Source: The Conversation – France in French (2) – By Antony Dalmiere, Ph.D Student – Processus cognitifs dans les attaques d’ingénieries sociales, INSA Toulouse; Centre national de la recherche scientifique (CNRS)
Comment les spams passent-ils au travers des multiples couches de protection annoncées comme presque infranchissables par les entreprises et par les chercheurs en cybersécurité ?
Les escroqueries existent depuis fort longtemps, du remède miracle vendu par un charlatan aux courriers dans la boîte aux lettres nous promettant monts et merveilles plus ou moins fantasques. Mais le Web a rendu ces canaux moins intéressants pour les arnaqueurs.
Les e-mails de spam et le « phishing » (hameçonnage) se comptent aujourd’hui en millions d’e-mails par an et ont été la porte d’entrée pour des incidents majeurs, comme les fuites d’e-mails internes d’Emmanuel Macron lors de sa campagne présidentielle en 2017, mais aussi le vol de 81 millions de dollars (plus de 69 millions d’euros) à la banque du Bangladesh en 2016.
Il est difficile de quantifier les effets de ces arnaques à l’échelle globale, mais le FBI a recensé des plaintes s’élevant à 2,9 milliards de dollars (soit 2,47 milliards d’euros) en 2023 pour une seule catégorie de ce type d’attaques – les pertes dues aux attaques par e-mail en général sont sûrement beaucoup plus élevées.
Bien sûr, la situation n’est pas récente, et les entreprises proposant des boîtes de messagerie investissent depuis longtemps dans des filtres antispam à la pointe de la technologie et parfois très coûteux. De même pour la recherche académique, dont les détecteurs atteignent des précisions supérieures à 99 % depuis plusieurs années ! Dans les faits pourtant, les signalements de phishing ont bondi de 23 % en 2024.
Pourquoi, malgré ces filtres, recevons-nous chaque jour des e-mails nous demandant si notre compte CPF contient 200 euros, ou bien nous informant que nous aurions gagné 100 000 euros ?
Plusieurs techniques superposables
Il faut d’abord comprendre que les e-mails ne sont pas si différents des courriers classiques dans leur fonctionnement. Quand vous envoyez un e-mail, il arrive à un premier serveur, puis il est relayé de serveur en serveur jusqu’à arriver au destinataire. À chaque étape, le message est susceptible d’être bloqué, car, dans cette chaîne de transmission, la plupart des serveurs sont équipés de bloqueurs.
Dans le cadre de ma thèse, j’ai réalisé une étude empirique qui nous a permis d’analyser plus de 380 e-mails de spams et de phishing ayant franchi les filtres mis en place. Nous avons ainsi analysé une dizaine de techniques exploitées dans des proportions très différentes.
La plus répandue de ces techniques est incroyablement ingénieuse et consiste à dessiner le texte sur une image incluse dans l’e-mail plutôt que de l’écrire directement dans le corps du message. L’intérêt est de créer une différence de contenu entre ce que voit l’utilisateur et ce que voient les bloqueurs de spams et de phishing. En effet, l’utilisateur ne fait pas la différence entre « cliquez ici » écrit dans l’e-mail ou « cliquez ici » dessiné avec la même police d’écriture que l’ordinateur. Pourtant, du point de vue des bloqueurs automatisés, cela fait une grosse différence, car, quand le message est dessiné, identifier le texte présent dans l’image demande une analyse très coûteuse… que les bloqueurs ne peuvent souvent pas se permettre de réaliser.
Une autre technique, plus ancienne, observée dans d’autres contextes et recyclée pour franchir les bloqueurs, est l’utilisation de lettres qui sont jumelles dans leur apparence pour l’œil humain mais radicalement différentes. Prenons par exemple un mail essayant de vous faire cliquer sur un lien téléchargeant un virus sur votre téléphone. Un hackeur débutant pourrait envoyer un mail malicieux demandant de cliquer ici. Ce qui serait vu du point de vue de votre ordinateur par 99 108 105 113 117 101 114. Cette suite de nombres est bien évidemment surveillée de près et suspectée par tous les bloqueurs de la chaîne de transmission. Maintenant, un hackeur chevronné, pour contourner le problème, remplacera le l minuscule par un i majuscule (I). De votre point de vue, cela ressemblera à cIiquer ici – avec plus ou moins de réussite en fonction de la police d’écriture. Mais du point de vue de l’ordinateur, cela change tout, car ça devient : 99 76 105 113 117 101 114. Les bloqueurs n’ont jamais vu cette version-là et donc laissent passer le message.
Tromper les filtres à spams basés sur l’IA
Parmi toutes les techniques que nous avons observées, certaines sont plus avancées que d’autres. Contre les bloqueurs de nouvelle génération, les hackers ont mis au point des techniques spécialisées dans la neutralisation des intelligences artificielles (IA) défensives.
Un exemple observé dans notre étude est l’ajout dans l’e-mail de pages Wikipédia écrites en blanc sur blanc. Ces pages sont complètement hors contexte et portent sur des sujets, tels que l’hémoglobine ou les agrumes, alors que l’e-mail demande d’envoyer des bitcoins. Ce texte, invisible pour l’utilisateur, sert à perturber les détecteurs basés sur des systèmes d’intelligence artificielle en faisant une « attaque adversariale » (montrer une grande quantité de texte anodin, en plus du message frauduleux, de telle sorte que le modèle de détection n’est plus capable de déterminer s’il s’agit d’un e-mail dangereux ou pas).
Et le pire est que la plupart des e-mails contiennent plusieurs de ces techniques pour augmenter leurs chances d’être acceptés par les bloqueurs ! Nous avons dénombré en moyenne 1,7 technique d’obfuscation par e-mails, avec la plupart des e-mails comportant au moins une technique d’obfuscation.
Cet article est le fruit d’un travail collectif entre le Laboratoire de recherche spécialisé dans l’analyse et l’architecture des systèmes (LAAS-CNRS) et le Laboratoire d’études et de recherches appliquées en sciences sociales (LERASS). Je tiens à remercier Guillaume Auriol, Pascal Marchand et Vincent Nicomette pour leur soutien et leurs corrections.
Antony Dalmiere a reçu des financements de l’Université de Toulouse et de l’Institut en Cybersécurité d’Occitanie.
– ref. Pourquoi mon filtre antispam fonctionne-t-il si mal ? – https://theconversation.com/pourquoi-mon-filtre-antispam-fonctionne-t-il-si-mal-273053