Spoofing, ou l'usurpation d'identité, est une technique consistant, pour un cybercriminel, à se faire passer pour une source connue ou de confiance. Elle peut prendre de nombreuses formes : faux e-mails, adresses IP, DNS, GPS, sites web ou appels téléphoniques.

Ce faisant, le cyberadversaire est en mesure d'entrer en relation avec la cible et d'accéder à ses systèmes ou terminaux dans le but ultime de dérober des informations, d'extorquer de l'argent ou d'installer des logiciels malveillants ou d'autres logiciels dangereux sur le terminal.

Il est assez courant que les cyberattaquants usurpent plusieurs points de contact, tels qu'une adresse e-mail et un site web, afin d'établir la communication et de mener l'attaque proprement dite. Par exemple, les cybercriminels peuvent usurper une adresse e-mail pour attirer l'attention d'une victime potentielle, puis utiliser un faux site web pour s'emparer de ses identifiants ou d'autres informations.

Dans la plupart des cas, les attaques par usurpation d'identité s'appuient également sur des techniques de phishing et d'ingénierie sociale pour susciter une réaction ou recueillir davantage d'informations. Ces méthodes exploitent souvent les émotions humaines, notamment l'enthousiasme, la curiosité, l'empathie ou la peur, afin d'amener l'utilisateur à agir rapidement ou sans réfléchir. Les cybercriminels incitent ainsi leurs victimes à communiquer des informations personnelles, à cliquer sur des liens malveillants, à télécharger des fichiers infectés ou à payer une rançon.

Types d'attaques par usurpation d'identité

Les attaques par usurpation d'identité prennent de nombreuses formes, des plus simples aux plus évoluées. Voici les types les plus courants :

Usurpation d'adresse e-mail

L'usurpation d'adresse e-mail compte parmi les attaques par usurpation d'identité les plus courantes. Le cyberattaquant se fait passer pour un contact connu, familier ou plausible, soit en modifiant le champ « De » pour qu'il corresponde à un contact de confiance, soit en plagiant le nom et l'adresse e-mail d'un contact connu. Par exemple, une fausse adresse e-mail peut contenir un zéro (0) à la place de la lettre O ou substituer un I majuscule à un L minuscule. On parle alors d'attaque homographe ou d'usurpation d'identité visuelle.

Dans la plupart des attaques par usurpation d'adresse e-mail, le message contient des liens vers des sites web malveillants ou des pièces jointes infectées. Le cyberattaquant peut également recourir à des techniques d'ingénierie sociale pour convaincre le destinataire de divulguer des données personnelles ou d'autres informations sensibles.

Usurpation de l'identifiant d'appelant

À l'instar de l'usurpation d'adresse e-mail, l'usurpation de l'identifiant d'appelant consiste à travestir le numéro de téléphone du cyberadversaire en un numéro familier. Lorsque le destinataire prend l'appel, le cyberattaquant se fait généralement passer pour un agent du service clientèle afin de recueillir des informations personnelles, telles que le numéro de sécurité sociale, la date de naissance, les coordonnées bancaires, voire les mots de passe. Certaines attaques avancées par usurpation de l'identifiant d'appelant peuvent rediriger l'appel vers un opérateur international ou longue distance, générant des factures élevées pour la victime.

Usurpation de site web ou de domaine

L'usurpation de domaine consiste, pour le cyberattaquant, à créer un site web qui plagie un site existant, souvent en modifiant légèrement les noms de domaine. L'objectif de ces attaques est d'amener les utilisateurs à se connecter à leur compte. Le cyberattaquant peut alors enregistrer les identifiants du compte ou d'autres informations personnelles. Il peut ensuite les utiliser sur un site web de confiance ou les vendre. Les attaques par usurpation de site web sont généralement déclenchées par une usurpation d'adresse e-mail : le cyberattaquant utilise d'abord un compte e-mail fictif et redirige ensuite le trafic vers le faux site web.

Usurpation d'adresse IP

Les cyberattaquants peuvent modifier leur adresse IP pour dissimuler leur identité ou se faire passer pour un autre utilisateur. C'est la technique de prédilection des cyberadversaires chevronnés lors d'une attaque par déni de service (DoS). Grâce à cette technique, les cyberattaquants modifient leur adresse IP afin de surcharger le trafic sur le site de la victime, limitant ainsi l'accès des utilisateurs réels. En savoir plus sur les attaques par déni de service (DoS).

Usurpation du protocole ARP

Le protocole ARP (Address Resolution Protocol, ou protocole de résolution d'adresse) est le processus de mise en correspondance des adresses IP et des adresses MAC (Media Access Control) en vue de la transmission de données. Lors d'une attaque par usurpation du protocole ARP, le cyberadversaire associe son adresse MAC à une adresse réseau IP légitime afin de recevoir des données destinées au propriétaire de l'adresse IP en question. L'usurpation du protocole ARP est souvent utilisée pour voler ou modifier des données. Elle peut toutefois également servir dans des attaques par déni de service de type man-in-the-middle (MITM) ou pour le piratage de sessions.

Usurpation de GPS

L'usurpation de GPS consiste à modifier le GPS d'un terminal pour que celui-ci s'enregistre à un endroit différent de celui où se trouve physiquement l'utilisateur. Cette technique est principalement utilisée par les joueurs en ligne, comme Pokémon GO, mais les intentions peuvent être bien plus malveillantes. Par exemple, l'usurpation de GPS permet de rediriger les systèmes de navigation de tous les types de véhicules : voitures particulières, avions commerciaux, navires militaires, bus publics, etc.

Attaque de type man-in-the-middle

Une attaque de type man-in-the-middle (MITM) est une cyberattaque au cours de laquelle un tiers espionne la conversation entre un utilisateur du réseau et une application web. L'objectif de cette attaque est de collecter subrepticement des informations, telles que des données personnelles, des mots de passe ou des coordonnées bancaires, et/ou d'usurper l'identité d'une partie afin d'obtenir des informations supplémentaires ou d'inviter à l'action (par exemple, modifier des identifiants, exécuter une transaction ou transférer des fonds). Ce type d'attaque comprend souvent l'usurpation d'une adresse e-mail ou d'un site web, voire les deux, afin de déclencher une activité et le transfert de données.

Usurpation de reconnaissance faciale

La reconnaissance faciale est la cible d'une technique d'usurpation émergente. Vu le nombre d'utilisateurs de ce type de technologie pour déverrouiller leur téléphone ou leurs applications, les cybercriminels étudient la façon d'en exploiter les vulnérabilités potentielles. Par exemple, des chercheurs ont démontré qu'il est possible d'utiliser des modèles faciaux 3D construits à partir de photos disponibles sur les réseaux sociaux pour déverrouiller l'appareil de l'utilisateur par reconnaissance faciale. Cette technologie peut être employée à d'autres fins, notamment la simulation de séquences vidéo embarrassantes, voire criminelles, mettant en scène des personnalités (célébrités, politiques, chefs d'entreprise, etc.) dans le but de leur extorquer de l'argent.

Comment l'usurpation s'opère-t-elle ?

Comme expliqué ci-dessus, les techniques d'usurpation varient en fonction du type d'attaque. Par exemple, dans le cas de l'usurpation d'adresse e-mail, le cyberadversaire peut pirater un serveur de messagerie non sécurisé pour dissimuler sa véritable identité. Dans le cadre d'une attaque MITM, le cyberadversaire peut créer un point d'accès Wi-Fi afin d'intercepter toute activité web et de recueillir des informations personnelles. On observe aussi des techniques d'usurpation relativement simples ou non techniques, comme la modification du champ « De » dans une adresse e-mail.

Exemples d'usurpation

Dans la plupart des cas, l'usurpation n'est qu'une composante d'une attaque numérique plus vaste. En effet, l'usurpation d'adresse e-mail, de site web ou d'adresse IP est généralement bénigne en soi. Pour en tirer avantage, l'usurpateur doit passer à l'étape de la collecte d'informations personnelles ou de l'incitation à l'action par des techniques de phishing ou d'ingénierie sociale.

Nous allons nous attarder sur quelques exemples concrets d'usurpation.

En savoir plus

Attaque contre le secteur financier : BokBot est un cheval de Troie bancaire au code complexe écrit pour inciter les victimes à envoyer des informations sensibles à un serveur de commande et contrôle. Il utilise des webinjects pour créer une réplique du site web cible original. Ces webinjects créent des répliques de sites web, appelées « webfakes », en réécrivant les URL afin de transférer le trafic vers le site webfake. Le navigateur web ne sait pas que le trafic est redirigé vers le webfake. La réplique de site peut extraire la page du navigateur de la victime, en faire une capture d'écran ou l'ignorer. Les webinjects ont remplacé les enregistreurs de frappe comme méthode courante de vol de données financières.

Lire l'article de blog : Digging into BokBot's Core Module

Harponnage (spear phishing)

Les attaques de harponnage ou spear phishing tentent de tromper les collaborateurs de certaines entreprises ou certains secteurs afin d'accéder à la véritable cible : l'entreprise elle-même. Par exemple, une attaque de spear phishing peut au départ cibler les cadres intermédiaires travaillant dans des sociétés financières dans une région géographique donnée et dont l'intitulé de fonction comprend le mot « finance ».

Pour exécuter une attaque de spear phishing, les cyberadversaires peuvent combiner l'usurpation d'adresse e-mail, des URL dynamiques et des téléchargements furtifs (« drive-by ») pour contourner les contrôles de sécurité. Les attaques de spear phishing avancées peuvent exploiter des vulnérabilités zero day des navigateurs, des applications ou des plug-ins. L'attaque de spear phishing peut être la première étape d'une attaque par menace persistante avancée (APT) en plusieurs phases, qui effectuera des téléchargements de fichiers binaires, des communications sortantes de logiciels malveillants et des exfiltrations de données à des stades ultérieurs.

Attaques liées à la COVID

Face à la situation exceptionnelle engendrée par la pandémie de COVID-19, le phishing reste la voie d'accès privilégiée des cybercriminels. En avril 2020, l'équipe Crowdstrike Intelligence a identifié de nouvelles campagnes de phishing usurpant l'identité de l'Organisation mondiale de la Santé (OMS). Pour mener l'attaque, ces campagnes ont eu recours à une technique d'ingénierie sociale. Les cybercriminels ont également utilisé de fausses adresses e-mail pour distribuer le voleur d'informations « AgentTesla » à l'aide d'un document d'exploit appelé « Virgo ».

Cyber Front Lines Report

Ce rapport offre une vue du front inédite ainsi qu'une foule de détails pertinents sur la bataille livrée par des experts chevronnés contre les cyberadversaires extrêmement sophistiqués d'aujourd'hui.

Télécharger

Comment détecter l'usurpation d'identité ?

Dans de nombreux cas, il est relativement simple de détecter et de prévenir les attaques par usurpation d'identité pour peu que l'on se montre vigilant. Les utilisateurs peuvent se référer à la liste de questions ci-dessous pour identifier une attaque par usurpation d'identité :

La demande est-elle sollicitée ? L'entreprise/organisme répond-il à une demande de service ou demande-t-il spontanément d'exécuter une tâche ? Par exemple, les utilisateurs ont souvent la possibilité de réinitialiser leur mot de passe en demandant l'envoi d'un lien à l'adresse e-mail enregistrée. Si un utilisateur reçoit ce genre de message avec un lien alors qu'il n'en a pas fait la demande, il peut s'agir d'une tentative d'usurpation d'identité.

Le message demande-t-il des informations sensibles ? Les entreprises et les organismes publics dignes de confiance ne demandent jamais de communiquer des informations sensibles comme des mots de passe ou des numéros de sécurité sociale complets par e-mail ou par téléphone. Ils n'envoient pas non plus de demandes de mot de passe par l'intermédiaire d'un tiers ou d'un domaine externe. En cas de doute, l'utilisateur doit contacter directement l'entreprise ou l'organisme public en question en utilisant les informations de contact publiées sur le site web officiel.

L'entreprise utilise-t-elle un domaine différent ? Lorsque vous recevez un message contenant des liens, placez le pointeur de la souris sur le lien hypertexte pour voir où il mène. Les banques, les médecins, les établissements d'enseignement et autres prestataires de services légitimes ne tentent jamais d'acheminer une activité ou une communication via une URL qui ne correspond pas à leur domaine actuel. Vous pouvez également vérifier que le champ « De » ou « Envoyé » correspond au domaine officiel. Si le domaine est différent, vous devez immédiatement contacter les canaux officiels du service clientèle de l'entreprise ou de l'agence.

Le site web ou le lien renvoie-t-il à une adresse HTTPS ? Pour les transferts de données, les sites sécurisés utilisent presque toujours le protocole HTTPS, version chiffrée du protocole HTTP. Assurez-vous que l'URL commence par HTTPS et qu'une icône de cadenas s'affiche dans la barre d'adresse avant d'accéder au site. Ne cliquez jamais sur un lien qui ne contient pas ces deux éléments de sécurité.

Le message contient-il une pièce jointe non sollicitée ? Les entreprises légitimes dirigent les utilisateurs vers leur site web officiel pour accéder aux fichiers et les télécharger. Ne téléchargez jamais une pièce jointe non sollicitée, même si elle provient d'une source fiable ou familière, comme un parent ou un collègue.

Le message est-il personnalisé et professionnel ? Les prestataires de services réputés interagissent avec leurs clients de manière personnalisée et professionnelle. Rares sont ceux qui commencent leurs e-mails ou autres messages par des salutations génériques telles que « Cher client » ou « À qui de droit ».

Le message contient-il des erreurs évidentes de grammaire et d'orthographe ? Une grammaire, une orthographe, une qualité de mise en page et une présentation de l'image de marque déficientes sont autant d'éléments permettant de repérer une tentative d'usurpation d'identité. Si certains peuvent y voir le signe d'un acteur étranger maîtrisant mal le français, il s'agit en fait d'une technique délibérée utilisée par les pirates informatiques pour écarter les utilisateurs avertis et piéger des cibles plus faciles.