En 2024, quelles nouvelles menaces cyber pèsent sur la sécurité des courriels en entreprise ?

Dans les entreprises, de nombreuses questions en lien avec la cybersécurité restent en suspens. Comment les menaces ont-elles et vont-elles évoluer ? Quelles nouvelles attaques et techniques vont faire leur apparition ? Comment les entreprises doivent-elles faire évoluer leur stratégie de cybersécurité pour maintenir leur protection ?

Au 3^e trimestre 2023, Vade a détecté une forte augmentation des attaques de phishing et des malwares. Le nombre d’emails de phishing a ainsi augmenté de 173% par rapport au trimestre précédent (493,2 millions contre 180,4 millions). Les malwares ont suivi la même tendance, avec une hausse trimestrielle de 110%. Vade en a dénombré 125,7 millions au 3^e trimestre, contre 60 millions au trimestre précédent.

Ce chiffre record est battu uniquement par les 126,8 millions de malwares du 4^e trimestre 2016. Jamais les malwares et emails de phishing n’avaient été aussi nombreux au 3^e trimestre depuis que Vade réalise ces statistiques (2015).

Le quishing est une technique qui consiste, pour les hackeurs, à camoufler des liens ou des fichiers malveillants dans des QR codes.

Vade a détecté une forte hausse des attaques de quishing en 2023, dont beaucoup ciblaient les utilisateurs de Microsoft 365. Début novembre 2023, l’entreprise a par exemple signalé une campagne de quishing apparemment liée à l’outil de Phishing-as-a-Service (PhaaS) Greatness.

Même si ces attaques attirent tous les regards, elles ne datent pas d’hier : les experts de Vade en avaient déjà détectées en 2017. Leur retour suggère qu’elles permettent aux hackeurs d’atteindre leur but.

Si le spear phishing (ou hameçonnage ciblé) existe depuis de nombreuses années aux États-Unis, il est relativement récent en France et en Europe, et devrait rester très courant en 2024.

Face à des utilisateurs de plus en plus efficaces pour repérer les tentatives d’usurpation, les hackeurs perfectionnent leurs approches. Ils vont jusqu’à créer des faux fils de conversation par email pour ensuite intégrer la personne qu’ils souhaitent piéger à la conversation, en particulier sur les messageries professionnelles.

Mieux, les chercheurs de Vade ont repéré un phénomène discret : l’usurpation indirecte de cabinets d’avocats demandant le paiement d’une facture pour éviter une action juridique. Cette attaque combine fraude à l’avocat et au président et, comme en règle générale, le cabinet d’avocats existe bel et bien, cela rend la menace plus crédible aux yeux de la victime.

Si on analyse des scénarios récents d’hameçonnage ciblé du point de vue de l’ingénierie sociale, on peut dire qu’ils exploitent à deux voire plusieurs reprises le principe de manipulation par l’autorité. Tout d’abord avec le PDG, qui est l’autorité de l’entreprise, puis avec le cabinet d’avocats, l’autorité dans le milieu judiciaire.

Outre que cette technique exploite la notion d’autorité et donne une apparence logique au scénario, ce type d’attaque est particulièrement dangereux, car il passe tous les contrôles de sécurité (DKIM, DMARC, SPF) et n’usurpe pas forcément l’identité d’un expéditeur.

Vade a tout récemment repéré un fil de conversation qui semble se dérouler entre un véritable employé d’une entreprise et le représentant d’une organisation à but non lucratif. L’employé accepte de participer à un appel à financement et demande au représentant de l’ONG d’envoyer une facture à un de ses collègues. C’est ce que fait la soi-disant ONG, en transférant l’échange et en demandant un paiement.

Si l’attaque repose bien sur une usurpation, elle est indirecte. L’employé, a priori responsable du don, n’a jamais échangé avec la future victime, ce qui rend cette attaque de spear phishing particulière. Dans une attaque de spear phishing classique, les hackeurs se font passer pour un expéditeur connu du destinataire, en qui il a confiance.

Derrière la sophistication des attaques largement observée en 2023, le véritable danger dans l’IA (intelligence artificielle) réside dans sa capacité imminente à planifier et orchestrer des attaques. Si cette capacité venait à se concrétiser, l’IA pourrait concevoir et exécuter des attaques en temps réel en exploitant les informations et donc les vulnérabilités de tout un chacun et de toute entreprise, disponibles sur Internet. Et la menace se ferait de plus en plus dangereuse avec le temps, chaque échec offrant à l’IA une occasion d’apprendre et de s’améliorer en temps réel.

L’IA générative promet d’annihiler notre plus grand avantage sur les attaquants : le temps et les ressources nécessaires pour lancer des attaques sophistiquées. Si elle devient capable d’orchestrer des attaques, l’équilibre des forces en présence en serait considérablement modifié. Aujourd’hui, les hackeurs ont besoin de plusieurs semaines pour détecter nos vulnérabilités. Demain, avec l’IA, une seule personne pourrait potentiellement le faire en quelques secondes ou quelques minutes. Comme pour le Ransomware-as-a-Service (RaaS) en 2014, nous voyons l’intérêt pour les LLM (Large Language Models) se développer sur le darknet. La menace est plausible.