Dans la catégorie des attaques particulièrement efficaces (et donc ayant le vent en poupe) le phishing est le trublion de la liste. A contrario d'autres attaques, nul besoin d'être un grand gourou en sécurité et de maitriser des techniques ou outils sophistiqués. Vous savez envoyer du spam et monter une page web ? Si la réponse est "Oui je sais" alors le phishing est à votre portée !
Quelles sont les principales techniques de protections ? En amont, on retrouve principalement les filtres antispams, et en aval (pour récupérer "in extrémis" les utilisateurs qui se font avoir) il reste par exemple les solutions basées sur des liste de réputation (URL Filtering spécifiques ou solutions intégrées aux browsers).
Entre les deux, tout repose sur le bon sens de l'utilisateur, sa méfiance naturelle, sa crédulité ou encore son niveau de connaissance de ce type d'attaque : Bref, sa cervelle et son contenu... Et oui, pour le moment, le seul rempart a peu près efficace face à cette menace c'est la formation/sensibilisation des utilisateurs... Désolé pour les technophiles.
Certains acteurs ont vu le coup venir : Il y a ici un créneau pour développer le business : Un bon exemple, la société Phishme.com (J'adore le nom lègerement provocateur!) propose en SaaS (Ca c'est "in") un service vous permettant de lancer des campagnes de "phishing éthique" pour sensibiliser un ensemble de personnes à se protéger contre ce type d'attaques.
Quelques réflexions :
1) Bonne approche du problème : C'est notamment en adoptant les techniques de l'attaquant que l'on développe ses mécanismes de défense/protection.
2) C'est une très bonne façon d'aider les personnes à mieux connaitre, et donc à se protéger, des attaques de phishing : En étant très basique, après s'être fait avoir une fois, les personnes sont plus méfiantes. Certaines personnes diront que la méthode est peut-être un peu "brutale" mais parfois la fin justifie les moyens. :-)
3) Un service qui était jusqu'ici vendu sous le manteau est désormais commercialisé "officiellement", le business modèle restant le même, seule la clientèle et les prix évoluent (Lire: C'est honnête, donc plus cher). L'argent n'ayant pas d'odeur, certains verront ici de nouveaux débouchés pour rentabiliser encore leurs développements. D'autres y verront une source d'inspiration pour faire évoluer leurs systèmes.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens