Un homme en détresse suite à son phishing, généré avec l’assistance de l’IA.
Partie 1 – Le piratage
Début août 2023, je suis revenu de vacances pour trouver des centaines d’emails non lus qui m’attendaient. Bien que les affaires urgentes aient été traitées, j’avais encore plusieurs approbations et de révisions de documents à gérer.
Dans l’après-midi, j’ai cliqué sur un autre email concernant l’approbation d’un document de politique. Après m’être authentifié, j’ai été frappé par un message brutal : j’étais victime d’une attaque de phishing. Cela faisait partie de la campagne de sensibilisation au phishing d’OKIOK. La page expliquait comment détecter les tentatives de phishing et me rassurait sur le fait qu’il n’y avait aucune conséquence grave puisque ce n’était qu’un exercice.
Un soulagement m’a envahi, mais mon esprit a commencé à tourner. Comment ai-je pu, en tant que président d’une entreprise de cybersécurité, tomber dans ce piège ? Je scrute les liens, les noms de domaine et les pages web constamment.
Partie 2 – Comment c’est arrivé
En réfléchissant à l’incident, j’ai réalisé qu’il reflétait la complexité souvent observée dans les catastrophes aériennes: de multiples facteurs convergeant pour créer une tempête parfaite.
Phishing de haute qualité : L’email et le site de phishing imitaient parfaitement un service que nous utilisons. Les URL étaient presque identiques, ne différant que par un domaine « .ca », courant et apparemment légitime pour une entreprise canadienne. Nos pentesters avaient même obtenu et utilisé un certificat valide pour le site.
Mode vacances : En revenant de vacances, j’étais impatient de vider ma boîte de réception, ce qui a réduit ma vigilance.
Désensibilisation à Entra ID : Avec le SSO configuré pour ce service via Entra ID, j’ai pas réfléchi à la page de login. J’aurais dû reconnaître que je devais déjà être connecté, au lieu de me voir demander mon mot de passe.
Le clic : La faute initiale était de cliquer sur le lien. Si j’avais accédé au service directement, rien de tout cela ne serait arrivé.
Partie 3 – Leçons apprises
Pour contrer de telles attaques, je crois que la meilleure approche pourrait être d’éviter de cliquer sur les liens dans les emails. Mais c’est difficile, les liens simplifient l’accès et font gagner du temps, ancrant une habitude difficile à briser.
Certains gouvernements ont commencé à interdire les liens dans les communications par email pour décourager les mauvaises pratiques. Par exemple, le « Ministère de la Cybersécurité et du Numérique » du Québec a émis une directive pour que les services publics cessent d’inclure des liens dans les emails destinés à l’externe.
Pourtant, ce n’est pas une solution simple…
Partie 4 – Les liens manquants
Les liens dans les emails peuvent être incroyablement utiles. Par exemple, les invitations aux appels Teams ou Zoom reposent souvent sur des liens contenant toutes les informations nécessaires. Sans eux, rejoindre un appel devient fastidieux.
Chez OKIOK, nous avons rencontré un défi similaire avec notre solution S-Filer, qui génère un GUID pour les transferts de fichiers ponctuels. Le lien dans l’email de notification était essentiel pour que les destinataires accèdent à leurs fichiers.
Partie 5 – La solution S-Filer
L’année dernière, nous avons commencé à retravailler notre fonctionnalité « Quick Send ». Les transferts sont désormais identifiés par un code unique composé de lettres majuscules claires et de chiffres. Au lieu d’un lien, les notifications incluent des instructions dirigeant les utilisateurs vers notre site web, où ils peuvent entrer le code pour accéder aux fichiers.
Nous avons maintenu la fonctionnalité précédente avec des liens pour les clients qui la préfèrent, assurant une transition en douceur.
Partie 6 – Conclusion
À mesure que les emails de phishing générés par IA deviennent plus sophistiqués, les repérer devient de plus en plus difficile. Je pensais autrefois que nous pouvions former les gens à identifier les tentatives de phishing, mais je pense maintenant qu’il est plus sûr de les former à ne pas cliquer du tout sur les liens. Nous avons adapté nos campagnes de phishing en conséquence.
Partie 7 – Épilogue
Si cela avait été une véritable attaque, le stress aurait été immense. Heureusement, nos multiples couches de défense auraient atténué les conséquences :
- MFA : Requis pour tout accès externe, les demandes MFA suspectes m’auraient alerté de toute tentative de connexion non autorisée.
- Privilèges limités : Mon compte quotidien a un accès restreint, réduisant les dommages potentiels.
- Gestionnaire de mots de passe : Des mots de passe uniques et forts signifient qu’un mot de passe phishé ne peut pas être réutilisé.
- Solutions EDR/MDR : Nos systèmes de détection attraperaient probablement tout malware installé lors de l’attaque.
Bien que je me sente toujours embarrassé, je suis rassuré par nos mesures de sécurité.