Un phishing est souvent le préliminaire à une intrusion dans les systèmes des entreprises. Tout récemment, le ministère de l’Intérieur a tourné son attention vers le problème en signant une convention de lutte anti-phishing avec l’association Phishing Initiative qui fournit un outil simple et gratuit, pour aider les individus à signaler et limiter l’impact de ces opérations malveillantes. Un dirigeant d’entreprise peut-il en profiter ? Focus.
Deux millions d’internautes en ont fait les frais en 2015 : le phishing ou « hameçonnage » ressemble de plus en plus à une menace du quotidien. Cette escroquerie consiste à dérober des informations, par exemple identifiant et mot de passe, à un utilisateur en les lui faisant entrer sur un site d’apparence légitime, comme celui d’une banque. La qualité des sollicitations par e-mails envoyés n’a eu cesse de progresser ces dernières années. « Les messages sont de plus en plus élaborés, comprennent de moins en moins de fautes d’orthographes, et reproduisent des chartes graphiques très fidèles aux sites officiels, donc même si le nombre d’opérations n’augmentent pas énormément, on en verra de plus en plus arriver jusque dans nos boites mails sans être bloquées par les fournisseurs » expliquait Jérôme Robert, directeur marketing de Lexsi, une entreprise française qui fournit des services de sécurité informatique, lors d’un point sur les menaces du web cet été. Le phishing, Lexsi connait bien : l’entreprise est à l’origine à titre bénévole (elle fournit gratuitement l’analyse de ses experts), avec Microsoft et Paypal, de l’association Phishing Initiative, qui entend permettre aux personnes touchées de tester les adresses web/URL suspects et de les faire bloquer dans la foulée par un navigateur comme Internet Explorer/Edge.
Profiter du soutien de l’Etat
Concrètement, il suffit à une personne qui se pense victime d’une tentative d’hameçonnage de copier/coller l’URL suspect dans le formulaire de soumission de Phishing Initiative. Le signalement est alors analysé par des experts fournis par Lexsi, qui mettent 20 minutes (temps médian) pour déterminer si le lien est frauduleux. Et 20 minutes supplémentaires sont nécessaires pour que Microsoft mettent à jour sa liste noire afin que les navigateurs édités par la société bloquent automatiquement ces URL. « L’association de nos dispositifs de lutte contre la fraude sur Internet représente une avancée majeure dans la protection des particuliers comme des entreprises » note d’ailleurs Bernard Ourghanlian, directeur technique et sécurité de Microsoft France dans le communiqué annonçant le partenariat. Les navigateurs d’autres éditeurs, comme Chrome, Safari et Firefox profitent également dans un second temps de ce système qui met à contribution les individus, dans une logique de crowdsourcing.
Les entreprises appelées à jouer le jeu
Un dirigeant d’entreprise peut-il capitaliser sur cette initiative pour aider ses collaborateurs à mieux se protéger et à être plus vigilant contre la menace du phishing ? Théoriquement, oui. Si, le projet se concentre sur l’aide à apporter aux particuliers, les employés en contexte professionnel sont tout autant des cibles. Un dirigeant a donc tout intérêt à encourager ses personnels à s’appuyer sur toutes les ressources, simple d’accès et d’utilisation, à disposition. Ceux-ci ne s’y sont d’ailleurs pas trompés : « Les entreprises utilisent de plus en plus l’initiative pour signaler des volumes très importants de liens suspects. D’un point de vue sécurité, c’est très positif et nous assumons pleinement notre démarche, mais le point de départ reste d’aider les plus démunis face à ces menaces en priorité, pas les multinationales ! » souligne Jérôme Robert, qui appelle donc les plus grandes entreprises à nouer un partenariat officiel et à adhérer à Phishing Initiative pour « jouer le jeu ».
Guide du RSSI de demain, la rédaction d’Alliancy, le mag a mené l’enquête !
|
*Plateforme d’Harmonisation, d’Analyse, de Recoupement et d’Orientation des Signalements, qui permet de porter à la connaissance de la police des comportements et contenus illicites présents sur Internet. https://www.internet-signalement.gouv.fr