L'Agence nationale de sécurité informatique,ANSI, met en garde contre le "Whaling", une cyberattaque qui consiste à usurper l'identité d'un haut responsable ou dirigeant au sein d'une entreprise, afin de piéger ses collaborateurs. Le but d'une telle attaque "est d'avoir accès à des informations confidentielles ou même, d'inciter ces collaborateurs à effectuer des opérations financières frauduleuses". Le "Whaling" (chasse à la baleine) ne cible pas des victimes " ordinaires" mais vise, essentiellement, les hauts dirigeants influents au sein d'une entreprise, en usurpant l'identité d'un haut responsable (directeur financier ou même le PDG) dans le but d'avoir accès à des informations confidentielles ou sensibles, indique l'organisme gouvernemental. Le whaling est un cyber-subterfuge qui exploite ces techniques : -Le spoofing d'adresse e-mail : En usurpant l'identité d'un haut responsable, l'attaquant exploite les messageries électroniques pour piéger les collaborateurs, en leur envoyant un e-mail très personnalisé, tout en leur faisant croire qu'il émane de leurs supérieurs hiérarchiques ou collègues. Ce message est, généralement, accompagné d'une pièce jointe ou d'un hyperlien qui peuvent infecter la machine de leur victime. –L'ingénierie sociale : La technique du Whaling repose, essentiellement, sur les liens de confiance qui peuvent se créer dans le milieu professionnel, ainsi, la plupart des victimes se fient au message personnalisé envoyé par l'attaquant et ne prennent, généralement, pas le temps de vérifier la véracité des informations ou requêtes inclues dans l'e-mail frauduleux. De plus, les attaquants peuvent collecter et exploiter des informations personnelles que les hauts dirigeants partagent sur les réseaux sociaux, afin d'élaborer un stratagème beaucoup plus adapté aux habitudes des victimes afin de leurrer leurs collaborateurs. Comment se protéger du Whaling ? L'ANSI indique que pour se protéger des attaques de Whaling, la sensibilisation reste le moyen le plus efficace, étant donné que ces attaques reposent sur l'ingénierie sociale. "Il est important d'opter pour des formations approfondies pour les hauts dirigeants et cadres de l'entreprise, car ils sont les cibles de choix des attaquants". En effet, "les hauts responsables doivent être capables de protéger leurs informations personnelles et de sécuriser leur environnement de travail, grâce à de simples reflexes, tels que le survol du nom de l'émetteur du mail pour révéler son adresse complète". "Le processus de validation des opérations financières ou la communication d'informations confidentielles doit faire l'objet d'une stratégie de sécurité rigoureuse, faisant partie de la politique de sécurité de l'entreprise. En effet, il faut envisager de modifier la procédure de validation des opérations sensibles. Enfin, il est conseillé d'appliquer une politique de sécurité spécifique qui cible la sphère des cadres et hauts dirigeants de l'entreprise". Utiliser un programme antip-phishing "Même si le Whaling exploite, essentiellement, l'ingénierie sociale pour piéger les victimes, la mise en place d'un logiciel d'anti-phishing au sein de l'entreprise et qui offre des services tels que l'analyse d'URL et la validation de liens peut améliorer le niveau de sécurité face à ce type d'attaque. Les RSSI doivent réaliser des simulations d'attaques pour que les employés acquièrent les gestes barrières face à elles et notamment la vérification de la source des e-mails frauduleux ou la détection des faux sites web", conseille l'ANSI.
