Ce cours s'adresse aux professionnels de la Cybersécurité désireux de réaliser des campagnes de sensibilisation au hameçonnage (Phishing) pour leurs entreprises ou leurs clients. Ce cours convient également aux aspirants en Cybersécurité désireux de comprendre en pratique comment est réalisé une attaque d’hameçonnage. Enfin, ce cours convient à toute personne désireuse de connaître les techniques d'usurpation de mail (la formation porte un accent particulier sur ce point) ou de phishing afin de pouvoir se protéger.
La formation sera régulièrement mis au goût du jour avec les attaques les plus récentes. L'accès est garanti à vie (garantie Udemy) et les différentes mises à jour ne feront pas l'objet d'un nouveau paiement.
L’hameçonnage (phishing) est une technique utilisée par les attaquants pour obtenir des informations sensibles dans le but de perpétrer une usurpation d'identité ou exécuter une charge malicieuse et/ou propager des malwares. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte d'identité, date de naissance... via notamment un email, un sms, ou par appel téléphonique (visphing). (Wikipedia)
A ce jour, le Phishing reste le vecteur d'attaque le plus courant. En effet, 80% des cyberattaques réussies ont pour vecteur d'entrée le Phishing (source : baromètre CESIN 2020). En conséquence, de nombreuses entreprises décident de réaliser de manière régulière des campagnes de Phishing inoffensif afin de sensibiliser leurs employés face au danger que cela représente. Malheureusement, de nombreuses campagnes tendent à ne pas avoir l'efficacité escomptée. Celles-ci n'utilisent pas les mêmes caractéristiques techniques que les attaquants, ni les mêmes leviers psychologiques et se font dans les conditions autres que celles d'un attaquant. Ce cours adresse cette problématique : comment rendre efficientes les campagnes de phishing ?
Pour ce faire, le cours est subdivisé en trois grandes parties :
· Une première partie théorique (<1h) :
Dans cette partie nous verrons les différentes étapes théoriques d'une campagne de Phishing. Nous poserons les bases des mécanismes d'authentification de mails, mettrons en évidence leurs faiblesses et montrerons comment les contourner. Nous verrons également les différentes protections mises en place par les services de messageries et comment les contourner.
· Une seconde partie pratique :
Cette partie est le déroulé pratique de la première partie.
Nous verrons dans un premier temps, pas-à-pas, comment mettre en place une campagne de Phishing, de la mise en place des infrastructures à la récupération des informations. Différents scénarios d'attaque seront mis en place selon les protections de l'entité ciblée ; un accent particulier est mis sur les techniques d'usurpation de mails.
Ensuite dans un second temps, les attaques de Phishing par consentement OAuth2 (Consent Phishing Attacks) sur un environnement Cloud Azure sont introduites. Nous verrons, pas-à-pas, comment les mettre en place et comment les organisations peuvent s'en protéger.
Nous parlerons enfin de l'authentification à double facteurs et de ses insuffisances contre certains types d'attaque de phishing. Nous montrerons, de manière très pratique, son insuffisance et comment la contourner lorsqu'elle est mise en place.
· Une troisième partie pratique (Bonus) :
Les différentes mises à jour de la formation seront regroupées dans cette partie.
Avis de non-responsabilité :
Ce cours est fourni uniquement à but éducatif et préventif. Les techniques enseignées devront être appliquées uniquement à des fins de sensibilisation et seulement sur des cibles dont vous avez l'autorisation explicite. En rejoignant ce cours, vous vous déclarez ainsi seul(e) responsable de vos actions, et aucune responsabilité de la part de l'instructeur ne sera engagée quant à la mauvaise utilisation du contenu enseigné.
