Qu’est-ce que la « chasse à la baleine », ou whaling, et comment se prémunir de cette forme de phishing ?

Comprendre les attaques de whaling

Qu’est-ce que le whaling ?

Également appelé « fraude au CEO » dans certains milieux, le whaling est une catégorie spécifique de phishing ciblé, cette technique qui vise les personnes travaillant dans une entreprise. Dans le cas du whaling, les personnes ciblées appartiennent exclusivement au plus haut niveau de l’organisation – cadres dirigeants et membres du conseil d’administration.

Le whaling est-il une forme d’ingénierie sociale ?

En un mot : oui. Il fait partie de la grande famille du phishing, cette pratique d’ingénierie sociale qui vise à recueillir, par la tromperie, des informations et des données personnelles – mots de passe ou jetons d’accès, par exemple – auprès d’utilisateurs peu méfiants.

Le whaling a-t-il une incidence sur la cybersécurité ?

Le whaling étant une menace d’ingénierie sociale, il exerce indéniablement un impact sur la posture de sécurité d’une organisation. Comme toute attaque d’ingénierie sociale, le « whaling » varie en fonction de l’objectif du pirate et des ressources convoitées. Les exemples ci-dessous donnent un aperçu de l’impact que les attaques de whaling peuvent avoir sur vos défenses.

Exemples d’attaques de whaling

Sans couvrir tout l’éventail des attaques, les trois exemples suivants de whaling nous éclairent sur leur impact sur la cybersécurité des organisations :

1. 2016 : Des employés de la Crelan Bank (Union européenne) ont viré 75 millions de dollars de fonds vers un compte bancaire appartenant à des acteurs malveillants après avoir reçu des demandes par e-mail semblant provenir du PDG de la banque.
2. 2019 : Le PDG d’une entreprise énergétique basée au Royaume-Uni a reçu du PDG de sa société mère un appel téléphonique l’enjoignant à virer 243 000 dollars à leur fournisseur hongrois. En réalité, l’appel était frauduleux : les pirates avaient utilisé un logiciel d’IA pour imiter la voix du PDG.
3. 2020 : La société australienne de fonds spéculatifs Levitas Capital ferme ses portes après avoir perdu 8 millions de dollars – et sa réputation auprès de ses clients. Le coupable : une fausse invitation Zoom qui avait permis à des pirates d’installer un code malveillant qui générait de fausses factures.

Mécanisme des attaques de whaling

Les étapes d’une attaque de whaling

• Reconnaissance : les pirates mènent des recherches approfondies sur les cadres ou les dirigeants qu’ils ciblent afin de recueillir des informations qui leur permettront d’usurper leur identité de manière convaincante.
• Choix des armes : munis des informations nécessaires, les pirates créent le contenu qui sera utilisé pour mener l’attaque. Le vecteur le plus employé reste l’e-mail – on parle de compromission de la messagerie professionnelle (BEC) – mais le whaling peut également emprunter d’autres voies :
  • SMS
  • Plateformes de messagerie et de réseaux sociaux
  • Appels téléphoniques frauduleux
• Livraison : le message est remis aux victimes visées. Il revêt souvent un caractère d’urgence et incite les victimes à réaliser une opération en réponse à une demande qui semble émaner d’un cadre ou d’un dirigeant.
• Exploitation : tout dépend des actions demandées par les pirates. Les victimes peuvent remettre des données confidentielles, des identifiants utilisés pour accéder à des ressources sensibles, compromettre des systèmes dans le cadre d’une violation de données à grande échelle ou réaliser diverses opérations (transfert de fonds, paiement de factures en souffrance, etc.).
• Retombées : les conséquences d’une attaque de whaling sont tout aussi variées et dépendent de l’entreprise ciblée, de l’ampleur du crime et des implications légales pour l’organisation. Nous reviendrons sur ce point ultérieurement.

Cibles des attaques de whaling

Comme indiqué précédemment, les attaques de whaling visent un groupe spécifique d’individus :

• La haute direction :
  • CEO
  • Directeur financier
  • Directeur d’exploitation
  • Directeur commercial
  • Responsable de la sécurité informatique
• Les membres du Conseil d’administration
• Les cadres de haut niveau
  • Les superviseurs
  • Les directeurs

Impact des attaques de whaling

Conséquences potentielles des attaques de whaling

Les réactions aux attaques de whaling varient d’une organisation à l’autre et dépendent d’un certain nombre de facteurs. Voici les conséquences les plus courantes des attaques de whaling :

• Formation obligatoire des employés à la sécurité pour lutter contre les attaques futures
• Licenciement de toute personne responsable
• Perte d’avantage compétitif ou de capacité opérationnelle pour l’entreprise
• Impact négatif sur la réputation au sein du public et de l’industrie
• Pertes financières considérables, souvent irrécupérables
• Responsabilité civile et/ou pénale en cas d’infraction à la réglementation
• Cessation partielle ou totale des activités

Prévenir le whaling

Quelques conseils pour identifier les attaques de whaling potentielles

Les attaques de whaling et, dans une plus large mesure, les attaques de phishing, présentent souvent des signes révélateurs d’une tentative de manipulation.

Voici quelques conseils à suivre la prochaine fois que vous recevrez une « demande urgente » d’un supérieur – ils pourraient vous aider à déterminer s’il s’agit d’une demande légitime ou d’une escroquerie en puissance :

• E-mails externes : de nombreux services de messagerie permettent au service informatique de signaler les e-mails reçus de sources externes. Grâce à ce réglage, vous pourrez vous méfier d’un e-mail qui prétend provenir du CEO ou d’un cadre dirigeant alors qu’il s’accompagne d’un marqueur d’e-mail externe. Vous pourrez alors signaler cet e-mail, car la plupart des e-mails échangés par les employés d’une organisation le sont en interne, et non en externe.
• Urgence : la plupart des attaques d’ingénierie sociale misent sur l’urgence. En d’autres termes, elles s’appuient sur un récit qui exige une réaction immédiate, sans possibilité de poser des questions ou de vérifier la demande. Le succès de ces campagnes est principalement lié à la rapidité d’action attendue des victimes, mais aussi aux conséquences possibles en cas d’inaction.
• Conséquences : le revers de la médaille de l’urgence. Par exemple : « Si vous ne réalisez pas l’opération demandée immédiatement, alors vous subirez ceci. » Conséquences désastreuses, menaces, ultimatums, actions en justice... les pirates n’hésitent pas à employer un large éventail de tactiques pour intimider leurs cibles et les faire céder.
• Confidentialité : même les méthodes de communication apparemment sûres, voire chiffrées, sont rarement assez sécurisées pour échanger des données confidentielles. Cela vaut doublement pour les plateformes publiques telles que les réseaux sociaux. Un e-mail qui vous demande à la fois de garder le secret par souci de sécurité et de fournir des informations privées ou des identifiants est au minimum suspect, et représente potentiellement une attaque d’ingénierie sociale.
• Liens et pièces jointes : ce piège est difficile à repérer, car les canaux de communication ont été conçus pour faciliter le partage des liens et des pièces jointes avec des collègues. Et les pirates misent précisément sur cette convivialité lorsqu’ils élaborent leurs messages. Comme il s’agit d’une « fonctionnalité », qui s’en méfie ? En réalité, il a toutes les raisons d’être soupçonneux. Très simplement : ne cliquez pas sur les liens, et n’ouvrez pas les pièces jointes.
• Vérification : les demandes de toute nature, surtout si elles sont financières ou « hors des clous », doivent être vérifiées en personne. Au minimum, il est indispensable de vérifier la légitimité de la demande en contactant le demandeur avant de faire quoi que ce soit. Des protocoles stricts doivent encadrer la modification des numéros de compte ou des procédures de paiement pour minimiser le risque de fraude.

Importance de la sensibilisation et de la formation

De nombreux produits et solutions sont conçus pour prendre en charge ce problème de sécurité ou atténuer ce risque. Et si beaucoup fonctionnent assez bien, il n’en reste pas moins qu’en matière d’informatique, « une once de prévention vaut mieux qu’une livre de remède ». Benjamin Franklin a dit cela en 1736, bien avant l’invention d’Internet et du phishing.

Mais son message principal est toujours aussi valable. En matière de cybersécurité, mieux vaut prévenir que guérir.

Certaines solutions sont particulièrement efficaces pour lutter contre l’ingénierie sociale lorsqu’elles sont combinées dans le cadre d’une stratégie à plusieurs niveaux ou d’un plan de défense en profondeur :

• Connaissance des menaces : comment vous protéger contre les menaces si vous ne savez même pas celles qui pèsent sur vous et l’impact qu’elles peuvent avoir sur votre entreprise ? En premier lieu, informez-vous sur les menaces, leur évolution, leur fonctionnement, leurs cibles, leur impact sur les ressources, etc. Familiarisez-vous avec les tactiques des pirates en échangeant des informations, en instaurant un dialogue ouvert et en organisant des formations pour les équipes informatiques et de sécurité.
• Formation continue : de la même façon, comment voulez-vous que les employés contribuent à la protection des ressources de l’entreprise s’ils ne connaissent pas les menaces présentes dans leur environnement ? En tant que première ligne de défense, les employés sont une partie de la solution. Des formations régulières, alignées sur les autres règles de l’organisation, tiendront les employés informés au fil de l’évolution des menaces. Après tout, la sécurité est l’affaire de tous, et pas seulement de l’informatique.
• Développez des protocoles sécurisés : ce conseil vaut pour tous les domaines de l’entreprise, mais cet article traite spécifiquement du whaling. Nous le rappelons donc spécifiquement aux membres de la direction, principales cibles des attaques de whaling. Les cadres dirigeants doivent faire preuve de la plus grande vigilance concernant leurs données confidentielles, ce qu’ils partagent, avec qui, où et comment. On recommande, par exemple, d’activer les fonctions de confidentialités sur les sites web accessibles au public – réseaux sociaux en tête – pour limiter la quantité d’informations personnelles et professionnelles accessibles au public. On réduira ainsi la quantité de données utilisables par des pirates dans leurs tentatives d’usurpation d’identité.
• Faites évoluer vos solutions de sécurité : les solutions de sécurité sont indispensables. Mais aucune règle de solidité des mots de passe ne protègera vos ressources si une personne prétendant être le directeur des opérations demande un accès à distance à un ordinateur permettant de consulter les dossiers de tous les employés – et qu’on lui accorde sans poser de questions. En revanche, des couches supplémentaires de protection des terminaux, capables de détecter et gérer les menaces persistantes avancées (APT), peuvent jouer un rôle décisif. Elles vont identifier rapidement la menace et la corriger avant que les pirates n’aient le temps de s’introduire complètement dans vos données.

Conclusion

L’avenir du whaling ?

Les attaques de whaling sont destinées à se multiplier dans un avenir proche. Et ce n’est pas de la pure spéculation : des agences comme le FBI, citant « une augmentation de 1 300 % des pertes exposées identifiées » contribuent à la diffusion de mesures de protection et de conseils pour que les organisations se protègent mieux contre ce segment croissant des menaces de phishing.

Dans le cadre d’un rapport réalisé par GreatHorn sur l’importance des Attaques de whaling et usurpations d’identité de cadres, Security Magazine a révélé que « 59 % des organisations disent qu’un cadre a été la cible d’attaques de whaling ». Pire encore, « 46 % avouent que l’attaque a réussi. »

Whaling et IA

Imaginez que des pirates parviennent à combiner l’échelle massive du phishing et l’impact par message du whaling : non, nous ne sommes pas dans un épisode de Mr. Robot. C’est l’avenir du whaling alimenté par l’IA.

La pratique est appelée « harpoon whaling », ou harponnage. Selon Trend Micro, « l’harpoon whaling peut être hautement automatisé et s’appuyer sur un modèle de langage génératif pré-entraîné (GPT) pour mener parallèlement des attaques ciblées très performantes sur des listes de diffusion soigneusement sélectionnées. Ces listes comportent de nombreux cadres ou hauts fonctionnaires ; par exemple : “tous les dirigeants d’institutions bancaires ”, “tous les officiers gradés de la police ” ou “toutes les personnalités politiques du pays X” ».

Un encouragement à la vigilance et à l’éducation

« Ne misez pas exclusivement sur le courrier électronique. » – Federal Bureau of Investigations

Les solutions mentionnées dans la section précédente offrent un certain niveau de protection, mais il vous faut une défense multicouche. Cette défense repose à la fois sur des protocoles sécurisés et sur une solution qui va détecter les menaces avancées, les atténuer et les corriger si elles parviennent à franchir vos défenses malgré la formation continue des employés.

Résumé des principaux enseignements

• Le whaling est une forme d’attaque d’ingénierie sociale qui vise exclusivement les hauts profils d’une entreprise, notamment ses dirigeants et les membres du conseil d’administration.
• À l’origine de 12 milliards de dollars de pertes, le whaling est considéré par le FBI comme l’une des principales menaces de phishing pour les organisations.
• Dans le monde entier, des attaques de whaling ont directement contribué à des violations de données confidentielles, à des pertes de fonds et à des fermetures d’entreprise.
• Les attaques de whaling s’appuient sur d’importantes activités de reconnaissance menées par les pirates qui recueillent des informations en libre accès sur les dirigeants d’entreprise afin d’augmenter le taux de réussite de leur projet d’usurpation.
• Les attaques ne se font pas seulement par e-mail : elles peuvent employer le SMS, les plateformes de messagerie et de réseaux sociaux, ainsi que le téléphone.
• Comme dans d’autres formes de phishing, les pirates manient deux tactiques puissantes, l’urgence et la menace de conséquences désastreuses, pour convaincre leurs victimes d’agir sans vérification.
• La formation des employés joue un rôle décisif dans la sensibilisation aux différents types de menaces et à leur évolution, pour maintenir une vigilance constante.
• 59 % des organisations affirment qu’un cadre a été la cible d’attaques et 46 % avouent que la manipulation a réussi.
• L’avenir est aux attaques qui tireront parti de l’IA pour exploiter de façon automatique l’efficacité du whaling et l’échelle du phishing. Après la chasse à la baleine, le harponnage.
• Une solution générique arrêtera peut-être une couche de menaces, mais il vous faut une approche de défense en profondeur, associant un logiciel de protection des terminaux, une formation des utilisateurs et des protocoles de sécurité évolués.