Qu'est-ce qu'une attaque de spoofing ?

Qu'est-ce que le spoofing ? Définition du spoofing

Le spoofing, dans le contexte de la cybersécurité, c'est quand quelqu'un ou quelque chose se fait passer pour autre chose pour gagner notre confiance, accéder à nos systèmes, voler des données, voler de l'argent ou propager des logiciels malveillants. Les attaques de spoofing prennent de nombreuses formes, y compris :

• Spoofing d’emails
• Spoofing de site web et/ou d'URL
• Spoofing d'identifiant d'appelant
• Spoofing de messages texte
• Spoofing GPS
• Attaques de l'homme du milieu
• Spoofing d'extension
• Spoofing IP
• Spoofing facial

Alors comment les cybercriminels nous trompent-ils ? Souvent, il suffit d'invoquer le nom d'une grande organisation de confiance pour nous convaincre de donner des informations ou d'agir d'une certaine manière. Par exemple, un courriel falsifié de PayPal ou Amazon pourrait interroger à propos d'achats que vous n'avez jamais effectués. Inquiets pour votre compte, vous pourriez être motivé à cliquer sur le lien inclus.

À partir de ce lien malveillant, les escrocs vous enverront vers une page web avec un téléchargement de malware ou une page de connexion falsifiée—avec un logo familier et une URL usurpée—dans le but de récupérer votre nom d'utilisateur et votre mot de passe.

Il existe bien d'autres façons dont une attaque de spoofing peut se dérouler. Dans tous les cas, les fraudeurs comptent sur le fait que les victimes se laissent duper. Si vous ne doutez jamais de la légitimité d'un site ou ne suspectez jamais un courriel d'être falsifié, vous pourriez devenir victime d'une attaque de spoofing à un moment donné.

Cet article est entièrement consacré au spoofing. Nous vous expliquerons les différents types de spoofing, comment cela fonctionne, comment distinguer les courriels et sites légitimes de ceux qui sont faux, et comment éviter de devenir une cible pour les fraudeurs.

« Le spoofing, dans le contexte de la cybersécurité, c'est quand quelqu'un ou quelque chose se fait passer pour autre chose pour gagner notre confiance, accéder à nos systèmes, voler des données, voler de l'argent ou propager des logiciels malveillants. »

Types de spoofing

Spoofing d’emails

Le spoofing de courriel consiste à envoyer des courriels avec de fausses adresses d'expéditeur, généralement dans le cadre d'une attaque de phishing conçue pour voler vos informations, infecter votre ordinateur avec des logiciels malveillants ou simplement demander de l'argent. Les charges utiles typiques pour les courriels malveillants incluent le rançongiciel, le adware, les cryptojackers, les chevaux de Troie (comme Emotet) ou des logiciels malveillants qui enrôlent votre ordinateur dans un botnet (voir DDoS).

Mais une adresse de courriel usurpée n'est pas toujours suffisante pour tromper une personne en moyenne. Imaginez recevoir un courriel de phishing avec ce qui ressemble à une adresse de Facebook dans le champ de l'expéditeur, mais le corps du courriel est écrit en texte brut, sans design ni HTML à signaler—même pas un logo. Ce n'est pas quelque chose qu'on a l'habitude de recevoir de Facebook, et cela devrait éveiller quelques soupçons. En conséquence, les courriels de phishing incluront généralement une combinaison de fonctionnalités trompeuses :

• Adresse de l'expéditeur fausse conçue pour que cela semble provenir de quelqu'un que vous connaissez et en qui vous avez confiance—peut-être un ami, un collègue, un membre de la famille, ou une entreprise avec laquelle vous faites affaire. 
• Dans le cas d'une entreprise ou d'une organisation, le courriel peut inclure des éléments de branding familiers ; par exemple un logo, des couleurs, une police, un bouton call to action, etc.
• Les attaques de spear phishing ciblent un individu ou un petit groupe au sein d’une entreprise et utiliseront un langage personnalisé et s’adresseront au destinataire par son nom.
• Les fautes de frappe—nombreuses. Malgré leurs efforts pour nous tromper, les escrocs par courriel ne prennent souvent pas le temps de relire leur propre travail. Les spoofing de courriels ont souvent des fautes de frappe, ou ils ressemblent à un texte traduit par Google Translate. Méfiez-vous des constructions de phrase inhabituelles ; des entreprises comme Facebook ou PayPal sont peu susceptibles de faire de telles erreurs dans leurs courriels aux clients. 

Le spoofing de courriels joue un rôle crucial dans les arnaques à l'extorsion sexuelle. Ces arnaques nous font croire que nos webcams ont été détournées avec des spywares et utilisées pour nous enregistrer en train de regarder du porno. Ces courriels usurpés diront quelque chose comme « Je t’ai vu regarder du porno », ce qui est incroyablement bizarre à dire. Mais qui est le vrai pervers dans ce scénario ?

Ensuite, les escrocs exigent un certain montant en Bitcoin ou autre cryptomonnaie, sans quoi ils enverront la vidéo à tous vos contacts. Pour créer l'impression de légitimité, les courriels peuvent également inclure un mot de passe périmé issu d'une précédente fuite de données. Le spoofing intervient lorsque les escrocs déguisent le champ de l'expéditeur du courriel pour qu'il semble provenir de votre supposé compte de courriel compromis. Soyez rassurés, chances sont que personne ne vous surveille vraiment.

Usurpation de site web

Le spoofing de site web consiste à rendre un site malveillant semblable à un site légitime. Le site usurpé ressemblera à la page de connexion d’un site que vous fréquentez—jusqu’à la marque, l’interface utilisateur, et même un nom de domaine usurpé qui semble identique à première vue. Les cybercriminels utilisent des sites usurpés pour capturer votre nom d'utilisateur et votre mot de passe (aussi appelé spoofing d'identifiants) ou pour déposer des logiciels malveillants sur votre ordinateur (un drive-by download). Un site web usurpé sera généralement utilisé conjointement avec un spoofing de courriel, où le courriel contiendra un lien menant vers le site.

Il convient également de noter qu'un site usurpé n'est pas la même chose qu'un site piraté. Dans le cas d'un piratage de site, le vrai site a été compromis et pris en charge par des cybercriminels—sans usurpation ou tromperie impliquée. De même, le malvertising est son propre genre de malveillance. Dans ce cas, les cybercriminels ont profité de canaux publicitaires légitimes pour afficher des annonces malveillantes sur des sites de confiance. Ces annonces chargent secrètement des logiciels malveillants sur l’ordinateur de la victime.

Spoofing d'identifiant d'appelant

Le spoofing d'identifiant d'appelant se produit lorsque les escrocs trompent votre identifiant d'appelant en faisant apparaître l'appel comme provenant d'ailleurs. Les escrocs ont appris que vous êtes plus susceptible de décrocher si l'identifiant d'appel montre un indicatif régional identique ou proche du vôtre. Dans certains cas, les escrocs vont même usurper les premiers chiffres de votre numéro de téléphone, en plus de l'indicatif régional, pour donner l'impression que l'appel provient de votre quartier (également appelé spoofing de voisinage). 

Spoofing de messages texte

Le spoofing de messages texte ou SMS est l'envoi d'un message texte avec le numéro de téléphone ou l'identifiant de l'expéditeur de quelqu’un d'autre. Si vous avez déjà envoyé un message texte depuis votre ordinateur, vous avez usurpé votre propre numéro de téléphone pour envoyer le texte, car le message ne provenait en réalité pas de votre téléphone.

Les entreprises usurpent fréquemment leurs propres numéros, à des fins de marketing et de commodité pour le consommateur, en remplaçant le long numéro par un court identifiant alphanumérique facile à retenir. Les escrocs font de même—cacher leur véritable identité derrière un identifiant alphanumérique, souvent en se faisant passer pour une entreprise ou une organisation légitime. Les messages usurpés incluent souvent des liens vers des sites de phishing par SMS (smishing) ou des téléchargements de logiciels malveillants.

Les escrocs par message texte peuvent tirer parti du marché du travail en se faisant passer pour des agences de recrutement et en envoyant aux victimes des offres d'emploi trop bonnes pour être vraies. Dans un exemple, un poste de travail à domicile chez Amazon comprenait une « Toyota Corrola neuve. » Tout d'abord, pourquoi aurait-on besoin d'une voiture de société si on travaille de chez soi ? Ensuite, une Toyota « Corrola » est-elle une version générique de la Toyota Corolla ? Bien essayé, escrocs.

Spoofing GPS

Le spoofing GPS se produit lorsque vous trompez le GPS de votre appareil pour qu'il pense que vous êtes à un endroit, alors que vous êtes réellement ailleurs. Pourquoi diable quelqu'un voudrait-il faire du spoofing GPS ? Deux mots : Pokémon GO.

En utilisant le spoofing GPS, les tricheurs de Pokémon GO peuvent faire croire au célèbre jeu mobile qu'ils sont à proximité d'une arène de jeu et en prendre le contrôle (recevoir de la monnaie de jeu). En réalité, les tricheurs sont dans un endroit ou un pays complètement différent. De même, des vidéos peuvent être trouvées sur YouTube montrant des joueurs de Pokémon GO capturant divers Pokémon sans jamais quitter leur maison. Bien que le spoofing GPS puisse sembler être un jeu d'enfant, il n'est pas difficile d'imaginer que des menaces pourraient utiliser ce stratagème pour des actes plus néfastes que de gagner de la monnaie de jeu mobile.

Attaque Man-in-the-Middle (MitM)

Les attaques Man-in-the-Middle (MitM) peuvent se produire lorsque vous utilisez le Wi-Fi gratuit de votre café local. Avez-vous pensé à ce qui se passerait si un cybercriminel piratait le Wi-Fi ou créait un autre réseau Wi-Fi frauduleux au même endroit ? Dans les deux cas, vous avez une configuration idéale pour une attaque Man-in-the-Middle, ainsi nommée car les cybercriminels peuvent intercepter le trafic web entre deux parties. Le spoofing entre en jeu lorsque les criminels modifient la communication entre les parties pour détourner des fonds ou solliciter des informations personnelles sensibles comme des numéros de carte de crédit ou des identifiants de connexion.

Note : alors que les attaques MitM interceptent généralement les données dans le réseau Wi-Fi, une autre forme d'attaque MitM intercepte les données dans le navigateur. Cela s'appelle une attaque man in the browser (MitB).

Spoofing d'extension

Le spoofing d'extension se produit lorsque les cybercriminels ont besoin de déguiser des fichiers malveillants exécutables. Une technique courante de spoofing d'extension qu'aiment utiliser les criminels est de nommer le fichier sous la forme « fichier.txt.exe » ou quelque chose de ce genre. Les criminels savent que les extensions de fichiers sont masquées par défaut dans Windows, de sorte que pour l'utilisateur moyen de Windows, ce fichier exécutable apparaîtra comme « fichier.txt ».

Spoofing IP

Le spoofing IP est utilisé lorsque quelqu'un veut cacher ou déguiser la localisation depuis laquelle il envoie ou demande des données en ligne. En ce qui concerne les cybermenaces, le spoofing des adresses IP est utilisé dans les attaques par déni de service distribué (DDoS) pour empêcher le filtrage du trafic malveillant et dissimuler la localisation de l'attaquant.

Spoofing facial

Le spoofing facial pourrait être le plus personnel, en raison des implications qu'il a pour l'avenir de la technologie et de nos vies personnelles. En l'état actuel, la technologie de reconnaissance faciale est assez limitée. Nous utilisons nos visages pour déverrouiller nos appareils mobiles et nos ordinateurs portables, et pas beaucoup plus. Cependant, bientôt, nous pourrions nous retrouver à effectuer des paiements et à signer des documents avec nos visages. Imaginez les conséquences lorsque vous pouvez ouvrir une ligne de crédit avec votre visage. Effrayant.

Des chercheurs ont démontré comment des modèles faciaux 3D construits à partir de vos photos sur les réseaux sociaux peuvent déjà être utilisés pour pirater un appareil verrouillé via la reconnaissance faciale. En allant plus loin, Malwarebytes Labs a rapporté l'utilisation de la technologie deepfake pour créer de fausses vidéos d'actualités et de fausses sextapes, mettant en scène les voix et apparences de politiciens et célébrités respectivement.

Comment fonctionne le spoofing ?

Nous avons exploré les différentes formes de spoofing et survolé le fonctionnement de chacune. Dans le cas du spoofing de courriel, cependant, il vaut la peine d'explorer un peu plus. Il y a quelques manières pour les cybercriminels de cacher leur véritable identité dans un spoofing de courriel. L'option la plus infaillible est de pirater un serveur de messagerie non sécurisé. Dans ce cas, le courriel provient, du point de vue technique, de l'expéditeur présumé.

L'option basse technologie consiste simplement à mettre n'importe quelle adresse dans le champ « De ». Le seul problème est que si la victime répond ou si le courriel ne peut être envoyé pour une raison quelconque, la réponse ira à quiconque figure dans le champ « De »—et non à l'attaquant. Cette technique est couramment utilisée par les spammeurs pour utiliser des courriels légitimes et contourner les filtres anti-spam. Si vous avez déjà reçu des réponses à des courriels que vous n'avez jamais envoyés, c'est une raison possible pourquoi, en dehors du fait que votre compte courriel soit piraté. Cela s'appelle backscatter ou spam collatéral.

Une autre manière courante pour les attaquants d'usurper des courriels est d'enregistrer un nom de domaine similaire à celui qu'ils essaient d’usurper dans ce qu'on appelle une attaque d'homographe ou un spoofing visuel. Par exemple, « rna1warebytes.com ». Notez l'utilisation du chiffre « 1 » à la place de la lettre « l ». Notez également l'utilisation des lettres « r » et « n » pour simuler la lettre « m ». Cela a l'avantage supplémentaire de donner à l'attaquant un domaine qu'il peut utiliser pour créer un site usurpé.

Quel que soit le type de spoofing, il ne suffit pas toujours de jeter un faux site web ou courriel dans le monde et espérer le meilleur. Un spoofing réussi nécessite une combinaison du spoofing lui-même et de l'ingénierie sociale. L'ingénierie sociale se réfère aux méthodes que les cybercriminels utilisent pour nous tromper en nous faisant divulguer des informations personnelles, cliquer sur un lien malveillant ou ouvrir une pièce jointe chargée de logiciels malveillants.

Il y a plusieurs astuces dans le livre d'ingénierie sociale. Les cybercriminels comptent sur les vulnérabilités que nous avons en tant qu'êtres humains, telles que la peur, la naïveté, la cupidité et la vanité, pour nous convaincre de faire quelque chose que nous ne devrions vraiment pas faire. Dans le cas d'une arnaque à l'extorsion sexuelle, par exemple, vous pourriez envoyer des Bitcoin à l'escroc parce que vous craignez que votre linge sale proverbial ne soit étalé au grand jour.

Les faiblesses humaines ne sont pas toujours mauvaises non plus. La curiosité et l'empathie sont généralement de bonnes qualités à avoir, mais les criminels adorent cibler les personnes qui les manifestent.

Prenons par exemple l'arnas à la petite-fille prétendument en détresse, où un proche serait soit en prison, soit à l'hôpital dans un pays étranger et aurait besoin d'argent rapidement. Un email ou un SMS pourrait dire : « Papi Joe, j'ai été arrêté pour trafic de drogue en [nom du pays]. Envoie de l'argent, et surtout, n'en parle pas à maman et papa. T'es le meilleur 😉😉😉 ! » Ici, les escrocs comptent sur le manque général d'information du grand-parent quant à l'endroit où peut se trouver son petit-fils à tout moment.

« Pour réussir un spoofing, il faut une combinaison entre l'usurpation elle-même et le social engineering. Le social engineering désigne les méthodes que les cybercriminels utilisent pour nous tromper afin de nous faire fournir des informations personnelles, cliquer sur un lien malveillant ou ouvrir une pièce jointe infectée par un malware. »

Comment détecter le spoofing ?

Voici les signes que vous êtes victime de spoofing. Si vous voyez ces indicateurs, supprimez, cliquez sur le bouton retour, fermez votre navigateur, ne passez pas par la case départ.

Usurpation de site web

• Pas de symbole de cadenas ou de barre verte. Tous les sites Web sécurisés et réputés doivent avoir un certificat SSL, ce qui signifie qu'une autorité de certification tiers a vérifié que l'adresse Web appartient bien à l'organisation vérifiée. Un point à garder en tête : les certificats SSL sont désormais gratuits et faciles à obtenir. Bien qu'un site puisse avoir un cadenas, cela ne signifie pas que c'est la vraie affaire. Rappelez-vous simplement que rien n'est à 100 % sûr sur Internet.
• Le site web n'utilise pas le cryptage des fichiers. HTTP, ou Hypertext Transfer Protocol, est aussi ancien que l'Internet et se réfère aux règles utilisées lors du partage de fichiers sur le web. Les sites Web légitimes utiliseront presque toujours HTTPS, la version cryptée de HTTP, lors du transfert de données aller-retour. Si vous êtes sur une page de connexion et que vous voyez « http » au lieu de « https » dans la barre d'adresse de votre navigateur, vous devriez être méfiant.
• Utilisez un gestionnaire de mots de passe. Un gestionnaire de mots de passe comme 1Password remplira automatiquement vos informations de connexion pour tout site légitime que vous sauvegardez dans votre coffre de mots de passe. Cependant, si vous accédez à un site usurpé, votre gestionnaire de mots de passe ne reconnaîtra pas le site et ne remplira pas les champs nom d'utilisateur et mot de passe pour vous, un bon signe que vous êtes victime de spoofing.

Spoofing d’emails

• Vérifiez l'adresse de l'expéditeur. Comme mentionné, les escrocs enregistrent des domaines factices qui ressemblent beaucoup aux légitimes.
• Recherchez le contenu de l'email sur Google. Une recherche rapide pourrait vous montrer si un email de phishing connu circule sur le web.
• Les liens intégrés ont des URL inhabituelles. Vérifiez les URL avant de cliquer en passant le curseur dessus.
• Fautes de frappe, mauvaise grammaire et syntaxe inhabituelle. Les escrocs ne relisent souvent pas leur travail.
• Le contenu de l'email est trop beau pour être vrai.
• Il y a des pièces jointes. Méfiez-vous des pièces jointes, surtout quand elles proviennent d'un expéditeur inconnu.

Spoofing d'identifiant d'appelant

• Le numéro de l'appelant est facilement usurpé. C'est regrettable que nos lignes fixes soient devenues un nid d'appels d'escroqueries. C’est particulièrement inquiétant quand on considère que la majorité des personnes possédant encore un téléphone fixe sont des personnes âgées, le groupe le plus exposé aux appels frauduleux. Laissez les appels de numéros inconnus vers votre ligne fixe se diriger vers la messagerie vocale ou le répondeur.

Comment se protéger du spoofing ?

Avant tout, vous devez apprendre à repérer une attaque de spoofing. Si vous avez sauté la section « Comment détecter le spoofing ? », il faut revenir en arrière et la lire dès maintenant.

Activez votre filtre anti-spam. Cela empêchera la majorité des emails usurpés d'atteindre votre boîte de réception.

Ne cliquez pas sur les liens ni n'ouvrez les pièces jointes dans les emails si l'email provient d'un expéditeur inconnu. S'il y a une chance que l'email soit légitime, contactez l'expéditeur par un autre canal et confirmez le contenu de l'email.  

Connectez-vous via un autre onglet ou une autre fenêtre. Si vous recevez un email ou un SMS suspect, vous demandant de vous connecter à votre compte et de prendre une quelconque action, par exemple vérifier vos informations, ne cliquez pas sur le lien fourni. Ouvrez plutôt un autre onglet ou une autre fenêtre et accédez au site directement. Alternativement, connectez-vous via l'application dédiée sur votre téléphone ou tablette.

Prenez le téléphone. Si vous avez reçu un email suspect, censé provenir de quelqu'un que vous connaissez, n'hésitez pas à appeler ou à envoyer un SMS à l'expéditeur pour confirmer qu'ils ont bien envoyé l'email. Ce conseil est particulièrement pertinent si l'expéditeur fait une demande inhabituelle comme : « Salut, pourrais-tu acheter 100 cartes cadeaux iTunes et m'envoyer les numéros des cartes ? Merci, Ton Patron. »

Affichez les extensions de fichiers sous Windows. Windows n'affiche pas les extensions de fichiers par défaut, mais vous pouvez modifier ce paramètre en cliquant sur l'onglet « Affichage » dans l'Explorateur de fichiers, puis en cochant la case pour afficher les extensions de fichiers. Bien que cela n'empêchera pas les cybercriminels de falsifier les extensions de fichiers, au moins vous pourrez voir les extensions usurpées et éviter d'ouvrir ces fichiers malveillants.

Investissez dans un bon programme antivirus. Dans le cas où vous cliquez sur un mauvais lien ou une pièce jointe, ne vous inquiétez pas, un bon programme antivirus pourra vous alerter de la menace, arrêter le téléchargement et empêcher les malwares de s'installer sur votre système ou réseau. Par exemple, Malwarebytes propose des produits antivirus/anti-malwares que vous pouvez essayer gratuitement avant de vous abonner.

Actualités sur le spoofing

• Les escrocs usurpent les numéros de téléphone bancaire pour voler leurs victimes.
• Des hameçonneurs usurpent l'identité d'une entreprise fiable de formation à la cybersécurité pour obtenir des clics
• Adresses usurpées et envoi anonyme : de nouveaux bugs Gmail facilitent les arnaques.
• Quand trois ne constituent pas une foule : Attaques Man-in-the-Middle (MitM) expliquées.
• Trucs moins connus pour usurper des extensions.

Pour plus de lecture sur le spoofing et toutes les dernières nouvelles sur les cybermenaces, visitez le blog Malwarebytes Labs.

L'histoire du spoofing

Il n'y a rien de nouveau dans le spoofing. En fait, le mot « spoof » en tant que forme de tromperie remonte à plus d'un siècle. Selon le dictionnaire en ligne Merriam-Webster, le mot « spoof » est attribué au comédien anglais du XIXe siècle Arthur Roberts en référence à un jeu de tromperie et de duperie créé par Roberts. Les règles du jeu ont sombré dans l'oubli. On peut seulement deviner que le jeu n'était pas très amusant ou que les Anglais de l'époque n'aimaient pas qu'on se moque d'eux. Quelle que soit la raison, le nom est resté bien que le jeu ait disparu.

Ce n’est qu’au début du XXe siècle que le spoof est devenu synonyme de parodie. Pendant plusieurs décennies, chaque fois que quelqu'un mentionnait « spoof » ou « spoofing », c'était en référence à quelque chose de drôle et de positif, comme le dernier film parodique de Mel Brooks ou un album de comédie de « Weird Al » Yankovic.

Aujourd'hui, le spoofing est surtout utilisé pour parler de cybercriminalité. Quand un escroc ou une cybermenace prétend être quelqu'un ou quelque chose qu'ils ne sont pas, c'est du spoofing.