L’usurpation d’identité, aussi appelée spoofing, survient lorsqu’un cybercriminel se fait passer pour un autre individu ou une organisation pour commettre un acte malveillant.
Les cybercriminels utilisent un large éventail de tactiques pour usurper une identité, des moins techniques comme l’usurpation d’adresses courriel, de sites Web ou de numéros de téléphone, aux plus avancées tels que l’usurpation d’adresses IP, de serveurs de noms de domaine (DNS) ou de protocoles de résolution d’adresse (ARP).
Quelle que soit la tactique utilisée, l’objectif de l’usurpation d’identité est de parvenir à voler les victimes. En faisant appel à l’ingénierie sociale, les cybercriminels utilisent des adresses courriel, des sites Web et des numéros de téléphone falsifiés pour convaincre leurs victimes de partager des informations confidentielles, de télécharger des pièces jointes ou de cliquer sur des liens qui entraînent l’installation de logiciels malveillants.
À l’instar de la plupart des cyberattaques, la réussite de l’usurpation d’identité repose sur le piratage psychologique. Les cybercriminels choisissent de falsifier les adresses courriel, les sites Web et autres entités en ligne que la majorité des gens connaissent. Cela permet de réduire les doutes et les soupçons, et de profiter de confiance inhérente à la nature humaine.
L’usurpation d’identité est souvent la première étape d’une cyberattaque de plus grande ampleur, comme une attaque de l’intercepteur (« man-in-the-middle ») ou une attaque par rançongiciel (ransomware) menée à grande échelle contre un réseau informatique.
Quels sont les différents types d’usurpation d’identité ?
Usurpation d’adresse courriel
L’usurpation d’adresse courriel survient lorsque le cybercriminel utilise une fausse adresse courriel pour commettre un cybercrime. Selon la tactique utilisée, le criminel peut falsifier l’adresse courriel, le nom de l’expéditeur, ou les deux. De plus, le cybercriminel peut usurper plusieurs identités, celle de l’expéditeur, de l’entreprise, ou les deux.
Par exemple, le nom de l’expéditeur est [email protected], mais Joan Smith ne travaille pas chez XYZ Widgets. Le destinataire travaille chez XYZ Widgets, une grande entreprise multinationale, et ne sait pas que Joan n’est pas une vraie personne. Le destinataire ne se méfie pas de l’adresse courriel, puisqu’elle utilise le logo de l’entreprise et lui demande d’exécuter des tâches légitimes liées aux activités professionnelles.
Similaire à l’hameçonnage (hameçonnage), l’usurpation d’adresse courriel utilise un ton urgent et convaincant pour inciter le destinataire à passer immédiatement à l’action. Ce sentiment d’urgence a plusieurs effets : il limite les hésitations et les questionnements, et conduit le destinataire à penser qu’il fait ce qu’il faut.
Usurpation de l’identité de l’appelant
L’usurpation de l’identité de l’appelant est une tactique courante qui utilise un numéro de téléphone semblant provenir de votre indicatif régional. Nous sommes toujours plus susceptibles de répondre lorsque nous voyons un numéro local.
Les cybercriminels utilisent ensuite des tactiques psychologiques afin de retenir les interlocuteurs au téléphone et les convaincre de passer à l’action. Le cybercriminel peut prétendre être un membre des forces de l’ordre et parce que l’identité de l’appelant semble réelle, il parvient à convaincre la victime de payer une amende fictive ou de partager des informations confidentielles sous peine d’arrestation.
Certains cybercriminels vont même jusqu’à dire à leurs victimes de les rappeler au même numéro si elles ne leur font pas confiance. Cette technique avancée de piratage psychologique permet de renforcer le lien et donne une certaine légitimité à l’appel.
Usurpation de site Web
L’usurpation de site Web utilise un faux site Web qui semble authentique. Un site Web falsifié est identique à l’original ; le logo, la marque, les couleurs, la disposition, le nom de domaine et les coordonnées sont tous les mêmes. Il est très difficile de reconnaître un site Web falsifié. Il faut étudier avec attention le nom de domaine ou le texte pour y déceler des erreurs minimes.
Les cybercriminels utilisent l’usurpation de sites Web pour diverses raisons, comme la collecte de détails de connexion, le vol d’informations de carte bancaire, ou l’installation de logiciels malveillants. Le plu souvent, la victime reçoit d’abord un courriel frauduleux qui la dirige vers un faux site Web.
Usurpation de messages texte
L’usurpation de messages texte utilise un numéro de téléphone frauduleux pour envoyer des messages textes malveillants. Le cybercriminel se cache derrière le numéro de téléphone, le nom de l’expéditeur, ou les deux. Ce type d’usurpation repose sur des recherches avancées qui permettent d’identifier les types de messages texte auxquels le destinataire est susceptible de répondre.
Le message texte peut inclure un numéro de téléphone à rappeler ou un lien vers un site Web malveillant, utilisé pour commettre d’autres cybercrimes. Le message texte a pour objectif de convaincre le destinataire de répondre rapidement.
L’usurpation par GPS
L’usurpation par GPS envoie un faux signal GPS à un récepteur GPS, faisant apparaître une position inexacte sur tous les appareils GPS de la région. Les cybercriminels utilisent l’usurpation par GPS pour perturber et prendre le contrôle de véhicules, de bateaux, de drones et tous autres systèmes de navigation comme des systèmes de navigation militaires.
Usurpation d’adresse IP
L’usurpation d’adresse IP permet de dissimuler l’identité et l’emplacement véritables de l’ordinateur ou de l’appareil mobile utilisé par le cybercriminel. Les cybercriminels peuvent usurper l’adresse IP d’un réseau qui utilise l’authentification par adresse IP, afin d’y avoir facilement accès.
En général, l’usurpation d’adresse IP est utilisée pour lancer une attaque par déni de service, qui a pour effet d’inonder de trafic le réseau pour empêcher son fonctionnement. Cette approche peut être utilisée dans d’autres scénarios, comme l’usurpation d’adresse courriel ou de site Web, où le cybercriminel cherche simplement à dissimuler sa localisation pour ajouter de la légitimité à l’attaque.
Usurpation d’ARP
L’usurpation d’ARP (protocole de résolution d’adresse) est une cyberattaque technique avancée, qui permet de connecter l’adresse MAC (contrôle d’accès au support) du cybercriminel à une authentique adresse IP. Le cybercriminel peut ainsi intercepter et voler des données destinées au propriétaire de l’adresse IP. En général, l’usurpation d’ARP est utilisée pour voler des données, lancer une attaque de l’intercepteur, dans le cadre d’une attaque par déni de service ou pendant un détournement de session.
Usurpation de DNS
L’usurpation de DNS permet aux cybercriminels de cibler une adresse IP légitime et de rediriger son trafic vers une fausse adresse IP. Les cybercriminels peuvent utiliser cette tactique d’usurpation pour diriger les victimes vers des sites Web qui installent des logiciels malveillants.
Usurpation d’extension
L’usurpation d’extension permet de dissimuler le type de fichier. Il est ainsi plus facile de convaincre la victime de télécharger et d’installer des pièces jointes. Les cybercriminels savent que les gens ont été sensibilisés aux risques liés à l’installation de fichiers exécutables. Ils peuvent camoufler un logiciel malveillant exécutable sous une extension falsifiée. Le fichier apparaît sous le nom newfile.doc dans la messagerie et le destinataire n’hésite pas à le télécharger et à l’installer.
Usurpation par reconnaissance faciale
Ce nouveau type d’usurpation a recourt aux logiciels de reconnaissance faciale pour déverrouiller des appareils ou accéder à des bâtiments sécurisés. Cette technique demeure relativement rare, mais les progrès dans le domaine de la reconnaissance facile et l’intégration de plus en plus répandue de cette technologie dans les systèmes de sécurité d’entreprise augmenteront les risques à l’avenir. Un cybercriminel peut utiliser les photos trouvées sur les médias sociaux pour créer un profil fictif dont il se servira ensuite pour débloquer n’importe quel système de sécurité utilisant la reconnaissance faciale.
Comment l’usurpation survient-elle ?
L’usurpation survient lorsque les cybercriminels exploitent les failles d’une technologie ou de sa mise en œuvre. Leur objectif est d’amener les gens à croire que leur faux site Web, adresse courriel, appel téléphonique ou message texte est réel. Pour réussir, ils utilisent d’ingénieuses tactiques destinées à convaincre leurs victimes qu’elles sont en sécurité et qu’elles prennent une décision avisée. Les cybercriminels misent sur des comportements humains comme la confiance, le désir d’aider, une lecture trop rapide et le manque d’attention aux détails. C’est pourquoi il est si important que les programmes de sensibilisation à la sécurité donnent priorité à la réduction du risque humain.
Comment repérer l’usurpation avant qu’il ne soit trop tard
Indices signalant une usurpation de site Web
- S’il n’y a pas de cadenas dans la barre d’adresse, le site Web n’est pas sécurisé et une usurpation est probable.
- L’URL commence par http, et non https. Méfiez-vous des sites Web qui n’utilisent pas le préfixe de chiffrement https.
- Beaucoup de sites Web remplissent automatiquement les champs « nom d’utilisateur » et votre « mot de passe ». Pour éviter d’être automatiquement connecté à un site Web usurpé, utilisez un gestionnaire de mots de passe pour consigner vos informations de connexion. Si le gestionnaire de mots de passe ne reconnaît pas le site Web, il ne remplira pas automatiquement les informations de connexion.
- Les fautes d’orthographe, les liens rompus, des informations de contact suspectes et des badges de médias sociaux manquants sont autant d’indicateurs signalant une usurpation de site Web.
- Les adresses de site Web qui contiennent le nom de domaine falsifié, mais qui ne reflètent pas le nom de domaine officiel.
- S’il n’y a pas de cadenas dans la barre d’adresse, le site Web n’est pas sécurisé et une usurpation est probable.
- L’URL commence par http, et non https. Méfiez-vous des sites Web qui n’utilisent pas le préfixe de chiffrement https.
- Beaucoup de sites Web remplissent automatiquement les champs « nom d’utilisateur » et votre « mot de passe ». Pour éviter d’être automatiquement connecté à un site Web usurpé, utilisez un gestionnaire de mots de passe pour consigner vos informations de connexion. Si le gestionnaire de mots de passe ne reconnaît pas le site Web, il ne remplira pas automatiquement les informations de connexion.
- Les fautes d’orthographe, les liens rompus, des informations de contact suspectes et des badges de médias sociaux manquants sont autant d’indicateurs signalant une usurpation de site Web.
- Les adresses de site Web qui contiennent le nom de domaine falsifié, mais qui ne reflètent pas le nom de domaine officiel.
Indices signalant une usurpation d’adresse courriel
- Des fautes d’orthographe ou un nom de domaine incorrect dans l’adresse courriel de l’expéditeur indiquent qu’il s’agit d’une adresse courriel usurpée.
- Un ton urgent qui incite à agir rapidement, à transférer de l’argent ou à fournir des informations confidentielles.
- Des liens imbriqués présentant des URL inconnues. Survolez ou surlignez l’URL avant de cliquer pour en confirmer la légitimité.
- Des fautes d’orthographe ou de grammaire et un langage inhabituel peuvent indiquer que le courriel est un faux.
- Des pièces jointes et un message qui vous demande urgemment de les télécharger. Assurez-vous que les pièces jointes ne contiennent pas une extension EXE masquée.
- Des fautes d’orthographe ou un nom de domaine incorrect dans l’adresse courriel de l’expéditeur indiquent qu’il s’agit d’une adresse courriel usurpée.
- Un ton urgent qui incite à agir rapidement, à transférer de l’argent ou à fournir des informations confidentielles.
- Des liens imbriqués présentant des URL inconnues. Survolez ou surlignez l’URL avant de cliquer pour en confirmer la légitimité.
- Des fautes d’orthographe ou de grammaire et un langage inhabituel peuvent indiquer que le courriel est un faux.
- Des pièces jointes et un message qui vous demande urgemment de les télécharger. Assurez-vous que les pièces jointes ne contiennent pas une extension EXE masquée.
Indices signalant une usurpation de l’identité de l’appelant ou de message texte
- Si le numéro de téléphone s’affiche sans parenthèses () ou tirets —. Par exemple, 467 893 543.
- L’identité de l’appelant est votre propre numéro de téléphone ou lui ressemble beaucoup.
- Le numéro de téléphone ou l’identité de l’appelant est masqué.
- Si le numéro de téléphone s’affiche sans parenthèses () ou tirets —. Par exemple, 467 893 543.
- L’identité de l’appelant est votre propre numéro de téléphone ou lui ressemble beaucoup.
- Le numéro de téléphone ou l’identité de l’appelant est masqué.
Comment prévenir l’usurpation
Les usurpations d’ARP, de DNS et d’adresse IP sont un peu plus difficiles à identifier. Discutez-en avec votre équipe informatique pour vous protéger de ces tactiques d’usurpation technique avancée.
1. Mettez en place des contrôles techniques et des procédures pour vous protéger contre l’usurpation d’adresse courriel, de site Web, d’adresse IP et de DNS.
2. Mettez l’accent sur l’ingénierie sociale au sein de vos équipes et assurez-vous que tous les membres en comprennent le principe de fonctionnement. Utilisez des scénarios réels et des formations pour montrer à quel point il est facile de se faire piéger.
3. Tirez parti des programmes de sensibilisation à la sécurité qui utilisent des modèles d’apprentissage flexibles adaptés à l’enseignement aux adultes. Assurez-vous que le contenu de formation est motivant, pertinent et basé sur des scénarios réalistes.
4. Rappelez aux employés les risques associés à leur boîte de réception. Utilisez des simulations, des bulletins d’informations, des campagnes de communication et des cyberhéros pour entretenir la conversation sur l’usurpation d’identité et la cybersécurité.
5. Assurez-vous que tous les systèmes d’exploitation, navigateurs, applications, outils réseau et logiciels internes sont à jour et sécurisés. Installez des logiciels de protection contre les logiciels malveillants et le spam.
6. Lancez régulièrement des campagnes de sensibilisation à la sécurité qui rappellent aux employés les risques associés au partage en ligne d’informations confidentielles, de mots de passe, de données d’entreprise et des informations de carte bancaire.
7. Informez votre équipe sur l’usurpation. Utilisez des logiciels de simulation et des formations qui incluent des exemples réels d’attaques d’usurpation.
8. Évaluez régulièrement le niveau de sensibilisation de vos employés à l’usurpation, à l’ingénierie sociale et aux autres types de cybermenaces à l’aide de simulations.
9. Développez une culture d’entreprise qui stimule le changement de comportement. Créez un environnement de travail qui accorde aux employés le temps et les ressources nécessaires pour favoriser la sensibilisation à la cybersécurité.
10. Soyez proactif dans la création d’une culture de sensibilisation à la cybersécurité. Consultez The Human Fix to Human Risk pour connaître les étapes à suivre afin de développer un programme efficace de sensibilisation à la sécurité qui stimule le changement de comportement.
Comment les simulations d’hameçonnage contribuent à vous protéger contre l’usurpation
Même si l’usurpation et l’hameçonnage sont deux types différents de cyberattaques, la réussite d’une attaque d’hameçonnage dépend souvent de l’usurpation.
Les simulations d’hameçonnage constituent le moyen idéal de mesurer la sensibilisation des employés à l’ingénierie sociale et aux risques liés à leurs boîtes de réception. Elles permettent d’intégrer la formation en sensibilisation à la cybersécurité dans votre organisation de façon interactive et instructive.
Vos employés sont alors à même de constater qu’un langage convaincant est utilisé dans les courriels en vue de voler des informations confidentielles et des données d’entreprise. Les simulations d’hameçonnage en temps réel sont une excellente façon de renforcer les indicateurs d’usurpation d’adresse courriel et d’autres tactiques d’usurpation.
Les simulations d’hameçonnage vous fournissent 10 moyens clés de protéger vos employés contre les attaques d’usurpation. Elles permettent de :
1. Réduire le niveau de risque des cybermenaces.
2. Accroître la sensibilisation et la vigilance face aux risques d’usurpation et liés à l’ingénierie sociale.
3. Mesurer le degré de vulnérabilité de l’entreprise et des employés.
4. Encourager une culture de sensibilisation à la cybersécurité et former des cyberhéros en interne.
5. Changer les comportements pour éliminer les réflexes de confiance automatique.
6. Renforcer les messages véhiculés par la formation en sensibilisation à la sécurité.
7. Susciter l’implication de la haute direction à la nécessité d’une formation et de campagnes de sensibilisation à la sécurité permanentes.
8. Garantir la vigilance des employés face aux attaques d’usurpation, d’hameçonnage et à l’ingénierie sociale.
9. Répondre aux exigences de l’industrie en matière de conformité.
10. Évaluer la performance de la formation en sensibilisation à la sécurité.
L’ingénierie sociale
L’ingénierie sociale est une composante clé d’une attaque réussie d’usurpation. Les cybercriminels utilisent des techniques d’ingénierie sociale pour convaincre leurs victimes de cliquer sur des liens, de télécharger des pièces jointes, de remplir des formulaires en ligne et de répondre à des messages texte.
Le succès de l’ingénierie sociale repose sur une seule chose : la confiance. Il est essentiel que vos employés comprennent son fonctionnement. Offrez-leur la formation et les simulations qui leur permettront de changer leur comportement.
Usurpation (spoofing)
L’usurpation est souvent utilisée dans le cadre d’une cyberattaque plus vaste. Un cybercriminel peut utiliser l’usurpation d’adresse courriel pour orienter sa victime vers un site Web frauduleux afin d’installer un logiciel malveillant sur son ordinateur.
En apprendre davantage sur l'usurpation
Pour en apprendre davantage sur l'usurpation et comment garder votre entreprise en cybersécurité, consultez les ressources gratuites suivantes :