Phishing-Initiative Luxembourg inauguré à l’occasion de l’ICTSpring Europe 2015

Les 19 et 20 mai 2015, au Nouveau Centre International de Conférence, avait lieu le plus important événement de l'année organisé autour des technologies de l’information au Luxembourg : l’ICTSpring Europe 2015.

Ce dernier a rassemblé plusieurs milliers de décideurs et entrepreneurs du monde entier, actifs dans le numérique, l’innovation technologique, la finance, etc.

C’est pour rappeler à ce public, à l’origine des produits et services en ligne de demain, l’importance de la protection de l’utilisateur et de ses données que les membres du projet EU-PI ont décidé de se réunir et inaugurer la plateforme en ligne développée pour contribuer à la lutte contre le phishing. Sept organisations publiques et privées de France, du Luxembourg et des Pays-Bas se sont en effet associées en 2014 pour initier ce projet cofinancé par la Commission Européenne. Le Ministère de l’Economie du Luxembourg et son GIE SMILE figurent parmi les partenaires du projet.

« L’application Web, accessible depuis notre site, permet à tout internaute de signaler facilement un lien suspicieux, en particulier l'adresse d’une page Web reçue dans un courrier non sollicité et suspecté de participer à une attaque par phishing », explique Vincent Hinderer, en charge de la coordination du projet.

Le site sera analysé par des algorithmes et des experts spécialisés et, s’il est confirmé frauduleux, sera transmis instantanément aux partenaires techniques pour l’ajouter aux listes noires de sites de phishing. Ainsi, les principaux navigateurs, destinataires de cette liste, pourront alerter les utilisateurs d’un danger.

A l’occasion d’une première table-ronde, le fonctionnement du phishing a été rappelé par Bernard Ourghanlian, CTO et CSO de Microsoft France : « Il s’agit d’une menace très répandue, visant tant les particuliers que les organisations publiques et privées, qui permet à un attaquant d’obtenir de la part des victimes la divulgation d’informations personnelles et/ou confidentielles telles que des identifiants d’accès, des coordonnées bancaires, etc. ».

Jérome Robert de Lexsi, cabinet de conseil en cybersécurité et spécialiste européen de la lutte contre le phishing, détaille quelques-uns des nombreux scénarii utilisés pour tromper l’internaute : pseudo-remboursement d’un trop-payé d’impôts, faux échec du paiement d’une facture d’électronique ou de téléphonie, soi-disant mise à jour nécessaire de coordonnées pour des raisons de sécurité, etc.

Les notifications par e-mail en provenance des principaux réseaux sociaux représentent aussi des opportunités pour les cybercriminels de mener des campagnes de phishing efficaces. Ce type de phishing est parfois exploité pour viser des individus spécifiques, pour lesquels un message personnalisé est configuré. « On parle alors de spear-phishing (phishing ciblé) », précise Hendrik Schimmelpenninck van der Oye de l’entreprise néerlandaise Fox-IT, membre de l'European CyberSecurity Group (ECSG). Cette menace spécifique expose les administrations et les entreprises à des incidents potentiellement très graves, en particulier en matière d'espionnage économique.

C’est la raison pour laquelle le CIRCL.lu a développé et mis en ligne en début d’année, dans le cadre du projet EU-PI, une interface Web publique baptisée « URL Abuse » vérifiant la dangerosité d’une URL. Alexandre Dulaunoy, du CIRCL, a présenté les différentes vérifications effectuées et les indicateurs utilisés pour qualifier la dangerosité des adresses soumises. « L’analyse prend quelques secondes et les résultats sont affichés au sein de l’interface Web avec un code couleur permettant à l’utilisateur d’appréhender le niveau de risque calculé pour l’adresse URL soumise. »

Jean-Dominique Nollet, chef du laboratoire de recherches et de sciences qui est l’égal du European CyberCrime Center (EC3) à Europol, a ensuite synthétisé les actions entreprises, les objectifs, les moyens et les priorités de cette unité de l'agence européenne dédiée à la lutte contre la cybercriminalité. Les atouts et les problématiques rencontrés par Europol ont été discutés en mettant l’accent sur les procédures, les initiatives, les innovations et le retour sur investissement permis par ces dernières.

La deuxième table ronde était animée par le manager de SMILE, Pascal Steichen, et réunissait trois experts issus de différentes organisations partenaires du projet : Europol EC3, s21sec (société espagnole de cybersécurité et membre du consortium européen ECSG) et Signal Spam (association française à but non lucratif oeuvrant contre le spam).

Jose Aleman de s21sec a décrypté des cas concrets ainsi que des exemples d’attaques originales mettant en scène d’autres mécanismes de communication et en particulier la voix sur IP et les SMS. « Le remède au phishing réside dans une meilleure sensibilisation du public, et ce, dès le plus jeune âge. Cependant, la solution passe également par la sensibilisation de certaines populations comme les développeurs ou les chefs de projet afin que la problématique de sécurité soit incluse bien plus en amont et bien plus régulièrement dans tout nouveau produit. »

Les experts ont tous martelé l’impérieuse nécessité de mettre en place des collaborations effectives entre organisations publiques, privées et publiques-privées.

Signal-Spam a également partagé son opinion et ses expériences de terrain en matière de partenariat public-privé, de messages et d’échanges de données relatives à des attaques cybercriminelles.

La cybersécurité est l’affaire de tous et représente un enjeu majeur pour nos sociétés toujours plus connectées et dépendantes des technologies liées à Internet. Dans ce cadre, EU-PI permet aux citoyens de contribuer à un Internet plus sûr pour eux et pour les autres mais aussi de favoriser la sensibilisation du grand public.

Le fléau du phishing doit être combattu sous différents angles (répressif, technique, communication et sensibilisation,...), mais toujours avec une approche pragmatique !

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !