En cette ère de cyberattaques et de violations de données, la plupart des utilisateurs de messagerie sont à la recherche de, et comprendre les risques potentiels de, messages et pièces jointes provenant de sources inconnues.

Cependant, que la vigilance seule pourrait ne pas suffire à vous protéger, selon une nouvelle étude de Virginia Tech qui examine la sophistication croissante des attaques de phishing.

Parallèlement à une écriture plus savante, désormais, les pirates informatiques entreprenants peuvent usurper l'adresse e-mail d'un ami de confiance, collaborateur, ou d'affaires et envoyer des e-mails falsifiés aux victimes. Avec la bonne quantité d'ingénierie sociale, il est facile d'obtenir des informations cruciales et sensibles d'un destinataire sans méfiance avec une simple demande.

"Ces types d'attaques de phishing sont particulièrement dangereux, " a déclaré Gang Wang, professeur adjoint d'informatique au Collège d'ingénierie de Virginia Tech. "La technologie change si vite, et maintenant, un pirate informatique peut facilement obtenir vos informations. Ces informations peuvent être utilisées pour commettre des cyberattaques allant de légèrement ennuyeuses, comme avoir affaire à un compte courant qui a été piraté, aux conséquences graves de la vie physique et de la mort si l'information, par exemple, à l'ordinateur central d'un hôpital est obtenu."

L'un des domaines de recherche de Wang est actuellement axé sur l'étude des moyens de contrecarrer ces attaques. Il présentera un article sur ses récentes découvertes au 27e Symposium annuel USENIX sur la sécurité à Baltimore, Maryland, en août.

Les attaques de phishing ont impliqué près de la moitié des plus de 2, 000 failles de sécurité confirmées signalées par Verizon au cours des deux dernières années. Ces violations provoquent la fuite de milliards d'enregistrements et coûtent des millions de dollars à rectifier en fonction du secteur concerné et de sa situation géographique.

Usurpation, lorsque l'attaquant se fait passer pour une entité de confiance, est une étape critique dans l'exécution d'attaques de phishing. Le système de messagerie d'aujourd'hui n'a aucun mécanisme pour empêcher complètement l'usurpation d'identité.

"Le système SMTP que nous utilisons aujourd'hui a été conçu sans souci de sécurité, " a déclaré Wang. "C'est quelque chose qui a tourmenté le système depuis sa création."

Des mesures de sécurité ont été mises en place pour se prémunir contre les attaques d'usurpation d'identité après coup et s'appuyer sur les fournisseurs de messagerie pour mettre en œuvre des stratégies utilisant des extensions SMTP, tels que SPF (sender policy framework), DKIM (DomainKeys Identified Mail), et DMARC (authentification de message basée sur le domaine), pour authentifier l'expéditeur. Les mesures menées par l'équipe de recherche en 2018 indiquent que parmi le premier million de domaines d'Alexa, 45 % ont un FPS, 5 pour cent ont DMARC, et encore moins sont configurés correctement ou strictement.

Pour l'étude, la méthodologie des équipes de recherche était centrée sur la mise en place d'expériences d'usurpation de bout en bout sur des fournisseurs de messagerie populaires utilisés par des milliards d'utilisateurs. Ils l'ont fait en configurant des comptes d'utilisateurs sous les services de messagerie cibles en tant que destinataire des e-mails et en utilisant un serveur expérimental pour envoyer des e-mails falsifiés, avec une fausse adresse d'expéditeur, sur le compte récepteur.

L'adresse de l'expéditeur falsifié est la clé de l'étude car il s'agit d'une partie essentielle du processus d'authentification. Si le domaine usurpé a un SPF valide, DKIM, ou enregistrement DMARC, puis le récepteur, en théorie, est capable de détecter l'usurpation d'identité.

L'usurpation peut être effectuée en utilisant des contacts existants ou le même fournisseur de messagerie que le destinataire prévu.

À cette fin, les chercheurs ont utilisé cinq types différents de contenu d'e-mail pour l'étude :un e-mail vierge, un email vide avec une URL bénigne, un e-mail vierge avec une pièce jointe bénigne, un e-mail bénin avec du contenu réel, et un e-mail d'hameçonnage avec un contenu qui usurpe l'identité de l'assistance technique pour notifier et rectifier une faille de sécurité en étant dirigé vers une URL.

Au total, l'étude a utilisé 35 services de messagerie populaires, comme Gmail, iCloud, et Outlook. Les chercheurs ont découvert que les fournisseurs de messagerie ont tendance à privilégier la livraison des e-mails à la sécurité. Lorsqu'un e-mail échoue à l'authentification, la plupart des fournisseurs de messagerie, y compris Gmail et iCloud, toujours livré l'e-mail tant que le protocole du domaine usurpé n'était pas de le rejeter.

Les chercheurs ont également découvert que seuls six services de messagerie affichaient des indicateurs de sécurité sur les e-mails falsifiés, y compris Gmail, Protonmail, Naver, Mail.ru, 163.com, et 126.com. Seuls quatre services de messagerie affichent systématiquement des indicateurs de sécurité sur leurs applications de messagerie mobile. Les facteurs humains restent encore un maillon faible dans le processus de bout en bout, L'équipe de recherche a donc conçu l'étude pour comprendre les habitudes de messagerie des utilisateurs.

Dans le bureau de Wang, le taux de clics des personnes ayant reçu l'e-mail avec un indicateur de sécurité était de 17,9 %. Sans indice de sécurité, le taux était de 26,1 pour cent. Parce que tous ceux qui ont reçu un e-mail de phishing n'ont pas ouvert l'e-mail, l'équipe a également calculé le taux de clics sur tous les utilisateurs qui ont ouvert l'e-mail, résultant en des taux plus élevés de 48,9 pour cent et 37,2 pour cent.

Les recommandations de l'étude comprennent l'adoption du SPF, DKIM, et DMARC pour authentifier les e-mails, et si un e-mail est envoyé dans une boîte de réception, les fournisseurs de messagerie doivent placer un indicateur de sécurité, comme le point d'interrogation rouge de Google sur l'e-mail, pour avertir les utilisateurs des risques potentiels.

L'équipe a également recommandé la cohérence entre les fournisseurs de messagerie pour les différentes interfaces. Actuellement, les utilisateurs mobiles sont exposés à un niveau de risques plus élevé en raison du manque d'indicateurs de sécurité. Et enfin, l'étude a recommandé que les éléments trompeurs, comme une « photo de profil » et un « historique d'e-mail », " être désactivé sur les e-mails suspects.

Avec autant d'e-mails livrés quotidiennement, il est surprenant qu'il n'y ait pas de campagnes de phishing plus réussies.

"Il suffit d'un seul e-mail pour provoquer une faille de sécurité, " dit Wang.