Dans le monde de la cybersécurité, les attaquants et les défenseurs sont depuis longtemps engagés dans une course aux armements. Les attaquants identifient une vulnérabilité et l’exploitent. Les défenseurs corrigent la vulnérabilité et renforcent la protection afin d’éviter des attaques similaires à l’avenir. Et le cycle recommence.

Mais à mesure que les solutions de sécurité se perfectionnent et que les pratiques de sécurité s’affinent, les pirates ont de plus en plus de mal à trouver des failles exploitables.

De nombreux attaquants se sont donc tournés vers des cibles moins faciles à corriger : les personnes.

Selon l’IBM® X-Force Threat Intelligence Index, le phishing et l’utilisation abusive de comptes d’utilisateurs valides sont deux des trois moyens les plus fréquemment employés par les cybercriminels pour s’introduire dans les réseaux d’entreprise.

En détournant des comptes légitimes, les attaquants peuvent se faire passer pour de vrais utilisateurs et contourner de nombreuses mesures de sécurité en se déplaçant latéralement et en élevant les privilèges.

Alors que les e-mails et les SMS étaient autrefois les options par défaut des pirates, ces méthodes sont bien moins souvent couronnées de succès à l’ère des filtres anti-spam perfectionnés.

Il en va tout autrement des appels téléphoniques.

« Si vous examinez les principales violations de données, vous verrez qu’un appel téléphonique en est à l’origine, explique Mme Carruthers. Une personne se faisant passer pour un employé a appelé le centre d’assistance pour réinitialiser le mot de passe d’un compte. Elle a maintenant le contrôle de ce compte et peut s’introduire dans de nombreux systèmes. »

Les fournisseurs de services ont mis en place des filtres anti-spam pour lutter contre les escroqueries téléphoniques, mais ils ne sont pas aussi fiables que les filtres pour les e-mails et les SMS.

Par ailleurs, grâce à la popularité des programmes BYOD (bring your own device), les employés emploient souvent leurs smartphones personnels dans le cadre de leur travail. Les entreprises ont souvent beaucoup moins de contrôle sur la sécurité de ces appareils que sur les comptes de messagerie professionnelle, par exemple.

Cependant, l’aspect le plus dangereux du vishing est peut-être que, lorsque la victime répond à un appel, personne d’autre ne peut vraiment intervenir.

Une conversation téléphonique n’offre pas les mêmes possibilités d’examen approfondi qu’un e-mail. Les escrocs utilisent cela à leur avantage, en augmentant le sentiment d’urgence et en bombardant la victime de demandes et d’informations. La victime n’a pas le temps de prendre un instant pour réfléchir à ce qui se passe.

Tous ces facteurs rendent le vishing remarquablement efficace. Mme Carruthers en a fait l’expérience, en tant que pirate éthique et pour avoir été l’une des animatrices de la compétition de vishing de la communauté d’ingénierie sociale (SECVC) à l’occasion de la convention DEF CON.

Ce concours met aux prises 14 équipes qui doivent réaliser le plus grand nombre d’objectifs au cours d’un appel vishing en direct, dans une cabine insonorisée et devant un public.

« L’objectif n’est pas de dire : "Regardez comme nous sommes forts en ingénierie sociale", explique Mme Carruthers. Il s’agit de montrer à quel point l’ingénierie sociale est répandue et comment elle se produit réellement. Beaucoup pensent qu’il ne s’agit que de simples e-mails. Ils oublient les appels téléphoniques et l’incroyable succès qu’ils connaissent. »

Lors de la dernière compétition, chaque équipe a atteint au moins une partie de ses objectifs, c’est-à-dire qu’elle a réussi à obtenir des informations ou à faire prendre des risques à des personnes, selon Mme Carruthers.

Autrement dit, les escroqueries par vishing semblent toujours tirer quelque chose de leurs cibles. Aucune contre-mesure n’est parfaite.

En tant que membre de X-Force, Mme Carruthers a aidé de nombreuses entreprises à réorganiser leur formation en matière de sensibilisation à la sécurité. D’après son expérience, la plupart des programmes de formation n’abordent pas du tout les escroqueries par vishing. Lorsqu’ils le font, ils s’arrêtent à des conseils généraux tels que « ne donnez pas votre mot de passe par téléphone ».

« Nous avons des astuces pour contourner ce problème, explique Mme Carruthers. Je ne vais pas vous demander votre mot de passe par téléphone. Je vais dire : "Rendez-vous sur ce site et saisissez votre nom d’utilisateur et votre mot de passe. Ne me le donnez pas. Ce n’est pas sûr". »

Bien entendu, il s’agit d’un site contrôlé par Mme Carruthers ou, pire, par un véritable acteur de la menace, qui dispose désormais de vos identifiants.