« Toutes nos actions sur Internet laissent des traces » : c’est vrai aussi pour les entreprises, qui n’ont pas forcément conscience de toutes les informations disponibles en ligne à leur sujet et des empreintes numériques laissées par leurs collaborateurs.
Le problème ? Ces informations peuvent être collectées via les méthodes de l’OSINT (une technique issue du renseignement et qui utilise des sources d’informations publiques) et utilisées à des fins malveillantes.
Qu’est ce que l’OSINT ? Quelles informations peuvent être collectées et comment les hackers peuvent-ils les exploiter pour des attaques de phishing ou de spear-phishing ?
Ce qu’on appelle « Open Source INTelligence » ou « renseignement de sources ouvertes » vient du milieu du renseignement. Le principe ? Rechercher sur Internet des informations disponibles publiquement, les regrouper et les croiser pour les transformer en données stratégiques.
Comment réaliser cette collecte d’informations publiques ? En utilisant des moteurs de recherche (Google évidemment, mais pas uniquement, car il existe des moteurs de recherche spécifiques à l’OSINT), des outils de cartographie, les métadonnées des photos, etc.
Née dans le milieu du renseignement, cette activité peut être utilisée dans le monde de l’entreprise, à des niveaux divers : veille concurrentielle, intelligence économique, veille sur la réputation en ligne, cybersécurité, etc. Si l’OSINT est une activité légale, elle peut en revanche être utilisée dans un but malveillant.
Différents « canaux » peuvent être utilisés pour rechercher des données relatives à une entreprise : la communication « officielle » de l’entreprise (ses différents sites Internet), librement accessible via des moteurs de recherche, les bases de photos satellites (datées et disponibles dans les historiques de Google Earth, par exemple), les réseaux sociaux (posts, photos, vidéos, commentaires, etc.), les forums de discussion, etc.
Concrètement, l’OSINT peut donner accès à une multitude d’informations sur une entreprise. Certaines d’entre elles peuvent ensuite être réutilisées dans le cadre de tentatives de phishing :
Personnelles
Professionnelles
Techniques
Si certains professionnels de la cybersécurité utilisent toutes ces informations pour permettre à l’entreprise de prendre conscience de ses failles (et de les corriger), les hackers y voient en revanche une vraie « mine d’or » pour préparer des campagnes de phishing.
Les hackers utilisent les outils et les techniques de l’OSINT pour trouver des informations pertinentes sur les entreprises qu’ils ciblent et ainsi mieux préparer leurs tentatives de phishing.
C’est donc un outil essentiel de la phase de reconnaissance qui précède une cyberattaque.
Google est évidemment un outil essentiel en OSINT, mais les hackers ne se contentent pas d’un usage basique du moteur de recherche. Ils vont beaucoup plus loin en utilisant par exemple « Google Dorks », qui permet de réaliser des requêtes intégrant des possibilités de recherches avancées. Ce type de requête fait ressortir des informations qui ne sont pas forcément visibles avec une recherche « simple », et que les entreprises n’avaient généralement pas l’intention de dévoiler sur la place publique.
Les hackers utilisent également des moteurs de recherche ou logiciels spécifiques permettant de « scanner » le web (logiciels de cartographie du web) ou les réseaux sociaux. Si certains outils sont « grand public », d’autres en revanche sont payants et requièrent des compétences techniques. Leur point commun est d’agréger un grand nombre d’informations et de les recouper. On peut citer Searx ou Kali Tools par exemple.
Le phishing « de masse » (un même email de phishing envoyé au même moment à tous les salariés) a-t-il vécu ? Si cette technique n’a pas disparu, elle laisse en tous les cas de plus en plus place au développement d’attaques ciblées. On parle désormais de « spear-phishing », un type particulier de phishing qui consiste à cibler avec des attaques personnalisées des utilisateurs en fonction de leur département et/ou de leur rôle dans l’entreprise.
Mieux ciblées, les attaques sont également plus réalistes. Un email semblant provenir du CEO (le fameux « Email du PDG »), d’un collègue, d’un prestataire ou d’un sous-traitant est toujours plus réaliste et semble plus légitime… mais n’est pas forcément fiable pour autant. Ces attaques hyper ciblées et personnalisées, mieux préparées, sont donc plus dangereuses que les attaques de masse.
Des groupes de hackers comme Exotic Lily (un Initial Access Broker) se servent de l’OSINT pour personnaliser manuellement leurs attaques de spear-phishing, notamment en utilisant des fausses entreprises et prétextes pour communiquer propres au secteur de la cible.
De la même manière, le groupe Cobalt Dickens (un acteur affilié à l’Iran) a conduit des attaques de spear-phishing contre des universités au Royaume-Uni qui s’appuyaient sur une recherche extensive des équipes, sujets de recherche, structures organisationnelles des chercheurs ciblés pour les contacter avec des propositions personnalisées.
Concrètement, à quoi peut bien ressembler un email de phishing réalisé en s’appuyant sur les techniques de l’OSINT ? Petit florilège avec trois exemples (il y en bien sur beaucoup plus) :
Si l’OSINT en tant que discipline fait de plus en plus parler d’elle, elle reste encore peu connue du grand public. Intégrer l’OSINT pour sensibiliser des collaborateurs nécessite dans un premier temps de faire émerger une prise de conscience des différentes traces laissées par nos activités numériques et de la quantité d’informations disponibles en ligne.
Les réseaux sociaux ont par exemple habitué bon nombre d’entre nous à partager en toute confiance des selfies, captures d’écran et autres informations qui peuvent représenter du « pain béni » pour les hackers. Toute information n’est pas forcément bonne à partager.
Un exemple ? En 2020, la ministre néerlandaise de la Défense a partagé une photo sur Twitter qui affichait le code de zoom de la conférence à laquelle elle participait. Cela a permis à un journaliste de se connecter à l'appel normalement confidentiel. Cela aurait pu être inoffensif, mais cela montre à quel point le partage peut être dangereux.
La sensibilisation ne va pas suffire pour former efficacement les collaborateurs contre les attaques de spear-phishing des hackers.
Il faut intégrer l’OSINT dans les simulations de phishing afin d’entraîner les équipes contre les attaques qu’ils pourraient subir et les aider à développer les bons réflexes d’analyse face aux emails qu’ils reçoivent.
Les simulations de phishing seront donc plus efficaces en formant les équipes en conditions réelles si elles intègrent des éléments comme les outils utilisés par les collaborateurs, les noms de leurs clients ou fournisseurs, des membres du COMEX, les signatures électroniques de l’entreprise… tout comme le feraient les hackers.
L’OSINT offre de nombreuses possibilités pour les hackers en termes de phishing et spear-phishing.
Il n’y a toutefois aucune raison de leur en laisser le monopole. L’inventivité des hackers est illimitée, mais l’intégration de leurs techniques adossées à l’OSINT et du sujet dans les programmes de sensibilisation à la cybersécurité et dans les permet de familiariser et de protéger les équipes.
Vous êtes un peu perdu dans les différents types de cyberattaques par hameçonnage ? Voici un guide rapide qui vous donnera une vue d'ensemble de chacun d'eux : phishing, spear-phishing, whaling, smishing, vishing.
Que sont SPF, DKIM et DMARC ? Comment contribuent-ils à la mise en place d'une protection contre les attaques de phishing et comment pouvez-vous les configurer pour le domaine de votre entreprise ?
Qui sont les courtiers en accès initial et que font-ils ? Quelles sont certaines de leurs techniques, et comment pouvez-vous protéger votre entreprise contre elles ?