Utiliser une boîte mail professionnelle compromise pour tromper la vigilance des collègues de la victime initiale. C'est en somme la définition du phishing latéral, un phénomène particulièrement inquiétant pour les grandes entreprises, qui constituent des cibles privilégiées pour ce type d'attaque, selon une étude menée par le fournisseur de solutions de sécurité Barracuda sur la base de données courant de juin 2023 à mai 2024.
En moyenne, une grande organisation, comptant plus de 2000 boîtes mail, a reçu près de 7 500 menaces de phishing sur les 12 mois étudiés. Dans les petites structures, comptant moins de 100 boîtes mail, cette moyenne descend à 180 environ. Surtout, la structure même de ces attaques ciblées est différente, comme le note Barracuda dans un billet de blog. « Les petites entreprises tendent à avoir des structures organisationnelles plus plates, avec un accès plus facile aux noms des employés ou aux coordonnées. Cela signifie que les attaquants peuvent cibler un large éventail d'employés », écrivent les auteurs de l'étude. Dans ce type de structure, le phishing direct représente 71% des attaques ciblées par email, tandis que le phishing latéral ne pèse que 7% du total.
Exploiter le carnet d'adresses et les listes de distribution
Le constat est tout autre dans les grandes entreprises, où c'est le phishing latéral (avec 42% du total) qui représente la menace n°1, devant le phishing plus classique (41%). Pour Barracuda, cela s'explique notamment par le fait que de nombreuses données d'identification de comptes mail de grandes entreprises sont disponibles à l'achat sur le dark web. Pour les pirates, une voie pratique pour constituer une première brèche, afin d'exploiter ensuite le carnet d'adresses de la victime, les listes de distribution et autres canaux de communication de l'entreprise. Des leviers idéaux pour « rapidement disséminer des messages malveillants au sein de l'organisation en se cachant dans l'important trafic réseau interne », selon Barracuda.
Sans compter le fait que, évidemment, les employés sont davantage susceptibles de faire confiance à des messages semblant provenir de l'interne, même quand ils ne connaissent pas directement l'expéditeur. Selon Barracuda, les attaques de phishing latéral sont toutefois rarement ciblées. La société californienne explique que les assaillants préfèrent l'approche 'spray and pray' (littéralement, diffuser et prier), misant sur de grands volumes de messages envoyés depuis la boîte compromise pour tromper de nouvelles cibles.
Le phishing latéral, énième plaie des entreprises
Dans les grandes entreprises, le phishing latéral est la technique privilégiée des cyber-assaillants, en matière d'attaques ciblées par email.