Spear phishing, la voie royale

Spécialité(s)


Résumé

Il est fascinant d’observer que nombre d'attaques sophistiquées et parfois spectaculaires, débutent souvent grâce à la crédulité d’une seule personne, bien loin d’une prouesse technique. Phase de pénétration initiale, simple mais diablement efficace, le spear phishing vise une population à fort privilège et permet à l'attaquant de mettre un premier pied dans le système d’information d’une cible, en toute discrétion. En l’illustrant de cas concrets, nous remonterons aux sources de cette méthode d’ingénierie sociale et présenterons ses principaux rouages, ainsi que les parades limitant le risque de compromission.


1. Une évolution naturelle du phishing

1.1 Ouverture de la pêche numérique

1995 marque la naissance probable du phishing, au sein d’un malware permettant de générer de faux comptes Internet AOL aux États-Unis. « AOHell », le bien nommé, était capable dans une première version de créer des numéros de cartes de crédit d’apparence légitimes en utilisant l’algorithme de Luhn. AOL s’aperçoit de la supercherie, et s’adapte rapidement en imposant une phase de validation supplémentaire. L’outil de cracking évolue alors en intégrant une fonctionnalité capable de récupérer de véritables identifiants et numéros de carte de crédit, par une technique d’ingénierie sociale automatisée : il arrose la messagerie instantanée AOL, et cherche à recueillir les données qui permettront de réutiliser un compte légitime.

« Hi, this is AOL Customer Service. We're running a security check and need to verify your account. Please enter your username and...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous