{"id":61078,"date":"2018-01-31T07:47:18","date_gmt":"2018-01-31T15:47:18","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=61078"},"modified":"2018-01-31T07:47:18","modified_gmt":"2018-01-31T15:47:18","slug":"descriptif-de-menace-lhameconnage-cible-par-detournement-de-discussion","status":"publish","type":"post","link":"https:\/\/www2.paloaltonetworks.com\/blog\/2018\/01\/descriptif-de-menace-lhameconnage-cible-par-detournement-de-discussion\/?lang=fr","title":{"rendered":"Descriptif de menace : l\u2019hame\u00e7onnage cibl\u00e9 par d\u00e9tournement de discussion"},"content":{"rendered":"<p>L\u2019hame\u00e7onnage cibl\u00e9 d\u00e9signe une technique d'attaque dont l'utilisation s'est largement r\u00e9pandue ces derni\u00e8res ann\u00e9es. Comme le r\u00e9v\u00e8le notre nouvel article \u00ab\u00a0<a href=\"https:\/\/www.paloaltonetworks.com\/blog\/2017\/10\/unit42-freemilk-highly-targeted-spear-phishing-campaign\/\">FreeMilk\u00a0: une campagne d\u2019hame\u00e7onnage hautement cibl\u00e9e<\/a>\u00a0\u00bb, nos chercheurs de l'Unit 42 ont identifi\u00e9 une attaque qui franchit un nouveau cap dans l\u2019hame\u00e7onnage cibl\u00e9 en d\u00e9tournant des \u00e9changes d'e-mails en cours. Ces attaques touchent un nombre limit\u00e9 de victimes mais elles marquent la mont\u00e9e en puissance des techniques d\u2019hame\u00e7onnage cibl\u00e9 auxquelles les pirates informatiques ont recours, et montrent qu'il est plus important que jamais de mettre en place des mesures de pr\u00e9vention.<\/p>\n<p>Les attaques d\u2019hame\u00e7onnage classiques reposent sur des e-mails standards qui sont envoy\u00e9s \u00e0 un grand nombre d'utilisateurs. Elles ne sont pas personnalis\u00e9es et utilisent des th\u00e8mes ou des app\u00e2ts communs pour viser une cible suffisamment large. L\u2019id\u00e9e est qu\u2019un pourcentage de ces e-mails malveillants soient suffisamment cr\u00e9dibles aux yeux de leurs destinataires pour que l'attaque puisse fonctionner.<\/p>\n<p>La r\u00e9ussite des attaques d\u2019hame\u00e7onnage classique s'appuie sur la loi des probabilit\u00e9s\u00a0: cette tactique est plut\u00f4t logique lorsque les pirates s'int\u00e9ressent davantage au <em>nombre<\/em> de personnes pi\u00e9g\u00e9es qu'\u00e0 leur <em>profil<\/em>.<\/p>\n<p>La <a href=\"https:\/\/www.paloaltonetworks.com\/blog\/2017\/03\/unit42-blank-slate-campaign-takes-advantage-hosting-providers-spread-ransomware\/\">campagne Blank Slate,<\/a> \u00e0 laquelle nous avons consacr\u00e9 un article en mars\u00a02017, est un bon exemple d\u2019hame\u00e7onnage \u00e0 grande \u00e9chelle. Cette attaque \u00e9tait tellement g\u00e9n\u00e9ralis\u00e9e que les pirates n'y avaient associ\u00e9 ni th\u00e8me ni app\u00e2t\u00a0: ils se contentaient d'envoyer des e-mails vides accompagn\u00e9s de pi\u00e8ces jointes malveillantes, en esp\u00e9rant que les destinataires les ouvrent.<\/p>\n<p>L\u2019hame\u00e7onnage cibl\u00e9 est une technique plus \u00e9labor\u00e9e, qui se concentre sur une cible d\u00e9finie. Au lieu d'avoir recours \u00e0 des th\u00e8mes ou \u00e0 des app\u00e2ts standardis\u00e9s, il s'emploie \u00e0 proposer un contenu relativement pertinent ou adapt\u00e9 au destinataire vis\u00e9. Par exemple, une attaque d\u2019hame\u00e7onnage cibl\u00e9 pourrait envoyer des e-mails portant sur des exercices militaires \u00e0 des cibles dans le milieu militaire ou gouvernemental, comme ce fut le cas avec les <a href=\"https:\/\/www.paloaltonetworks.com\/blog\/2017\/09\/unit42-threat-actors-target-government-belarus-using-cmstar-trojan\/\">attaques de type cheval de Troie CMSTAR<\/a> que nous avons r\u00e9cemment \u00e9tudi\u00e9es. Dans la mesure o\u00f9 l'e-mail malveillant pr\u00e9sente un lien avec le milieu dans lequel \u00e9volue la cible, celle-ci a tendance \u00e0 ne pas se m\u00e9fier et \u00e0 ouvrir le message ainsi que les \u00e9ventuelles pi\u00e8ces jointes associ\u00e9es.<\/p>\n<p>Contrairement \u00e0 l\u2019hame\u00e7onnage classique qui privil\u00e9gie la quantit\u00e9, l\u2019hame\u00e7onnage cibl\u00e9 se concentre sur la qualit\u00e9 du th\u00e8me ou de l'app\u00e2t utilis\u00e9. Cette approche est pertinente lorsque les pirates s'int\u00e9ressent au <em>profil<\/em> des personnes pi\u00e9g\u00e9es. Les campagnes d'attaques classiques consistent \u00e0 envoyer des e-mails malveillants \u00e0 des milliers, voire \u00e0 des dizaines de milliers de cibles alors que les campagnes d\u2019hame\u00e7onnage cibl\u00e9 peuvent viser un unique destinataire. Lorsque ce dernier est consid\u00e9r\u00e9 comme une cible \u00ab\u00a0de haute importance\u00a0\u00bb, l'attaque peut \u00eatre qualifi\u00e9e de \u00ab\u00a0Whaling\u00a0\u00bb (que l'on pourrait traduire par \u00ab\u00a0p\u00eache au gros poisson\u00a0\u00bb).<\/p>\n<p>La derni\u00e8re recherche men\u00e9e par notre Unit 42 a permis d'identifier une attaque d\u2019hame\u00e7onnage cibl\u00e9 encore plus \u00e9labor\u00e9e. Plut\u00f4t que de simplement recourir \u00e0 un th\u00e8me ou \u00e0 un app\u00e2t qui soit pertinent aux yeux de la cible, les pirates s'introduisent dans les \u00e9changes d'e-mails entre deux utilisateurs pour mener leur attaque.<\/p>\n<p>Le sch\u00e9ma\u00a01 ci-dessous illustre le fonctionnement de ce type d'attaque.<\/p>\n<p><div style=\"max-width:100%\" data-width=\"274\"><span class=\"ar-custom\" style=\"padding-bottom:154.01%;\"><img loading=\"lazy\" decoding=\"async\"  class=\"alignnone size-full wp-image-45093 aligncenter lozad\"  data-src=\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2017\/10\/FreeMilk_featured.jpg\" alt=\"FreeMilk_featured\" width=\"274\" height=\"422\" \/><\/span><\/div><\/p>\n<p>Sch\u00e9ma 1 D\u00e9tournement de discussion pour diffuser un programme malveillant<\/p>\n<p>Le principe est le suivant\u00a0: deux utilisateurs, <a href=\"https:\/\/en.wikipedia.org\/wiki\/Alice_and_Bob\" rel=\"nofollow,noopener\" >que nous nommerons Alice (A) et Bob (B),<\/a> discutent par e-mail. Charlie (C) est un pirate informatique, que l'on voit sur le premier sch\u00e9ma. Il perp\u00e9tue une attaque qui lui permet de prendre totalement le contr\u00f4le du compte de messagerie d'Alice, probablement en <a href=\"https:\/\/www.paloaltonetworks.com\/blog\/2017\/03\/unit42-new-white-paper-preventing-credential-phishing-theft-abuse\/\">volant ses identifiants de connexion<\/a>. Apr\u00e8s s'\u00eatre introduit dans le compte de messagerie d'Alice, Charlie trouve des discussions entre Alice et Bob\u00a0; ce dernier est la cible finale. Charlie s\u00e9lectionne ensuite une discussion en cours et pr\u00e9pare un e-mail malveillant que Bob est susceptible de trouver pertinent dans le cadre de cet \u00e9change d'e-mails\u00a0; il lui envoie (deuxi\u00e8me sch\u00e9ma). Si l'attaque de Charlie est suffisamment bien con\u00e7ue, Bob ouvrira l'e-mail et les pi\u00e8ces jointes correspondantes\u00a0; l'attaque sera alors une r\u00e9ussite.<\/p>\n<p>Contrairement \u00e0 l\u2019hame\u00e7onnage classique ou m\u00eame \u00e0 l\u2019hame\u00e7onnage cibl\u00e9 tel qu'il est le plus r\u00e9pandu, cette attaque est tr\u00e8s \u00e9tudi\u00e9e, chronophage et s'appuie sur un ciblage pr\u00e9cis. Pour fonctionner, les attaques d\u2019hame\u00e7onnage cibl\u00e9 par d\u00e9tournement de discussion supposent de connaitre une personne avec laquelle la cible finale communique par e-mail, de s'introduire dans le compte de messagerie de cette personne, d'identifier une discussion en cours avec la cible finale, de pr\u00e9parer un e-mail suffisamment pertinent au regard de cette conversation puis d'envoyer cet e-mail. Le r\u00e9sultat n'est toutefois pas garanti, car la cible peut s'apercevoir de l'attaque ou d\u00e9tenir des moyens de pr\u00e9vention suffisants pour l'emp\u00eacher d'aboutir.<\/p>\n<p>Compte tenu de tous ces \u00e9l\u00e9ments, la plupart d'entre nous n'ont pas \u00e0 s'inqui\u00e9ter de ce type d'attaque. Toutefois, les personnes occupant un poste \u00e0 responsabilit\u00e9 doivent \u00eatre vigilantes, car leur profil peut en faire des cibles de choix. Que vous soyez <a href=\"https:\/\/www.securityroundtable.org\/board-members-dont-give-cybercriminals-seat-table\/\" rel=\"nofollow,noopener\" >membre de la direction d'une organisation,<\/a>, PDG, directeur financier, responsable de la s\u00e9curit\u00e9, ou encore si vous avez connaissance d'informations militaires ou politiques sensibles, que vous \u00eates journaliste ou militant, ce type d'attaque pourrait vous concerner un jour. Comme pour toutes les attaques cibl\u00e9es, il est possible que vous soyez vis\u00e9 sans pour autant \u00eatre la cible finale\u00a0: cette tactique peut s'inscrire dans une campagne d'attaque de plus grande envergure. Par exemple, si vous \u00eates l'assistant d'un PDG, vous pourriez \u00eatre vis\u00e9 par une attaque de ce genre\u00a0(Bob sur le sch\u00e9ma ci-dessus) et seriez utilis\u00e9 \u00e0 votre tour pour perp\u00e9trer une attaque (\u00ab\u00a0Alice\u00a0\u00bb sur le sch\u00e9ma) \u00e0 l'encontre de votre PDG (qui deviendrait alors \u00ab\u00a0Bob\u00a0\u00bb dans notre sc\u00e9nario).<\/p>\n<p>\u00c9tant donn\u00e9 la nature de la menace, et \u00e0 moins que vous n'ayez l'habitude de v\u00e9rifier chacun des e-mails que vous recevez, il est tr\u00e8s probable que vous ne puissiez pas identifier et d\u00e9jouer l'attaque dont vous faites l'objet. Dans ce cas, la meilleure protection est encore la pr\u00e9vention\u00a0: celle-ci est ax\u00e9e sur deux \u00e9l\u00e9ments majeurs.<\/p>\n<p>Premi\u00e8rement, vous devez vous assurer que vos syst\u00e8mes et appareils sont actualis\u00e9s en permanence, en effectuant les derni\u00e8res mises \u00e0 jour logicielles et de s\u00e9curit\u00e9 disponibles. L'attaque \u00e9tudi\u00e9e par les chercheurs de notre Unit 42 exploitait une faille de Microsoft Office, pour laquelle un correctif est pourtant disponible. Si un pirate visait une cible dont le logiciel est \u00e9quip\u00e9 de ce correctif, son attaque serait un \u00e9chec.<\/p>\n<p>Deuxi\u00e8mement, il est possible de pr\u00e9venir les attaques en prot\u00e9geant vos syst\u00e8mes, appareils et r\u00e9seaux gr\u00e2ce \u00e0 des solutions \u00e0 plusieurs couches de protection.<\/p>\n<p>La menace de l\u2019hame\u00e7onnage cibl\u00e9 par d\u00e9tournement de discussion ne concerne pas tout le monde\u00a0; mais pour les cibles potentielles, elle r\u00e9v\u00e8le la mont\u00e9e en puissance des attaques d\u2019hame\u00e7onnage cibl\u00e9 par leur complexit\u00e9 et leur capacit\u00e9 \u00e0 s'introduire dans les \u00e9changes entre utilisateurs. Ces attaques franchissent \u00e9galement un nouveau cap en mati\u00e8re de cr\u00e9dibilit\u00e9, car il devient quasiment impossible de faire la distinction entre un e-mail malveillant et un e-mail l\u00e9gitime. Les dispositifs de pr\u00e9vention technologique, tels que des correctifs et de puissantes mesures de s\u00e9curit\u00e9, s'av\u00e8rent d'autant plus importants pour assurer une protection efficace.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>L\u2019hame\u00e7onnage cibl\u00e9 d\u00e9signe une technique d'attaque dont l'utilisation s'est largement r\u00e9pandue ces derni\u00e8res ann\u00e9es. Comme le r\u00e9v\u00e8le notre nouvel article \u00ab\u00a0FreeMilk\u00a0: une campagne d\u2019hame\u00e7onnage hautement cibl\u00e9e\u00a0\u00bb, nos chercheurs de l'Unit 42 ont &hellip;<\/p>\n","protected":false},"author":287,"featured_media":20184,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[3546],"tags":[586],"coauthors":[3069],"class_list":["post-61078","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-classifiee","tag-unit-42"],"jetpack_featured_media_url":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-content\/uploads\/2016\/09\/unit42-web-banner-650x300.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/61078","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/287"}],"replies":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=61078"}],"version-history":[{"count":1,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/61078\/revisions"}],"predecessor-version":[{"id":61132,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/61078\/revisions\/61132"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/20184"}],"wp:attachment":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=61078"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=61078"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=61078"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=61078"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}