PhiShark Logo
Retour au blog
Études de cas Phishing9 juin 20265 min de lectureOzan İsmail Çolhak

Pourquoi des châteaux à plusieurs millions de dollars s'effondrent-ils avec un seul lien ? (Partie 1)

Comment Google et Facebook ont perdu 120 millions de dollars face à une seule campagne de phishing — et ce que les outils de sécurité traditionnels n'ont pas détecté.

PhishingÉtude de casGoogleFacebookPhiSharkSécurité IA

Dans l'industrie de la cybersécurité, nous vivons tous à l'intérieur d'une grande illusion.

Les entreprises dépensent des millions de dollars, déploient les pare-feux les plus avancés, segmentent leurs réseaux et construisent d'immenses centres d'opérations de sécurité (SOC). De l'extérieur, on voit un château d'entreprise impénétrable et sans faille. Mais alors que la majorité des budgets de cybersécurité sont consacrés à l'infrastructure technique, de nombreuses attaques réussies passent encore par le facteur humain. C'est une contradiction massive que l'industrie évite souvent d'affronter.

La plupart de ces châteaux à plusieurs millions de dollars s'effondrent avec un simple faux lien, un seul e-mail, un seul code QR ou un seul fichier PDF qui atterrit devant un employé épuisé à la fin d'une longue journée chargée.

À cause de cela, les attaquants n'ont plus besoin de dépenser toute leur énergie à pirater directement les systèmes. Au lieu de passer des mois à essayer de s'introduire dans un serveur durci, il est beaucoup plus facile, moins cher et plus destructeur de pirater la confiance, la fatigue et l'urgence momentanée des gens. Malheureusement, les outils de cybersécurité traditionnels sont naturellement aveugles sur cette nouvelle ligne de front.

Descendons sur la véritable ligne de front de la cybersécurité. Dans la première partie de cette série en trois volets, nous examinerons comment certaines des plus grandes entreprises du monde ont été ouvertement ciblées.

L'angle mort derrière des pare-feux parfaits : le cas Google et Facebook

Nous parlons de deux géants mondiaux qui emploient certains des meilleurs ingénieurs en cybersécurité au monde et utilisent parmi les systèmes de filtrage basés sur l'IA les plus avancés : Google et Facebook.

Un cybercriminel a ciblé Quanta Computer, un important fabricant taïwanais de matériel informatique qui entretenait des relations commerciales de plusieurs milliards de dollars avec les deux entreprises. Ce n'était pas un simple e-mail de type « réinitialisez votre mot de passe ». L'attaquant a passé des jours à analyser les structures d'e-mails corporatifs des entreprises, les modèles de factures réelles, les conditions de paiement et le style d'écriture, puis les a copiés de manière quasi parfaite. Ensuite, il a acheté de faux noms de domaine qui ressemblaient tellement aux originaux qu'il était presque impossible de remarquer la différence d'une seule lettre à l'œil nu. Grâce à ces faux domaines, il a commencé à envoyer des factures frauduleuses aux employés des services comptables.

Du point de vue de la cybersécurité, que s'est-il passé ici ? Pourquoi cela n'a-t-il pas pu être empêché ?

Les passerelles de messagerie sécurisées (SEG) traditionnelles ont analysé ces e-mails entrants. Les outils de sécurité d'entreprise fonctionnent principalement avec des logiques basées sur les signatures et la réputation. Il n'y avait aucun malware connu à l'intérieur de l'e-mail. Les liens contenus dans les messages étaient également des domaines tout neufs et propres qui n'étaient jamais apparus sur aucune liste noire de renseignement sur les cybermenaces. Les filtres ont examiné les données historiques, ont décidé que tout était « propre », et les e-mails ont atterri devant des employés occupés.

Lorsque les employés ont vu le format de facture familier d'un fournisseur avec lequel ils travaillaient depuis des années, ils n'ont rien soupçonné. Le résultat ? Google et Facebook ont transféré un total de 120 millions de dollars sur les comptes bancaires de l'attaquant après avoir fait confiance à ces faux e-mails de facturation.

Qu'est-ce qui aurait changé si PhiShark avait été là ?

Si ces employés avaient intégré l'extension de navigateur PhiShark dans leurs navigateurs ou dans le réseau de messagerie de leur entreprise, le système n'aurait pas agi comme les outils traditionnels en se contentant de demander : « Cette URL est-elle déjà connue sur une liste noire ? »

La protection du courrier PhiShark et le module URL en temps réel auraient commencé à penser comme un analyste en cybersécurité en arrière-plan, en quelques millisecondes après le déclenchement de ce lien de facture. Notre analyste IA agentique (AIPA) aurait posé des questions critiques telles que :

  • Ce domaine a été enregistré il y a seulement 3 jours. Pourquoi usurpe-t-il le nom d'un fabricant de matériel valant des milliers de milliards de dollars ?
  • Pourquoi les enregistrements du serveur d'envoi ne correspondent-ils pas aux enregistrements d'infrastructure réels de la marque usurpée ?
  • Pourquoi y a-t-il des anomalies structurelles dans la chaîne de redirection ?

Même si le domaine n'avait aucun historique de réputation, PhiShark aurait détecté l'attaque à partir de son comportement en direct et de sa structure d'usurpation de marque. Lorsque l'employé aurait cliqué sur le lien pour payer la facture, avant même que son doigt ne se soulève de la souris, notre extension serait intervenue, aurait transformé l'écran en rouge et aurait arrêté la transaction. Ces 120 millions de dollars seraient restés à l'intérieur de l'entreprise.

Parce que le meilleur pare-feu est celui qui détruit la menace dès la toute première milliseconde où elle apparaît sur l'écran de l'employé.

Dans la deuxième partie, nous examinerons comment des fichiers PDF malveillants qui contournent les filtres de messagerie traditionnels peuvent faire tomber de grandes entreprises.

Restez en sécurité. Téléchargez PhiShark.

D'ailleurs, si vous souhaitez partager des retours techniques sur l'extension ou discuter de tout ce qui concerne la cybersécurité, vous pouvez toujours me contacter sur LinkedIn.

Ah, et les autres parties arrivent bientôt — on a des histoires assez dingues en préparation. Restez dans le coin. :D

Cordialement, Ozan.