Le spoofing est une des méthodes encore employées de nos jours dans le monde entier pour soutirer des informations confidentielles.  Que vous ayez été victime d’usurpation d’identité ou non, ce danger est de plus en plus présent sur le net. Les sollicitations par mail, téléphone, notifications arrivant par dizaines nous entraînent dans une précipitation qui peut se révéler dangereuse si l’on ne fait pas attention. Mais comment cela fonctionne t-il ?

Un peu de contexte

Le XXIème siècle aura apporté son lot d’innovations. 

 

Entre les débuts d’internet, l’essor des réseaux sociaux et les smartphones, les innovations technologiques se sont accélérées et nous pouvons raisonnablement penser qu’elles continueront de s’accélérer dans les prochaines décennies. 

 

L’apparition de nouvelles méthodes ou des progrès informatiques entraînant encore plus de progrès et d’applications qui tombent dans le domaine public. 

 

De ces nouveautés ont découlé l’utilisation de ces technologies par des millions, voire des milliards d’utilisateurs.

 

Et ces nouveautés ont entraîné de nouvelles formes d’arnaques et virus en tout genre : chantage à la webcam, virus informatiques (ransomware, cheval de troie, etc.). 

Aujourd’hui, les consommateurs achètent des produits sans forcément connaître l’étendue des capacités d’un smartphone ou d’un ordinateur. 

  • Qui aujourd’hui peut-il expliquer comment fonctionne son téléphone portable ? 
  • Sur quel OS est-il ? 
  • Est-ce un éco-système ouvert ou fermé ? 
  • Quelle est la différence entre les deux ? 

Si vous êtes un minimum intéressés par l’informatique ou les nouvelles technologies, vous pourrez sans doute me répondre que votre téléphone est un iPhone 9, que vous êtes sur l’OS d’Apple et que ce dernier est un système fermé.

La différence est qu’il est beaucoup plus difficile de pirater un OS fermé comme celui de la marque à la pomme qu’un Android, système ouvert

Il est intéressant de savoir, que les OS dits « ouverts » sont plus susceptibles d’être la cible d’attaques malveillantes. Avec internet, les hackers peuvent vous attaquer de n’importe où sur la planète et leurs connaissances en informatique leur permet de nous piéger plus facilement qu’on ne le croit.

Tout ça pour dire quoi au final ?

Aujourd’hui, les arnaques sont de plus en plus complexes et dépassent souvent nos capacités ou connaissances dans le domaine de l’informatique. 

spoofing-hacker-meme

On ne parle pas de ce genre de hackers bien évidemment

 

Cet article n’est pas là pour vous apprendre à vous protéger de toutes les attaques que vous êtes susceptibles de rencontrer (je ne les connais pas toutes). 

 

Mais plutôt de vous faire prendre conscience de ce qu’il est possible de faire à ce jour. 

 

Et ce à quoi vous risquez d’être confrontés un jour.

 

Cet article traitera d’une forme de cybercriminalité qui revient en force ces derniers temps : le spoofing.

Qu’est -ce que le spoofing ?

 

En anglais, le terme spoofing signifie “usurpation” ou “parodie”. 

Le spoofing est une technique consistant à usurper l’identité électronique comme un numéro de téléphone, une adresse mail ou bien une adresse IP, dans le but de cacher la véritable identité du malfaiteur. 

Généralement, le spoofing est utilisé pour récupérer des données ou des mots de passe de compte utilisateur en se faisant passer pour quelqu’un d’autre. 

Plusieurs définitions du spoofing sont possibles. 

Le site d’Oracle nous présente le spoofing comme étant “l’usurpation d’une identité électronique pour masquer sa propre identité et ainsi commettre des délits sur internet”. 

Le media Globalsecuritymag.com définit le spoofing comme “le fait de monter un canular à des fins malveillantes basé sur l’usurpation d’identité, principalement via email”. 

Comme nous le voyons, le spoofing repose sur deux phénomènes : l’illusion d’être une source fiable (lorsqu’il est utilisé pour tromper un utilisateur) et la ruse afin de masquer son identité et in fine de rester anonyme.

Il existe donc plusieurs types de spoofing que nous allons découvrir maintenant.

Quels sont les différents types de spoofing ?

Depuis l’apparition d’internet, le spoofing a profité des évolutions technologiques comme autant de moyens pour se développer. Nous pouvons distinguer 4 principaux types de spoofing. 

  • Par téléphone : le spoofing téléphonique est une pratique qui consiste à “faire apparaître sur l’écran du destinataire un numéro de téléphone qui n’est pas celui de l’appelant”(source Le Figaro). Méthode très utilisée par les centres d’appel téléphonique car un numéro commençant par 06 inspire plus confiance qu’un autre numéro, cette méthode est souvent utilisée à des fins commerciales. 
  • Par mail : sûrement le plus connu et le plus répandu. Il peut être ciblé sur un grand nombre d’utiliseurs pris au hasard (phishing) ou au contraire, sur une quantité très restreinte d’individus (spear phishing). La différence entre les deux va se jouer sur la personnalisation du message et donc de la crédibilité de la tentative auprès de l’utilisateur. Il est également possible que les mails soient infectés par un virus. Ce dernier permet au hacker d’extraire des données personnelles ou même de prendre la main sur l’ordinateur victime tout en restant à distance. 

En 2014, un groupe de pirates informatique a utilisé la technique du phishing auprès de financiers de Wall Street. Il en résulte des cours de bourse manipulés et des millions de dollars de gains pour les pirates. 

  • Par adresse IP : ou IP spoofing, consiste à envoyer des paquets IP depuis une adresse IP source qui n’a pas été attribuée à l’ordinateur qui les émet. On appelle également ce type de spoofing le “DNS ID spoofing”. La vidéo ci-dessous explique bien comment fonctionne cette méthode. 

 

  • Par URL : les “spoofed URL” sont parmi les plus vieilles ruses des hackers et sont heureusement assez facile à discerner des vraies URL. Encore une fois, il existe une variété de techniques propres à l’URL spoofing. Mais la plus répandue est celle-ci : le hacker envoie un mail qui semble provenir d’une source fiable. Les liens ressemblent aux véritables liens d’une marque connue (comme une compagnie de voyages) et redirigent vers un site quasi identique au site de la marque et, par la même occasion, vous installera un virus sur votre ordinateur. Pour plus d’exemples, cet article de NordVPN vous aidera à y voir plus clair (en anglais).

Ces types de spoofing sont parmi les plus répandus. 

Quand certains types sont assez faciles à repérer, d’autres sont beaucoup plus complexes et nécessitent de véritables connaissances en informatique et des compétences techniques. 

Dès lors, comment faire pour éviter de se faire piéger ?

Comment s’en protéger ?

Se préparer des dangers, c’est déjà savoir qu’ils existent. 

Grâce à cet article, vous aurez (j’espère !) quelques clés supplémentaires pour naviguer plus sûrement sur internet et ferez plus attention aux mails que vous recevez. 

Mais regardons cette vidéo expliquant comment une petite négligence peut coûter cher à une entreprise. 

Cette vidéo prend l’exemple de la World Wide Corporation et nous présente la facilité avec laquelle les cyber-criminels créent des brèches grâce à un manque de vigilance de certains utilisateurs internes. 

Afin d’éviter de reproduire ce scénario, quelques conseils simples peuvent être mis en pratique : 

  • la discrétion sur votre activité en entreprise : mettre en valeur ses atouts professionnels sur des réseaux professionnels est une bonne idée. Mais attention de ne pas en dévoiler plus que nécessaire : il n’est pas obligatoire de mentionner le nom des logiciels que vous maîtrisez où que ou les solutions que votre entreprise utilise pour son CMS. 
  • Regarder les politiques de confidentialité des réseaux sociaux : souvent négligées, les politiques de confidentialité sont pourtant des paramètres assez simples à régler. Chacun décidera de l’accès aux informations qu’il souhaite accorder aux visiteurs inconnus, mais sachez qu’il est possible de rendre son compte quasiment “hermétique” aux intrusions occasionnelles. Entre autres, passer son compte en privé sur Instagram, restreindre les publications, photos / vidéos, amis en communs visibles sur Facebook et cacher sa photo de profil ou les informations non utiles pour un inconnu sur LinkedIn. Tout cela est très simple et permet de décourager les “petits” hackers. Etant donné que vos données seront stockées par le réseau social en question (Facebook, Instagram, LinkedIn…) vos données seront sécurisées et les hackers devront s’en prendre à un acteur majeur s’ils veulent récupérer vos données.
  • Les mots de passe professionnels : bien que les systèmes d’informations des entreprises soient de mieux en mieux protégés, l’erreur humaine reste souvent la cause numéro 1 des brèches informatiques. Des mots de passe trop simples engendrent des risques pour la sécurité de toute votre entreprise. 

Rapprochez-vous de la cellule informatique de votre entreprise afin de voir avec eux quelle est la meilleure solution pour la gestion des mots de passe pour vos outils, voire ceux de votre équipe. Les enregistrez-vous sur Google Chrome ? Sur Dashlane ? Écrire ses mots de passe sur son cahier n’est pas forcément une bonne idée…

  • En entreprise, l’abonnement à un filtre anti-spam efficace est recommandé. Réévaluez chaque année son efficacité et changez s’il le faut. 
  • Sensibiliser les employés à ces pratiques : les informer des dangers permet d’être alerte et de prendre du recul lorsqu’un mail semble suspect. Fournissez également des ressources leur permettant de déterminer si un mail provient d’une source fiable ou frauduleuse. 

 

Quels sont les recours ?

 

Aujourd’hui, la recrudescence de ces attaques fait que les pouvoirs publics légifèrent sur l’encadrement de ces actes malveillants. Le RGPD (la Réglementation Générale sur la Protection des Données) impose un cadre légal aux entreprises. 

Celles-ci ont l’obligation de se conformer aux nouvelles règles de traitement des données, ce qui les sécurisera.

Malgré tout, un vide juridique existe quant à certaines utilisations du spoofing. Pour le spoofing téléphonique notamment. L’Autorité de régulation des communications électroniques et des postes (Arcep) souligne que « la modification de l’identifiant de l’appelant n’ayant pas fait jusqu’à présent l’objet d’un encadrement spécifique, il est actuellement difficile, autant pour les opérateurs que pour les pouvoirs publics, de lutter contre de tels usages ».

Néanmoins, les particuliers qui subissent ces dérives peuvent engager des poursuites pénales contre ces sociétés de démarchage en s’appuyant sur l’usurpation d’identité prévue à l’article 226-4-1 du code pénal.

Ce texte précise que « le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un 1 an de prison et de 15 000 € d’amende ».

 

Le spoofing téléphonique n’est pas le seul à subir un flou juridique.

Récemment, la victime d’un phishing bancaire n’a pas obtenu gain de cause auprès de la Cour de Cassation suite à des achats frauduleux réalisé sans l’accord du détenteur de la carte. 

Cela s’explique par une négligence grave de la victime à ses obligations de vérification. 

Ainsi, la responsabilité de chacun est d’être vigilant.

 

Pour conclure

Bien que les entreprises renforcent la sécurité de leurs appareils, la cybersécurité reste un sujet complexe.

Réussir à se blinder contre ces intrusions est difficile bien que quelques gestes simples permettent d’éviter un certains nombre de menaces.

La meilleure solution reste de faire passer le mot.

Afin de faire en sorte qu’un maximum de personnes puissent être au courant de ces techniques parfois très retord.

Sources 

https://www.globalsecuritymag.fr/La-technique-du-spoofing-ou,20190329,85753.html

https://www.lesechos.fr/idees-debats/cercle/opinion-la-technique-du-spoofing-ou-comment-les-hackers-usurpent-une-adresse-email-et-une-identite-pour-realiser-une-arnaque-1001506

https://www.securiteinfo.com/attaques/hacking/ipspoofing.shtml

https://www.oracle.com/fr/security/spoofing-usurpation-identite-ip.html

https://www.quechoisir.org/actualite-demarchage-telephonique-le-spoofing-une-zone-de-non-droit-n60129/

https://www.futura-sciences.com/tech/definitions/tech-spoofing-2035/

https://www.digitaltrends.com/mobile/robocalls-spoofing-scams-explained/

https://www.imperva.com/learn/application-security/dns-spoofing/

https://nordvpn.com/fr/blog/url-spoofing/

https://www.verspieren.com/fr/actualite/le-rgpd-un-atout-pour-lutter-contre-la-cybercriminalite