Vade Secure : "Les deepfakes et deep voices vont contribuer à la diffusion des ransomwares" (Interview)

© Pixabay

Sébastien Gest, évangéliste technique de l'éditeur français, fait le point pour Clubic sur la menace du ransomware qui, tout en progressant dans l'industrie cybercriminelle, devrait poursuivre son évolution sous de nouvelles formes.

Le risque de tomber dans les filets d'un cybercriminel est grand, et ce pour tout le monde, particuliers et professionnels. Mais les entreprises, institutions et organisations sont aujourd'hui des cibles de choix pour les hackers qui utilisent le phishing ou le ransomware, puisqu'elles sont par définition plus solvable que le petit particulier qui pianote derrière son ordinateur domestique. Pour discuter de l'évolution de la cybercriminalité en France et dans le monde mais également des effets du coronavirus sur la sécurité informatique, Clubic est allé à la rencontre de Sébastien Gest, Tech Evangelist de Vade Secure, l'éditeur français de solutions de protection de messagerie, spécialisée dans la défense prédictive de messagerie. La société, présente dans 72 pays, compte plus de 5 000 clients, gèrent 600 millions de messageries électroniques par jour et traite 1 milliard de mails quotidiennement.

Sébastien Gest

Le ransomware, le mal informatique de l'année

Clubic : Au 4e trimestre 2019, Vade Secure a sorti son classement des 25 marques qui ont subi le plus d'attaques de phishing. Dans le top, on retrouve, dans l'ordre, PayPal, Facebook, Microsoft, Netflix, WhatsApp, Bank of America, CIBC, Desjardins, Apple et Amazon. Outre les plus grands noms du numérique, ce que l'on note, c'est que ce sont les services financiers qui ont dernièrement attiré le plus les hackers...

Oui et non. En fait, il y a eu un changement de paradigme au quatrième trimestre, mais pas sur le reste de l'année. Sur l'ensemble de 2019, la marque la plus usurpée était Microsoft. Pourquoi ? Parce qu'il y a un changement massif des entreprises, qui basculent sur le cloud, qui permet en termes de fonctionnalité de faire énormément de choses, avec une politique tarifaire vraiment agressive.

« Le cliché du pirate chez lui dans sa chambre avec sa capuche est dépassé »

Les hackers ont donc ciblé cette marque massivement au travers de fausses pages de login. Et le cliché du pirate chez lui dans sa chambre avec sa capuche est dépassé. En face de nous, nous avons de véritables sociétés et organisations structurées. Le plus souvent, si je prends simplement l'exemple des groupes que l'on peut voir en Afrique du Nord, ce sont des gens qui étaient sur les bancs des écoles françaises (comme EPITA et Epitech), qui ont des techniques identiques à celles d'ingénieurs de renom, et qui utilisent l'intelligence artificielle. Aux USA, le site des retraités de l'armée a un design qui change régulièrement. On a pu voir que des hackers avaient mis en place des choses pour détecter ces changements et ainsi mettre à jour directement les pages de phishing, en fonction des changements de la page.

Si Microsoft a dominé l'année, il y a eu ce changement au quatrième trimestre, avec un très, très grand nombre de phishing autour de PayPal ; ou les fuites de données de Desjardins. Ce ne sont pas que les services bancaires qui sont ciblés. Les hackers utilisent un peu ce qui se passe dans la vie réelle. Dès lors qu'il y a une fuite X ou Y, celle-ci se retrouve sur le dark web.

Va-t-on assister à un retour à la normale pour le premier trimestre 2020, où est-ce que des événements ou des crises, comme le coronavirus qui est une porte géante ouverte pour les cybercriminels, vont bousculer la donne ?

C'est certain, et on l'a déjà vu. Vous avez, en ce moment, il y a un ransomware qui tourne. Des mails, avec des destinataires qui se faisaient passer pour des organismes comme l'Organisation mondiale de la Santé (OMS), avec des pièces-jointes.


Il est important de comprendre comment le tout fonctionne. Nous avons développé un produit qui s'appelle IsItPhishing Threat Detection, qui effectue une analyse en temps réel de la page web. D'abord, l'URL est comparée à une base de signatures des domaines et URL de phishing détectés auparavant, base de données qui est mise à jour chaque minute. Puis l'outil parcourt l'URL et la page Web en suivant toutes les redirections pour atteindre la page finale et déterminer si elle est malveillante. Imaginons la nouvelle série à la mode sur Netflix, il y aurait des campagnes monstrueuses de phishing. Cela va au gré de l'actualité.

« Avec la coronavirus, un ransomware est apparu, se faisant passer pour des institutions comme l'OMS »

Sur ce début d'année, la pratique malveillante du ransomware, qui touche notamment les entreprises ou les collectivités, est-elle encore en train de se renforcer ?

On, elle progresse. En revanche, le mode d'infection a changé. 91% des cyberattaques utilisent le courriel comme premier vecteur d'infection, parce que derrière lui, vous avez un humain faillible, en comparaison de devoir passer à travers un firewall ou pirater des applications ou un site web.

Il y deux ans, le ransomware Jaffe consistait à se cacher dans un PDF qui se faisait passer pour facture, en incitant le destinataire à payer, le tout en jouant sur la peur.

Aujourd'hui, ce n'est plus cas. WannaCry et NotPetya sont passés par là, ce qui a entraîné une réelle sensibilisation des salariés, notamment ceux de Saint-Gobain et de Renault, deux entreprises impactées.

Au CHU de Rouen très récemment, il y a eu un phishing, par mail, qui a permis aux pirates de récupérer l'accès sur la machine de l'administrateur (ce qui prouve que c'est ciblé). Dès qu'ils ont eu la main sur l'ordinateur, ils ont scanné le réseau et ouvert sur les machines des ports spécifiques. Les hackers ont déposé à la main le malware, serveur par serveur, ce qui est nouveau.

« Des hackers qui peuvent usurper la voix d'un dirigeant d'entreprise »

Même s'il y a une recrudescence très forte, le niveau de technicité a augmenté. Toutes les entreprises se font avoir. Ce sera certainement le mal de 2020, surtout avec la multiplication des deepfakes et les deep voices. Récemment, l'une des entreprises que j'ai pu rencontrer est tombée dans le piège des hackers, qui avaient usurpé la voix du dirigeant au téléphone.

Adobe aurait développé une fonctionnalité qui, en captant durant une dizaine de secondes une voix, calcule les caractéristiques vocales pour la reproduire ensuite. Elle aurait été bloquée aux États-Unis.

La route de la sensibilisation aux risques est encore longue

Si l'on devait faire couler tranquillement cet entretien jusqu'à un volet prévention : à quel moment de la journée, puis à quel moment de la journée est-on le plus exposé au risque cyber, phishing notamment, sur sa messagerie électronique ?

En fait, les horaires d'envoi sont similaires un peu à des horaires appliqués dans le marketing. Si vous voulez que quelqu'un ouvre votre mail, c'est le mardi matin ou le soir à 17h30, avant de quitter le boulot. C'est aussi simple que ça. L'open data a permis, en France et en Europe, de cibler beaucoup plus simplement, avec la base Sirene, qui est disponible. Donc une personne qui veut faire du phishing pourra facilement trouver des entreprises qui emploient peu de salariés. Ces entreprises ouvrent généralement plus facilement des mails frauduleux.

« L'open data a permis aux pirates, en France et en Europe, de cibler beaucoup plus simplement »

Quel est le premier réflexe à avoir ou plutôt, quel est le premier indice qui peut mettre un utilisateur lambda et peu averti sur la piste d'un mail frauduleux ? Un courrier électronique envoyé par l'adresse labanquepostale@hotmail.fr nous paraîtra forcément suspect...

Si vous êtes sur un PC, il faut regarder si vous avez des alias. Dans certaines boites électroniques, on peut avoir des configurations où l'adresse n'est pas affichée. Au niveau des fichiers, il faut bien regarder l'extension. Aujourd'hui, vous ne recevrez jamais une vraie facture en .doc, ce sera plutôt du .pdf. Si vous ne connaissez pas la personne qui envoie le courrier, vous ne cliquez surtout pas. Dès lors que vous avez le moindre doute sur un mail, il est bon de demander l'avis d'un collègue plus avisé.


Mais la première faille dans une entreprise, c'est l'humain. Au bout d'un moment, l'humain a des limites d'appréhension, d'attention et de vigilance. Sur le spear phishing (une attaque très ciblée, qui ne vise qu'une seule personne), dans notre outil Vade Secure, nous affichons une bannière, dans l'email, qui est vue par l'utilisateur uniquement. Celle-ci lui indique si un mail a les caractéristiques qui pourraient faire penser à une tentative de piratage ou d'usurpation.

« Beaucoup d'entreprises n'ont pas d'hygiène de la gestion de la donnée ni de la cybersécurité »

Il existe un site, GhostProject, qui recense 1 milliard d'adresses de messagerie avec mots de passe qui ont été retrouvés dans des bases dont les mots de passe n'étaient justement pas chiffrés, soit dans des bases où le niveau de chiffrement du mot de passe était tellement faible qu'il était facile de le retrouver.

Le problème est que beaucoup d'entreprises n'ont pas d'hygiène de la gestion de la donnée ni de la cybersécurité, car elles vont avoir le même mot de passe pour le pro et le perso, ce qui fait que le mot de passe va se retrouver sur ce type de base.


Quels sont, en 2020, les principaux sujets qui vont faire tomber les gens dans le piège de la cybercriminalité ?

Si vous ciblez la petite TPE-PME, ce sont des choses simples, comme tel montant qu'il resterait à payer sur votre livraison ; ou l'expiration prochaine du nom de domaine, dont le prolongement resterait soumis à un certain paiement, etc. Ces attaques-là ont eu du succès avec des professionnels de l'informatique ou des petits revendeurs.

« Les hackers peuvent opérer un chantage au RPGD »

Dans le cas d'une entreprise plus importante, on arrive dans ce que l'on appelle "la fraude au président", avec une tentative plus travaillée et structurée. Ici, on peut demander à un salarié de transmettre des informations sensibles, à son insu. Mais la tendance, c'est que plutôt que de vendre des données qui ont fuité d'une entreprise, on va faire chanter celle-ci, c'est ce que l'on appelle le chantage au RGPD : ici, on joue sur la possibilité d'être rattrapée par la patrouille, par la CNIL, pour une fuite de données. Et ce levier psychologique fonctionne. Des entreprises sont prêtes à payer, plutôt que de voir les données fuiter et ensuite se retrouver visées par la CNIL.

Le porno est aussi une source bien connue de piratage, j'en prends pour preuve une étude de Vade Secure récente qui révèle que la plupart des victimes de phishing ont été piratées via des chats pornos, en utilisant des liens malveillants...

Il y a une recrudescence des groupes adultes, notamment sur WhatsApp. Nous avions détecté les premiers groupes l'année dernière, au Pakistan. Je n'en ai pas personnellement vu encore en France.

« Le porno, aujourd'hui, a clairement amorcé le levier du chantage. Compte tenu du trafic qu'il génère, les cibles sont faciles à trouver »

Ce que l'on voit également, aujourd'hui, concernant le porno, c'est ce qui est envoyé sous forme de sextorsion (de fonds ou d'informations), lorsqu'on vous fait croire que vous avez été pris en train de regarder des sites adultes, qu'on détient une vidéo de vous etc. Des gens ont payé, ça a fonctionné. La deuxième chose, c'est qu'aujourd'hui, il existe des bases de données comme Hookers.nl, aux Pays-Bas, qui est un peu le TripAdvisor de la prostitution dans le pays. Sur ce site, vous pouvez laisser des messages sur votre expérience. Le problème, c'est que la base a fuité et que l'on retrouve les données de 1 500 Français dessus, notamment des personnes à des niveaux plutôt importants. Du fait des fuites de données, de nombreux outils permettent, si vous me donnez votre adresse perso et que vous l'avez utilisée une fois dans votre vie, par exemple sur LinkedIn, de vous retrouver dessus.

Le porno, aujourd'hui, a clairement amorcé le levier du chantage. Compte tenu du trafic qu'il génère, les cibles sont faciles à trouver.