Le système de fichier interplanétaire (IPFS) est un système distribué de fichiers pair à pair permettant aux utilisateurs d’échanger des fichiers d’un bout de la planète à l’autre. Contrairement aux systèmes centralisés, l’IPFS utilise un adressage réalisé en fonction d’identifiants de contenu uniques (CID), et non de chemins d’accès aux fichiers. Le fichier en lui-même est stocké dans l’ordinateur de l’utilisateur qui l’a transféré à l’IPFS, et son téléchargement se fait directement à partir de cet ordinateur. Par défaut, le chargement et le téléchargement d’un fichier sur l’IPFS nécessite un logiciel spécial (client IPFS). Pour que les utilisateurs puissent consulter librement les fichiers résidant dans l’IPFS sans installer un tel logiciel, des "passerelles" sont mises à leur disposition.

En 2022, les arnaqueurs ont commencé à activement utiliser l’IPFS pour soutenir leurs attaques de phishing par email. Ils procèdent en plaçant un fichier HTML contenant un formulaire d’hameçonnage dans l’IPFS, et utilisent des passerelles comme proxy, afin que les victimes puissent ouvrir le fichier, qu’elles exécutent ou non un client IPFS sur leur appareil. Les cybercriminels intègrent également des liens d’accès aux fichiers via une passerelle dans les messages d’hameçonnage envoyés à leurs victimes potentielles.

L’utilisation d’un système de fichiers distribués permet aux agresseurs de réduire les coûts d’hébergement des pages d’hameçonnage. En outre, il est impossible de supprimer l’IPFS d’un fichier chargé par une tierce personne. Si quelqu’un veut qu’un fichier disparaisse complètement du système, il peut enjoindre les propriétaires de ce dernier à le supprimer, mais il y a fort à parier que cette méthode ne fonctionne jamais avec les cybercriminels.

De leur côté, les fournisseurs de passerelles IPFS essayent de combattre le phishing utilisant la technologie IPFS en supprimant régulièrement des liens de fichier frauduleux.

Notification de suppression d’une page de hameçonnage

Cependant, la détection et la suppression des liens au niveau des passerelles ne se fait pas toujours aussi rapidement que le blocage d’un site d’hameçonnage, d’un formulaire cloud, ou d’un fichier malveillant. Les adresses URL de fichiers IPFS sont apparues pour la première fois en octobre 2022. Pour l’instant, la campagne est toujours active, et Kaspersky oeuvre toujours pour la contrer.

Les lettres d’hameçonnage qui comportent des liens IPFS ne sont jamais très originales, leur contenu ne se différencie pas des messages de phishing traditionnels, visant à obtenir les identifiant de connexion des victimes. Ce qui est intéressant dans cette technique, c’est la destination des liens des pages HTML.

Exemple de page HTML utilisée comme leurre

Les paramètres URL contiennent l’adresse email du destinataire. Une fois modifié, le logo de l’entreprise qui figure en haut du formulaire de phishing et l’adresse email saisie dans le champ de connexion changent également. De cette façon, un seul lien peut être utilisé pour plusieurs campagnes de phishing et pour viser différents utilisateurs. Un même lien peut d’ailleurs être utilisé dans des dizaines de campagnes distinctes.
Fin 2022, Kaspersky a relevé en moyenne deux courriels d’hameçonnage distribués à 15 000 IPFS par jour. A compter de 2023, le phishing via IPFS a pris de l’ampleur, atteignant plus de 24 000 messages diffusés par jour en janvier et février.

Dynamique du nombre d’attaques de phishing par IPFS, novembre 2022 - février 2023.

C’est en février que le plus grand nombre d’opérations d’hameçonnage IPFS a été enregistré, avec près de 400 000 messages analysés par les chercheurs, soit 100 000 de plus comparé aux mois de novembre et décembre 2022.

Distribution des lettres d’hameçonnage IPFS par mois, novembre 2022 - février 2023
« Les cybercriminels utilisent et utiliseront toujours des technologies de pointe pour faire du profit. Nous avons récemment observé une hausse du nombre d’attaques de phishing via IPFS, sur des campagnes de masse comme sur des offensives plus ciblées. Le système de fichiers distribué permet aux arnaqueurs d’économiser sur l’achat de domaine. De surcroît, il n’est pas possible de supprimer le fichier complètement, bien que des tentatives soient faites pour lutter contre les utilisations frauduleuses de la passerelle IPFS. La bonne nouvelle est que les solutions anti-spam détectent et bloquent les liens vers les fichiers d’hameçonnage IPFS, comme n’importe quel autre lien malveillant. Les produits Kaspersky, notamment, utilisent un certain nombre de méthodes pour détecter les tentatives de phishing dans l’IPFS, » commente Roman DeDenok, expert en sécurité chez Kaspersky.