Introduction

L’année 2013 a été marquée par un recul du Spam classique, avec un déferlement des SPAMs et messages non sollicités sur les réseaux sociaux et une augmentation du phishing.

Qu’il provienne d’une tablette, d’un smartphone ou d’un PC de bureau, le courrier électronique reste le moyen de communication le plus utilisé en environnement professionnel. Quant on parle de courrier électronique, on aborde inéluctablement l’aspect sécurité de l’email : le SPAM et le Phishing sont bien sûr un fléau récurrent mais l’email est également le moyen de transport favori des Virus, Vers et autres Trojans qui contaminent nos machines à notre insu.

Dans la suite du document, nous aborderons l’évolution des volumes et des menaces, des attaques par phishing, le phénomène PRISM, des NEWSletters et notifications SOCIALes, et les perspectives pour 2014.

Analyse géographique des échanges de mails pour les entreprises françaises

Au cours de l’année 2013, les entreprises françaises ont reçus des mails en provenance de 5 principaux pays. La France avec 13,74% est le pays qui a le plus émis, en seconde position les Etats Unis avec 9,54%, en troisième position l’Argentine avec 6,15 %, en quatrième position le Pérou avec 5,11% et en cinquième position l’Espagne avec 5,02%. Le poids du SPAM semble incontestable dans ces échanges (voir plus bas).

Le volume du Spam à la hausse en 2013

Sur les deux dernières années le SPAM est en hausse en volume. Cela est du au fait que les cybercriminels utilisent des réseaux de Botnet plus sophistiqués et plus performants. Ces derniers ont recours de plus en plus au réseau TOR (« The Onion Router », sorte de réseau informatique superposé…voir https://www.torproject.org/ ) qui leur permettent de garder l’anonymat et rend plus difficile leur démantèlement (comme cela s’était produit en 2009-2010). Nous avons aussi constaté le succès des attaques de « longlining » qui sont des attaques de masse, mais personnalisées en fonction des utilisateurs.

Le SPAM toujours aussi mondialisé

Sur le flux de mails traités en France, le classement des 5 pays qui émettent le plus de spam est dominé par certains pays d’Amérique. La France arrive en première position avec 9,58%, en seconde position les Etats Unis avec 7,53 %, en troisième position l’Argentine avec 6,46%. En quatrième position le Pérou avec 5,07% et en cinquième position l’Espagne avec 4,94%.

Evolution du trafic moyen par utilisateur professionnel

Après la forte décrue des volumes moyens de messages (valides ou pas, reçus et émis) par utilisateur des années 2009-2010, dû à la fermeture de grands réseaux de botnets et la mise en place de dispositifs de filtrage par les opérateurs, on constate une nette remontée de ce taux et un quasi triplement (33 mails par jour par utilisateur en 2011, 81 mails par jour par utilisateur en 2013) en 3 ans.

Contrairement à l’année dernière, le volume global d’email a augmenté. Par rapport aux années précédentes (années « 2010 ») où nous atteignions des taux de SPAM proche de 95% (5% de mails valides), on constate une amélioration de ce taux (30% de mails valides). Toutefois, cela cache le fait que ces messages considérés comme « valides » peuvent en fait être des pollutions électroniques, telles que des Newsletter [NEWS] ou des notifications de Réseau Sociaux [SOCIAL]. De plus, il est indéniable que le nombre de SPAM en volume a lui fortement progressé.

Répartition des flux mails – Entreprises françaises –
Source : SECUSERVE 2013-2014
Nous constatons également une diminution du taux de virus par email, même si le courrier électronique reste l’un des principaux moyens de contamination.

Principaux pays émetteurs de virus

POUR LES ENTREPRISES FRANCAISES DU PANEL D’ETUDE, les cinq plus gros émetteurs de virus sont : USA, France, Angleterre, Allemagne, Inde

Le phishing encore a la hausse en 2013

Selon Kasperky, le nombre d’internautes victimes de ce type d’attaques au cours des 12 derniers mois est passé de 19,9 à 37,3 millions, soit une augmentation de 87%. Il occupe une place assez importante dans le choix d’attaque privilégié par les hackers.

Pour essayer de déjouer les filtres des systèmes anti-spam, les hackers ont recours de plus en plus aux attaques dit de « longlining ». Les attaques de « longlining » sont des attaques de masses, personnalisés envoyés par email et hautement variables. Ces emails semblent provenir de différentes IP, incluent divers sujets et corps du message, ainsi que des dizaines URL uniques, ce qui ne facilite pas leur repérage.

Exemple « Avis Itunes » (Octobre à Décembre 2013) :
Message d’hameconage :

Puis faux site web…

Certaines URL contenues dans le message permettent de rediriger les internautes vers des fausses pages et de récupérer les informations personnelles de ces derniers. Notamment les informations sur leur carte bancaire.

En Janvier 2013, les clients d’EDF ont été la cible d’un phishing géant. Un email censé provenir d’EDF, informe les clients que leur paiement a été refusé par leur établissement bancaire. Que pour éviter la pénalité de retard, il leur donne la possibilité de payer en ligne en utilisant leur carte bancaire. En cliquant sur le lien, le client menacé de coupure s’il ne régularise pas sa situation, est redirigé sur une page d’accueil du site d’EDF falsifié avec un formulaire l’invitant à transmettre ses coordonnées bancaires.

En août 2013, les FREEnautes ont été aussi victimes d’une attaque de phishing. Un e-mail censé provenir de Free, demande aux internautes de saisir leurs coordonnées bancaires et identifiants de compte pour recevoir un remboursement. Pour les rassurer, l’e-mail renvoie les internautes sur une page dont l’adresse est ’’assistance.free.fr’’ mais en fait pointe vers une autre URL.

Message d’hameconage FREE :

Puis faux site web…

D’autres URL permettent d’installer des logiciels malveillants (« keylogger » notamment) qui leurs permettront de récupérer les informations de connexion d’un compte (ainsi les utilisateurs de la messagerie Hotmail, ne cessent de subir des vols et usurpations de compte mail à des fins de SPAM. Voir captures ci-dessous) ou de prendre le contrôle total sur l’ordinateur en question et de pouvoir réaliser des attaques à partir de ces derniers.

Par exemple :
Vol de compte Hotmail

Vol du Compte Associated Press :

En avril 2013, un membre du personnel de l’Associated Presse a reçu un courriel qui semblait provenir d’un de ces collègues, l’individu n’a pas hésité à cliquer sur le lien contenu dans le message. Mais ce lien a conduit à l’installation du logiciel ’’keylogger’’ qui a permis à un pirate de contrôler les frappes et d’obtenir le mot de passe du compte de l’Associated Presse. Le pirate a ensuite posté un tweet sur le compte en informant que ’’Deux explosions à la Maison Blanche ? Barack Obama blessé ?’’. Les investisseurs ayant réagit au tweet, la valeur en bourse du Dow Jones a perdu 143 points avant de retrouver son niveau initial quelques minutes plus tard.

Sur le plan mondial, la France est le 7ème pays souffrant du phishing (le trio de tête étant la Russie, les Etats Unies et l’Inde – source Kaspersky Lab). Le nombre d’attaques a augmenté depuis 2011 de 61 % touchant 3000 utilisateurs français par jour. La France se retrouve aussi à la 7ème place en ce qui concerne l’origine géographique des serveurs hostiles avec un pourcentage de 3.29 % et une augmentation du nombre d’attaques de 160 % depuis l’an dernier. Dans ce cas (source du phishing) les 3 premières places sont occupées par les Etat Unis, le Royaume Uni et l’Allemagne.

PRISM : la confidentialité des courriels électroniques mise en cause

L’année 2013 a aussi été marquée par les révélations d’Edward Snowden notamment sur l’affaire « PRISM ».

PRISM est un programme de surveillance qui permet au gouvernement américain de disposer d’un accès privilégié aux serveurs et données de neuf géants du web utilisés par des centaines de millions d’utilisateurs à travers le monde. L’accès aux différentes données se fait dans le cadre du FISA (Foreign Intelligence Surveillance Act).

La mise sur pied de ce projet était supposée entrer dans le cadre de la lutte contre les activités terroristes. Cependant une collecte des communications électroniques de simples internautes ont également été évoqués dans cette affaire, d’où l’interrogation sur la confidentialité et la sécurité des courriels électroniques (voir le blog de SECUSERVE : http://www.secuserve.fr/actualites/le-cloud-en-toute-confidentialite.html ).

« Nous avons constaté que sur l’ensemble des emails qui transitent sur internet, au moins 99% ne sont pas chiffrés, ce qui rend la tâche des services américains d’autant plus facile. Dans le monde de l’entreprise ce phénomène a été pris en considération et certains « early adopters du Cloud » des services Google et autres Microsoft Office 365, n’ont pas tardé à se poser des questions légitimes. Une fois encore le ‘principe de précaution’ doit s’appliquer », constate Eric Roland, Directeur Commercial de SECUSERVE.

Cependant, que peuvent bien faire les entreprises et internautes pour se prémunir de telles mesures ? « Eviter de confier la sécurité et la confidentialité de leurs messageries aux grands groupes américains et utiliser des services de messagerie hébergés en France, et mettre en place des solutions de chiffrement des messages ou des échanges », poursuit Mr Roland.

NEWSLETTERS et notifications sur les réseaux sociaux

Nous constatons (par la réception de plaintes en augmentation) aussi que de nombreuses newsletters abonnent automatiquement des destinataires sans leur consentement et ne respectent pas les exigences demandées par le CNIL (Commission Nationale de l’Informatique et des Libertés) en termes de déclaration de fichier et de droit de réponse (adresse de réponse non gérée par les émetteurs de newsletters).
Malgré les demandes de désabonnement à ces fameuses newsletters, les internautes continuent toujours de recevoir des messages à caractère promotionnel.

Pour suivre les effets de mode, que ce soit à titre personnel ou professionnel les utilisateurs sont nombreux à s’inscrire sur les réseaux sociaux. Ces derniers sont des cibles privilégiés des hackers car ils regroupent en un seul « site » des millions voir des milliards d’utilisateurs.
Au-delà des risques évoqués précédemment, la multiplication des notifications reçues par email entraine une baisse de productivité pour les entreprises. Sans évoquer le risque lié à l’image des collaborateurs, et donc de l’entreprise, qui pourrait être entachée.

Pour éviter cela, il est nécessaire de mettre en place des filtres adaptables qui permettent de bloquer les notifications venant des réseaux sociaux non souhaités dan le monde de l’entreprise.

Conclusion

Cette année encore, nous avons observé la manière dont les spammeurs et les cybercriminels se sont adaptés aux moyens techniques mis en place par les laboratoires spécialisés en sécurité email tels que SECUSERVE.

Cette lutte perpétuelle n’est donc pas terminée et le Laboratoire SECUSERVE poursuit ses innovations en termes de technologie et de protection de la messagerie électronique. « L’objectif étant d’être de plus en plus fin dans la confidentialité, la capacité d’analyse et de classification des messages. Le laboratoire SECUSERVE et ses partenaires concentreront notamment leurs efforts en 2014, pour pourvoir répondre aux problématiques telles que le chiffrement des emails, la consolidation des filtres [SOCIAL] et [NEWS] ainsi que l’extraction automatique des pièces attachées et leur intégration dans notre service de partage documentaire », conclut Mickael MAILLOT Directeur du Laboratoire SECUSERVE.