Corporate Finance, DeFi, Blockchain, Web3 News
Fintech, DeFi, Blockchain, Web3 Daily News by Finyear

Interview | Le phishing, une fraude qui contourne l’authentification forte

Johanne Ulloa, directeur solutions consulting chez LexisNexis® Risk Solutions répond aux questions de Finyear sur le phishing.


Décrivez en quelques mots votre rôle au sein de LexisNexis Risk Solutions ainsi que votre domaine d’expertise.

Je suis directeur solutions consulting pour LexisNexis Risk Solutions, mon poste consiste à mieux comprendre les problématiques spécifiques qui impactent nos clients en matière de fraude en ligne. Je possède une expérience de 15 ans dans le domaine de la cybersécurité et depuis 5 ans, je me consacre plus précisément au domaine de la lutte contre la fraude. Le cœur de mon métier consiste à proposer des solutions adaptées aux entreprises et à nos clients à travers une connaissance des défis que peuvent rencontrer les entreprises face à la fraude.

Pouvez-vous expliquer en quelques mots en quoi consiste le phishing et pourquoi c’est une méthode de fraude qui a augmenté ces dernières années ?

La technique de fraude que l’on appelle le phishing consiste à duper l’internaute en lui envoyant un courriel qui semble venir d’une entreprise ou d’organisation légitime en l’encourageant à se rendre sur un site internet qui ressemble au site légitime de cette organisation, mais qui va permettre au fraudeur de collecter des données qui appartiennent à la victime. Le fraudeur récupère ainsi des login, mots de passe, numéro de carte de crédit, numéro de téléphone appartenant à la victime, sans qu’elle ne s’en aperçoive. Une fois que la victime a partagé ses identifiants sur ce site qui semble légitime, le fraudeur possède les clés pour utiliser ces identifiants pour industrialiser ses techniques de fraude à grande échelle et par conséquent, augmenter ses profits liés à la fraude. Cette technique dite du phishing s’épanouit dans un contexte où de plus en plus de services s’effectuent à présent en ligne, une tendance plus rependue depuis la pandémie, ce qui augmente le champ des possibles pour les fraudeurs.

Quels sont les nouveaux moyens utilisés par les fraudeurs dans ce contexte ?

L’authentification forte est souvent présentée comme l’arme absolue dans ce contexte. Toutefois, elle a des impacts importants sur l’expérience utilisateur et donc sur le business. D’autre part, elle est contournée par les fraudeurs qui appellent leurs victimes et arrivent à les convaincre de réaliser des actions qui semblent légitimes au premier abord mais qui sont en fait frauduleuses. Une autre méthode consiste à créer un site de phishing avancé. Ce site malveillant est en tout point semblable au site légitime et il redirige les demandes de l’utilisateur sur le site originel et affiche ses réponses sur le site malveillant. En toute confiance, l’internaute va entrer ses identifiants et va donc permettre aux personnes malveillantes de franchir l’étape de l’authentification forte.

Le site légitime va renvoyer à l’internaute un cookie qui va matérialiser l’authentification et ce cookie sera ensuite intercepté par le site malveillant pour être réutilisé par le fraudeur. Cette action fera croire au site légitime que le fraudeur a déjà été authentifié.

Quels sont les secteurs qui favorisent le phishing ? Et pourquoi ?

N’oublions pas que le but ultime des fraudeurs est de faire de l’argent. En toute logique, les proies privilégiées de la fraude restent celles qui se trouvent dans le secteur financier. Toutefois, un grand nombre de secteur est impacté, car même si les fraudeurs n’obtiennent pas directement de l’argent, ils peuvent ensuite monnayer les biens ou les services dont ils font l’acquisition de manière frauduleuse.

Selon vous, comment les organisations peuvent-elles se protéger de ce type de fraude de manière efficace ?

Les organisations ont peu de moyens de lutter contre le phishing, car il est réalisé sans que les ressources techniques d’une entreprise ne soient impliquées et ce sont les clients de ces organisations qui sont ciblés. Les entreprises ont donc très peu de capacité de manœuvre pour empêcher que les fraudeurs génèrent des sites qui ressemblent en tout point aux leurs et pour empêcher les fraudeurs d’envoyer des courriels trompeurs à leurs clients. En revanche, elles peuvent agir sur les conséquences du phishing (la réutilisation des données récupérées lors du phishing pour commettre des paiements frauduleux ou des usurpations de comptes). C’est là que LexisNexis® ThreatMetrix® notre solution intervient et protège les organisations en s’assurant que l’utilisateur est bien celui qu’il dit être.

Y a-t-il des moyens efficaces pour lutter contre les conséquences du phishing ?

Pour lutter contre les conséquences du phishing, les entreprises ont besoin de savoir si la personne qui est en train de réaliser une action à risque sur leur site est vraiment la personne qu’elle prétend être. Il est donc important d’utiliser des solutions qui sont capables de reconnaître les utilisateurs légitimes. Par exemple, en ayant la capacité de déterminer que la machine qui se connecte est similaire au système d’exploitation utilisé de façon habituelle par l’utilisateur. Ou encore en analysant le comportement de l’utilisateur et ses interactions avec le site. Il faut donc prendre en considération d’autres données que celles qui sont utilisées pour une authentification traditionnelle.

La prise en compte des données liées aux interactions de l’utilisateur avec le site, via son clavier et sa souris, permet de réaliser de l’authentification en continu et donc de limiter considérablement ce type de risque. À ce sujet, l’analyse comportementale gestuelle fait partie des outils qui permettent cette authentification en continue et LexisNexis Risk Solutions vient justement d’acquérir un fleuron en la matière, BehavioSec® qui va complémenter notre solution ThreatMetrix.

Comment les internautes peuvent-ils se protéger du phishing, dont ils sont la cible ?

Cliquer sur un lien qui provient d’un courriel et qui amène à un formulaire présente un risque qu’il faut apprécier. Avant de cliquer, il convient de s’assurer que le lien pointe sur le bon site. En passant sa souris sur le lien, on peut voir l’adresse. Il est préférable d’aller sur le site non pas en cliquant sur le lien mais en effectuant une recherche google ou en utilisant un bookmark.

Pour faire passer les victimes à l’action, les fraudeurs jouent souvent sur la notion d’urgence ou de danger. Si le contenu du courriel est anxiogène (compte bloqué, virement refusé, transactions frauduleuses sur votre compte…) il faudra être très vigilant et contacter l’organisme « émetteur » directement sans passer par le lien.

Enfin, la nature des données du formulaire est également un indicateur de risque. Est-ce que je dois rentrer des données sensibles ? Est-ce que le site n’est pas déjà en possession de ces données ? Dans ce cas, il ne faudra surtout pas utiliser le formulaire et préférablement contacter l’organisme par d’autres moyens.

Mardi 31 Mai 2022




OFFRES D'EMPLOI


OFFRES DE STAGES


NOMINATIONS


DERNIERES ACTUALITES


POPULAIRES