Outils de sensibilisation au phishing

Outils de sensibilisation au phishing

Bonjour à tous, aujourd’hui je voulais vous parler de quelques outils de sensibilisation au phishing pour gérer vos campagnes en interne (ou en prestation chez des clients).

Le Phishing ?

Pour les nuls, le phishing ou spear-phishing (quand on ajoute un peu de social-engineering ou d’OSINT pour faire des campagnes bien ciblées) est une technique d’attaque « populaire » (euphémisme). Notamment pour franchir les barrières périmétriques des systèmes d’information.

En effet, un des rares éléments encore entrant aujourd’hui dans les SI (i.e. qui passe d’Internet jusqu’aux postes de travail) reste le mail. Il s’agit donc d’une entrée de choix pour les attaquants qui veulent prendre pied dans un SI. De plus, il y a un aspect statistiques à avoir en tête : même avec un très faible taux de succès (disons 0,01%) si vous envoyez une campagnes de 200 000 mails, vous aurez quand même compromis 20 machines (et le taux peut être beaucoup, beaucoup plus élevé si vous réfléchissez un peu à vos mails).

Pourquoi sensibiliser vos utilisateurs sur le sujet Phishing ?

Contrairement au failles « purement technique » qui doivent être gérées par des admins (normalement un peu compétent et conscient des risques à ne pas faire leur patch management). Le phishing cible plutôt des profils type « M. ou Mme Michu de la compta » (ou au RH) qui n’ont souvent que de faibles connaissances sur le sujet. Du coup, une fois que vous avez mis en place un bon anti-spam sur votre messageries ainsi qu’un bon antivirus sur les postes. La seule barrière qui reste c’est vos utilisateurs (plus une bonne supervision si vous avez les moyens).

Et là une petite sensibilisation en « condition réelle » d’une campagne de phishing sur votre entreprise, suivie d’une présentation d’une heure (deux max) en mode présentation des résultats et introduction à la sécurité informatique (« ce qu’il faut faire et ne pas faire« ) est une bonne idée qui augmente efficacement la sécurité de votre système d’information (et n’oubliez pas que « la pédagogie c’est : expliquer un peu et répéter beaucoup« , donc c’est quelques choses à prévoir tous les ans ou tous les deux sur vos salariés).

Un peu d’auto-publicité ne faisant jamais de mal, je vous rappel au passage que c’est quelque chose que je peux vous proposer dans vos entreprises (via SystemSec).

Moa

Quelques outils de sensibilisation au phishing, pour les geeks

Pour ceux qui voudrait faire ça en interne, je vous propose 2 outils à tester :

Swordphish

IL s’agit d’un outil open source proposé par le CERT de la société générale. Swordphish est un outil de sensibilisation au phishing. Il s’agit en gros d’une petite interface Web (majoritairement codé en Javascript et Python) sur laquelle vous allez pouvoir configurer vos campagnes hameçonnage interne : modèle de mail, liste de destinataires, statistiques des résultats, etc.

Pour lancer tout ça, c’est par ici ,vous pouvez tester l’outil swordphish avec docker. Bref, que du bon, le seul soucis c’est que l’outil n’est plus maintenu par la « SoGé » (comme on dit, cocorico, hein… ou pas) depuis un certains temps, et du coup, si vous galérez à le faire fonctionner ou que vous voulez une nouvelle features, faudra sortir vos petites mains (ou pleurer auprès de la communauté).

GoPhish

GoPhish c’est l’outils de sensibilisation au phishing qui ressort le plus souvent dans le top 3 des comparatifs sur les Z’Internets. Opensource, maintenu (lui), tout écrit en Go, propre, net et efficasse. il se déploie également avec docker en moins de temps qu’il n’en faut pour l’écrire avec le docker compose ci-dessous :

version: "2"
services:
  gophish:
    image: gophish/gophish:latest
    container_name: gophish
    hostname: gophish
    restart: unless-stopped
    port:
      - 3333, 80
    volumes:
       - gophish_app:/opt/gophish

Dans l’interface, vous pourrez gérer vos groupes d’utilisateurs cibles, les pages de phishing à proprement parler (landing page), vos profils d’envois, les utilisateurs, et dans les ténèbres les lier, heu regrouper tout ça dans de jolies campagnes. Et ensuite faire des zolies statistiques toutes belles pour vos RSSI préférés (ou pas).

Outils de sensibilisation au phishing

Conclusion

Voilà, c’est tout pour aujourd’hui, je vous laisse ces screenshots de ce a quoi ça peut ressembler dans vos boîtes mail et dans l’interface de l’outil. N’oubliez pas que GoPhish a une API REST qui vous permet d’intégrer ces résultats dans votre supervision par exemple.

Outils de sensibilisation au phishing
Outils de sensibilisation au phishing

En espérant que ça vous aura intéressé, n’hésitez pas à me contacter via systemsec.fr pour qu’on organise une sensibilisation au phishing chez vous !

Dans tous les cas, je vous dis à la prochaine et entre temps, geekez-bien !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.