé une maladie
les voyageurs
débarquant sur le
une urgence nationale et
débloquent des milliards
dus à la COVID-19.
27 de l'essai clinique. de manière inexpliquée.
18
sol américain pour
le coronavirus.
de dollars d'aide fédérale.
L'interdiction de voyager
Le vaccin Moderna
entre dans l'essai 15 La FDA homologue le
vaccin Moderna pour
clinique de phase 3. Le nombre de cas aux une utilisation d'urgence.
des citoyens non
américains venus 29 États-Unis connaît un
nouveau pic avec
21 d'Europe entre en vigueur. Les essais du Remdesivir
réalisés par le NIH
60 000 nouveaux cas
signalés, un nombre encore 29
Le CDC (Center for
Disease Control) 19 (National Institute of
Health) sont prometteurs.
jamais atteint depuis le
début du mois d'août.
La deuxième série de
chèques de relance
américain confirme La Californie est le
premier État à ordonner américains commence
le premier cas
à être envoyée aux
de coronavirus
américain.
le confinement.
23 ménages américains.
26 Dans le cadre de
décisions séparées,
31 Le Congrès adopte la loi
CARES (CARES Act), qui
AstraZeneca et Johnson
& Johnson reprennent
L'OMS déclare
une urgence alloue 2 billions de dollars les essais cliniques de
sanitaire mondiale. d'aide aux hôpitaux, aux leurs vaccins respectifs.
PME ainsi qu'aux pouvoirs
publics locaux et des États.
La loi est promulguée le
jour suivant.
16 17Vous pouvez aussi lire
