En 2024, quelles nouvelles menaces cyber pèsent sur la sécurité des courriels en entreprise ?
Quishing, fausses conversations emails, orchestration des attaques par l’IA… Voici trois tendances de nouvelles menaces cyber à anticiper.
Dans les entreprises, de nombreuses questions en lien avec la cybersécurité restent en suspens. Comment les menaces ont-elles et vont-elles évoluer ? Quelles nouvelles attaques et techniques vont faire leur apparition ? Comment les entreprises doivent-elles faire évoluer leur stratégie de cybersécurité pour maintenir leur protection ?
Au 3e trimestre 2023, Vade a détecté une forte augmentation des attaques de phishing et des malwares. Le nombre d’emails de phishing a ainsi augmenté de 173 % par rapport au trimestre précédent (493,2 millions contre 180,4 millions). Les malwares ont suivi la même tendance, avec une hausse trimestrielle de 110 %. Vade en a dénombré 125,7 millions au 3e trimestre, contre 60 millions au trimestre précédent.
Ce chiffre record est battu uniquement par les 126,8 millions de malwares du 4e trimestre 2016. Jamais les malwares et emails de phishing n’avaient été aussi nombreux au 3e trimestre depuis que Vade réalise ces statistiques (2015).
Au 3e trimestre 2023, le nombre d’emails de phishing a augmenté de 173 % par rapport au trimestre précédent.
Sécurité de l’email : les attaques de quishing vont s’amplifier
Le quishing est une technique qui consiste, pour les hackeurs, à camoufler des liens ou des fichiers malveillants dans des QR codes.
Vade a détecté une forte hausse des attaques de quishing en 2023, dont beaucoup ciblaient les utilisateurs de Microsoft 365. Début novembre 2023, l’entreprise a par exemple signalé une campagne de quishing apparemment liée à l’outil de Phishing-as-a-Service (PhaaS) Greatness.
Même si ces attaques attirent tous les regards, elles ne datent pas d’hier : les experts de Vade en avaient déjà détectées en 2017. Leur retour suggère qu’elles permettent aux hackeurs d’atteindre leur but.
Ceci est lié au fait que les solutions de détection de phishing sont construites pour gagner du temps dans le traitement de l’email en priorisant l’analyse d’autres caractéristiques des emails, plutôt que d’activer la computer vision, qui demande beaucoup de mémoire et une puissance de calcul important, et donc du temps de traitement des emails.
Les algorithmes de computer vision sont entraînés pour reconnaître des comportements malveillants, notamment les URL obfusquées, les redirections, les images distantes, les images altérées, etc. Ils sont capables de détecter les liens et fichiers malveillants intégrés aux QR codes et de les analyser, rendant cette technique d’attaque obsolète. Pour éviter que cette tendance s’amplifie, les éditeurs de logiciels devront prendre l’habitude d’utiliser plus largement la computer vision pour scanner les QR codes et en extraire les liens.
Le quishing est une technique qui consiste à camoufler des liens ou des fichiers malveillants dans des QR codes.
Fausses conversations emails
Si le spear phishing (ou hameçonnage ciblé) existe depuis de nombreuses années aux États-Unis, il est relativement récent en France et en Europe, et devrait rester très courant en 2024.
Face à des utilisateurs de plus en plus efficaces pour repérer les tentatives d’usurpation, les hackeurs perfectionnent leurs approches. Ils vont jusqu’à créer des faux fils de conversation par email pour ensuite intégrer la personne qu’ils souhaitent piéger à la conversation, en particulier sur les messageries professionnelles.
Mieux, les chercheurs de Vade ont repéré un phénomène discret : l’usurpation indirecte de cabinets d’avocats demandant le paiement d’une facture pour éviter une action juridique. Cette attaque combine fraude à l’avocat et au président et, comme en règle générale, le cabinet d’avocats existe bel et bien, cela rend la menace plus crédible aux yeux de la victime.
Si on analyse des scénarios récents d’hameçonnage ciblé du point de vue de l’ingénierie sociale, on peut dire qu’ils exploitent à deux voire plusieurs reprises le principe de manipulation par l’autorité. Tout d’abord avec le PDG, qui est l’autorité de l’entreprise, puis avec le cabinet d’avocats, l’autorité dans le milieu judiciaire.
Outre que cette technique exploite la notion d’autorité et donne une apparence logique au scénario, ce type d’attaque est particulièrement dangereux, car il passe tous les contrôles de sécurité (DKIM, DMARC, SPF) et n’usurpe pas forcément l’identité d’un expéditeur.
Vade a tout récemment repéré un fil de conversation qui semble se dérouler entre un véritable employé d’une entreprise et le représentant d’une organisation à but non lucratif. L’employé accepte de participer à un appel à financement et demande au représentant de l’ONG d’envoyer une facture à un de ses collègues. C’est ce que fait la soi-disant ONG, en transférant l’échange et en demandant un paiement.
Si l’attaque repose bien sur une usurpation, elle est indirecte. L’employé, a priori responsable du don, n’a jamais échangé avec la future victime, ce qui rend cette attaque de spear phishing particulière. Dans une attaque de spear phishing classique, les hackeurs se font passer pour un expéditeur connu du destinataire, en qui il a confiance.
Nouvelles menaces cyber : quelle sécurité pour l’IA générative ?
Derrière la sophistication des attaques largement observée en 2023, le véritable danger dans l’IA (intelligence artificielle) réside dans sa capacité imminente à planifier et orchestrer des attaques. Si cette capacité venait à se concrétiser, l’IA pourrait concevoir et exécuter des attaques en temps réel en exploitant les informations et donc les vulnérabilités de tout un chacun et de toute entreprise, disponibles sur Internet. Et la menace se ferait de plus en plus dangereuse avec le temps, chaque échec offrant à l’IA une occasion d’apprendre et de s’améliorer en temps réel.
L’IA générative promet d’annihiler notre plus grand avantage sur les attaquants : le temps et les ressources nécessaires pour lancer des attaques sophistiquées. Si elle devient capable d’orchestrer des attaques, l’équilibre des forces en présence en serait considérablement modifié. Aujourd’hui, les hackeurs ont besoin de plusieurs semaines pour détecter nos vulnérabilités. Demain, avec l’IA, une seule personne pourrait potentiellement le faire en quelques secondes ou quelques minutes. Comme pour le Ransomware-as-a-Service (RaaS) en 2014, nous voyons l’intérêt pour les LLM (Large Language Models) se développer sur le darknet. La menace est plausible.
Adrien Gendre
Co-fondateur et Chief Tech & Product Officer de Vade
Les plus lus…
Cette fiche réflexe a été créée dans un contexte où la menace drone est trop souvent ignorée, et où…
La société Rolland, spécialisée dans la conception et la fabrication de sprinkleurs pour les réseaux de protection incendie, obtient…
Le développement des mobilités électriques, notamment les vélos, trottinettes et voitures, fait peser un risque nouveau tant chez les…
La directive (UE) 2024/2831 du Parlement européen et du Conseil du 23 octobre 2024, relative à l’amélioration des conditions…
D’avis unanime, les JOP 2024 ont été une réussite sur le plan sécuritaire. Durant cet événement inédit, trois projets…
L'arrêté du 31 octobre 2024 relatif à l'analyse des substances per- et polyfluoroalkylées dans les émissions atmosphériques des installations…