Le mode opératoire des attaques par phishing est simple : les cybercriminels envoient des messages spams à l’allure officielle avec des liens malveillants qui, lorsque l’on clique dessus, incitent la victime à fournir ses mots de passe, ses numéros de carte de crédit ainsi que d’autres données personnelles.
Lorsqu’ils mettent en place leurs sites de phishing, les cybercriminels ont besoin de certificats SSL, et pour la plupart, rien ne peut les empêcher de les obtenir. Tout comme les internautes qui se font avoir avec de faux sites aux allures de vrais, tels que celui de leur banque ou d’un service des ressources humaines, le fournisseur de certificats peut aussi se faire duper, ne pouvant faire la différence entre une demande de certification légitime et frauduleuse.
Tel est le cas avec Let’s Encrypt, une autorité de certification gratuite et automatisée qui a déjà délivré 15 270 certificats “PayPal” à des sites de phishing.
PayPal une cible majeure
L’expert en chiffrement SSL Store, Vincent Lynch, a pu l’observer et a demandé à Let’s Encrypt d’arrêter d’émettre des certificats contenant le terme “PayPal”. Mais dans une publication sur son blog, il a déclaré que le problème persistait :
PayPal est une cible de grande valeur et Let’s Encrypt a déjà émis près de 1000 certificats contenant le terme PayPal, dont plus de 99% étaient destinés à des sites de phishing. Avec une recherche élargie, nous avons trouvé que notre précédente estimation était très largement sous-évaluée. Let’s Encrypt a effectivement délivré 15 270 certificats PayPal. Cela révèle l’étendue inconnue du phénomène de phishing via Let’s Encrypt.
En supposant que les tendances actuelles se poursuivent, il a déclaré que Let’s Encrypt allait émettre 20 000 certificats “PayPal” supplémentaires d’ici la fin de l’année. Depuis sa création, Let’s Encrypt a adopté une approche non interventionniste lorsqu’il s’agissait de délivrer ou de révoquer des certificats, car cela allait à l’encontre de son objectif de chiffrer le plus de sites web possibles.
En déclarant que sa motivation principale en rédigeant cet avertissement était de montrer combien l’utilisation du SSL était populaire sur les sites de phishing, Lynch a également reconnu que :
Si Let’s Encrypt était amené à émettre plus de 35 000 certificats “PayPal” d’ici la fin de 2017, il serait fort probable que des dizaines de milliers de sites et autres services populaires soient pris pour cible. La communauté cybersécurité et les internautes en général doivent avoir conscience de l’étendue de cette activité.
Mais qui est responsable ?
La grande question dans ce cas est : qui a la responsabilité de contrer les attaques par phishing ? La politique de chiffrement de Let’s Encrypt est claire. Le site explique :
Décider de la conduite à adopter ici a été difficile. D’une part, nous n’aimons pas plus que quiconque ce genre de sites, et notre mission est d’aider à créer un internet plus sûr et plus sécurisé. D’autre part, nous ne sommes pas sûrs que la délivrance des certificats (au moins pour le Domain Validation) soit le bon niveau pour agir notamment en matière de surveillance des sites de phishing et des malwares en 2015. Cette publication explique notre philosophie afin d’encourager un débat sur le rôle de l’écosystème regroupant les autorités de certification (CA) dans la lutte contre les sites malveillants.
En dernière analyse, selon l’organisation, les autorités de certification ne sont pas bien placées pour mener des opérations anti-phishing et anti-malwares :
Elles n’ont tout simplement pas une visibilité permanente suffisante sur le contenu des sites. Le plus que les Autorités de Certification puissent faire est de vérifier auprès des organisations qui ont une meilleure connaissance au niveau du contenu, comme Microsoft et Google. Google et Microsoft utilisent de grandes quantités de données sur le web, à partir d’infrastructures massives de signalement et de crawling.
Dans un échange d’email, le directeur exécutif de Let’s Encrypt, Josh Aas, a déclaré qu’un blocage général du mot “paypal” empêcherait une utilisation légale, tout en n’ayant que très peu ou pas d’impact pour arrêter les sites de phishing et ceux délivrant des malwares.
Naked Security a écrit longuement sur le phishing, et la conclusion est généralement que la lutte incombe aux entreprises, aux employés et aux utilisateurs.
Ayant cela a l’esprit…
Que doivent faire les entreprises ?
Puisque le phishing est l’un des moyens les plus faciles pour un cybercriminel de voler les informations sensibles d’une entreprise, une stratégie de défense doit commencer à ce niveau précis.
Pour aider à la sensibilisation, les éditeurs de solutions de sécurité informatique ont offert un certain nombre de produits et de services que les entreprises peuvent utiliser pour lancer des simulations, essentiellement des exercices de lutte contre le phishing, afin de montrer aux employés la facilité déconcertante avec laquelle tout le monde peut être dupé par l’ingénierie sociale. Pour les clients de Sophos, ce produit s’appelle Phish Threat.
Les programmes de sensibilisation à la cybersécurité ne sont pas nouveaux, et certains experts en sécurité informatique ont d’ailleurs mis en doute leur efficacité, dans la mesure où les utilisateurs continuent de faire les mêmes erreurs. La réponse de Sophos a été que les simulations donnent plus de sens et d’impact aux programmes de sensibilisation. En effet, plus les employés sont pris au piège par une attaque par phishing lors d’une simulation, moins il est probable qu’ils oublient la leçon à l’avenir.
Bien que ces simulations soient un moyen efficace d’augmenter la sensibilisation des utilisateurs, les entreprises doivent suivre cette initiative avec des actions concrètes pour aider les employés à rester au-dessus de la mêlée.
Que doivent faire les utilisateurs ?
Pour les utilisateurs, nous avons suggéré à plusieurs reprises ce qui suit :
- Faites attention aux liens sur lesquels vous cliquez. Ce conseil semble certes tellement évident, mais les utilisateurs ont besoin d’un rappel constant.
- Vérifiez la barre d’adresse pour vous assurer que l’URL est correcte. La barre d’adresse de votre navigateur utilise une URL pour trouver le site web que vous recherchez. L’adresse web commence généralement avec HTTP ou HTTPS, suivi par le nom de domaine. Les sites web authentiques des banques et de bien d’autres services utilisent une connexion sécurisée qui chiffre le trafic internet, appelée SSL ou HTTPS. Si vous vous attendez à un site HTTPS sécurisé en consultant le site de votre banque, par exemple, assurez-vous de voir une URL commençant par https:// avant de saisir des informations sensibles. ·
- Vérifiez la présence du cadenas pour les sites HTTPS sécurisés. Un site HTTPS sécurisé comporte une icône symbolisant un cadenas, et située à gauche de l’adresse web.
- Pensez à l’utilisation d’une authentification à deux facteurs pour plus de sécurité. Lorsque vous essayez de vous connecter à un site web avec une authentification à deux facteurs (2FA), il existe une couche supplémentaire de sécurité pour s’assurer que c’est bien vous qui êtes en train de vous connecter à votre compte.
Enfin, Aas a ajouté cette suggestion :
Utilisez Google Safe Browsing, Microsoft SmartScreen ou un autre programme de navigation sécurisé. Ces programmes ont de vastes ressources consacrées à la récupération et à l’évaluation du contenu, et ils peuvent émettre des avertissements et des blocages de manière très efficace.
Billet inspiré de Let’s Encrypt issues certs to ‘PayPal’ phishing sites: how to protect yourself, par Bill Brenner, Sophos NakedSecurity.
Qu’en pensez-vous ? Laissez un commentaire.