À la suite d’un teambuilding toujours aussi passionnant avec l’ensemble de l’équipe SkillX, je me suis rendu compte du manque de connaissance et d’une confusion d’une partie de nos clients autour des sujets de sensibilisation et de phishing. Entre ceux qui considèrent que – « le phishing, c’est facile » – et la méconnaissance d’autres « ce sont des e-mails plein de fautes qui sautent aux yeux » – j’ai réalisé que travailler dans l’IT ne voulait pas nécessairement dire “être sensibilisé”.
C’est pourquoi j’ai pensé qu’il pourrait être pertinent de sensibiliser davantage les skillXmates afin que ceux-ci puissent eux-mêmes mieux accompagner leurs clients autour du sujet. Quoi de mieux pour cela qu’une campagne de phishing grandeur nature ? Vous voulez savoir comment je m’y suis pris ? C’est parti !
L’idée est là : sensibiliser mes collègues en faisant d’eux la cible d’une campagne de phishing… Reste donc à savoir comment la mettre en place ? Je réfléchis un peu, je fouille dans mes vieilles recherches… J’avais déjà utilisé une solution open source pour du phishing à une époque, mais je l’avais simplement installée sur un serveur virtuel et je m’étais contenté d’envoyer des e-mails de test : rien de très passionnant…
Cette fois, je dois monter un serveur accessible sur internet et capable de maintenir en ligne un faux site Web. Comme j’aime bien découvrir de nouvelles technologies au passage, je ne me contente pas uniquement d’installer un logiciel sur un serveur : je joins l’utile à l’agréable en hébergeant tout cela avec des technologies sympathiques. Docker, hébergement sur AWS avec EC2 : des choses que je connais mais que je n’ai jamais eu l’occasion d’approfondir vraiment. Le but est de mettre en place un mini lab, mais je ne veux pas qu’il soit totalement bancal et qu’il tienne avec des bouts de ficelles, alors, je mets les moyens !
Le scénario de cette simulation d’attaque phishing
Pour piéger efficacement les skillXmates, il me faut un scénario « aux petits oignons » !… Avec l’humour du groupe, je sais que je n’ai pas besoin de me limiter !
Première idée : utiliser le blog de SkillX pour créer un faux site web qui sera diffusé par un faux e-mail. Une demande de connexion au blog peut être un bon prétexte, mais il y a un risque : que les collaborateurs ne cliquent pas sur le lien. Il me faut donc un sujet absolument incontournable…
C’est là que me vient la seconde idée : utiliser notre outil de gestion, celui dans lequel nous retrouvons nos feuilles de temps, nos informations personnelles, nos fiches de paie, etc… Quoi de mieux pour motiver un collaborateur que de lui annoncer par e-mail qu’un nouveau document est disponible sur la plateforme avec une redirection vers un faux site ?
Parfait, j’ai mon idée ! Maintenant, il faut la mettre en place. Je commence par monter une instance côté AWS et j’installe Docker (merci ce petit lab pour l’entraînement qui m’a permis d’obtenir la certification Cloud Practitioner). Je mets ensuite ma solution de phishing en place sur Docker pour faciliter son utilisation, et réduire les impacts des erreurs. En effet, si je fais des erreurs lors de mes prétests, c’est une assurance de luxe. Je n’arrête pas de “ruiner” mon environnement avec tout mon bidouillage. Quoi de mieux que deux commandes dans un terminal pour revenir à un environnement propre ? Je peux vous dire que j’en abuse de cet environnement. Les connaisseurs de ces technologies savent de quoi je parle.
Un nom de domaine trompeur
Pour la suite, il faut trouver un domaine proche du véritable domaine utilisé par notre outil de gestion. Si vous arrivez sur un site web avec une adresse IP ou sur un site qui s’appelle “phishingskillx.fr”, bien sûr vous ne cliquerez pas ! En revanche, si c’est un site que vous connaissez, ou qui ressemble à un site que vous connaissez, j’ai ma chance ! En l’occurrence, SKILLX ayant deux fois la lettre L, je me dis que l’ajout d’un troisième L dans le nom passera inaperçu. Regardez par vous-même : skillx.fr ou skilllx.fr. Ça ne saute pas aux yeux si ?
Pour augmenter encore la difficulté, je n’hésite pas à prendre un certificat pour que notre site soit bien en HTTPS avec le cadenas vert. Car oui, le cadenas permet de sécuriser les communications avec le serveur du site web, mais si le site à l’origine est malveillant, le certificat n’aura aucune utilité pour vous protéger. Ce n’est pas vraiment son rôle de détecter des faux sites.
L’email
Étape suivante, préparer l’e-mail. Pour cette partie, je n’ai pas besoin de trop me creuser la tête : en partant des e-mails reçus de notre outil de gestion, je réussis à faire un beau modèle en changeant uniquement deux à trois petites choses.
Je m’inspire d’un e-mail annonçant l’ajout récent de la dernière fiche de paie pour créer un e-mail annonçant qu’un document non signé est disponible dans l’espace du collaborateur. Cool non ? Comment ne pas avoir envie d’aller voir ? Voilà le résultat, un e-mail de phishing très ciblé.
Reste un problème : pour envoyer un e-mail, il me faut une adresse. Pour cette partie, je vous avoue que les skillXmates peuvent difficilement détecter l’hameçonnage, encore que… Je décide d’utiliser notre boîte “no-reply@skillx.fr” pour pouvoir transférer ce faux e-mail à tout le monde.
Et oui, là, je veux gagner un peu de temps. Sinon, il aurait fallu créer une adresse e-mail avec le même subterfuge que pour le site Web, mais pour le domaine, en utilisant SkilllX avec trois L.
Dernière étape : la configuration de l’outil de phishing
Nous y sommes presque ! Mais pour automatiser tout cela et avoir un faux site web sur lequel mènera le lien dans l’email, reste à configurer l’outil de phishing. Celui-ci est très bien conçu : fluide et pratique. Les étapes pour l’utiliser sont les suivantes : configuration pour connecter l’outil à la boîte mail, intégration de mon template d’e-mail, et je termine par utiliser l’outil intégré qui permet de copier une page Web, c’est parfait pour copier la page de connexion de l’outil de gestion SkillX. Maintenant, il faut envoyer tout ça. Je démarre la campagne le mardi, pour la terminer la semaine suivante.
Après une semaine, je me jette sur les résultats. Je découvre alors que nous avons 3 profils distincts chez SKILLX :
- Le serial clicker qui a presque réussi à ouvrir l’e-mail avant que celui-ci soit parti. Ce profil est à sensibiliser absolument !
- Le collaborateur lambda qui ouvre ses e-mails le matin ou en fin de journée,
- La personne qui priorise toutes ses tâches et ouvre l’e-mail près d’une semaine plus tard.
Malgré ces différences, tous ont le même comportement : ils ouvrent, lisent très vite le contenu de l’e-mail, et cliquent sur le lien pour voir ce fameux document !
Malheureusement, pas de document disponible, vous vous en doutez. À ce moment, je commence à sourire… Et quand vous connaîtrez le résultat, vous sourirez vous aussi…
Le bilan
À votre avis, qui a fait quoi ? Combien d’e-mails ont été ouverts, combien de collaborateurs ont cliqué ? La réponse est : quasiment la totalité des skillXmates est tombée dans le piège ! N’oubliez quand même pas que cette campagne est difficile à détecter, (même si cela n’excuse pas tout, je vous l’expliquerai bientôt…).
Voici le bilan :
Après avoir suivi de près les connexions et les ouvertures d’e-mails, je décide de mettre fin à l’exercice pour faire un bilan avec l’ensemble des skillXmates. Presque aucun d’entre eux ne s’est posé la question du document inexistant à signer ! Certains ont pensé à un bug, d’autres ont juste trouvé cela étrange… Bref, c’est l’étonnement général quand je leur annonce qu’ils ont été phishé ! Seuls 2 collaborateurs ont eu de très grosses suspicions, mais ne se sont pas exprimés avant la grande annonce.
Je profite de la divulgation de l’exercice pour challenger les skillXmates une seconde fois, en leur demandant de regarder de nouveau mon e-mail et de me dire où sont les coquilles (lisez bien, les bonnes pratiques sont là) :
- L’adresse de redirection n’est pas la même que l’adresse affichée,
- L’adresse e-mail de l’expéditeur n’est pas l’adresse habituelle,
- L’adresse de la page web a un nom de domaine avec trois L.
Eh oui, c’est bien grâce à cela que l’on voit si un e-mail est frauduleux ou non. La dernière petite technique est de passer directement par son navigateur ou son raccourci favori pour accéder au site web lorsque vous avez une notification par e-mail.
Pour conclure, grâce à cette petite campagne interne, j’ai montré, même aux collaborateurs les plus prudents, qu’ils pouvaient aisément se faire avoir par le phishing. Certes, le ciblage est poussé à l’extrême ici, mais nous avons récemment vu que les méthodes des « pirates » sont de plus en plus orientées vers du ciblage d’entreprise, et non plus vers l’envoi massif d’e-mails à des personnes qui n’auraient aucun point commun. Et pour ces acteurs malveillants, il ne faut pas oublier que récupérer un format d’adressage en nom.prénom@entreprise.fr, ou encore le nom et l’adresse web de votre outil de gestion d’entreprise, est facile !
Nous serons tous un jour ou l’autre la cible d’une campagne. C’est pourquoi, comme l’actualité récente l’a montré, la sensibilisation est indispensable pour toute entreprise utilisant des outils IT. Il est préférable d’être sensibilisé en amont pour réduire les risques de cliquer sur ce lien le jour J.
J’espère que ce retour d’expérience vous aura plus, si vous voulez un accompagnement sur le sujet, n’hésitez pas à nous contacter !
Romain LEFEVRE
Je m'appelle Romain et j'ai rejoint SkillX en octobre 2020 à la suite d'études en Cybersécurité. J'ai choisi SkillX pour ses valeurs de responsabilité, de confiance, d'innovation et de collaboration, mais aussi pour son approche d'entreprise libérée. Pour la Cybersécurité, j'ai une appétence pour les sujets de sensibilisation, de SOC et d'audit de sécurité. En dehors de la sphère professionnelle, je suis un passionné de sport avec comme principale activité le Water-Polo, mais je fais aussi de la natation, de la course à pied et du vélo. Je suis aussi un grand lecteur avec une préférence pour les sujets autour des sciences, de l'Intelligence Économique ou encore de la gestion des données personnelles.