Les problèmes de sécurité concernent tout le monde, petit exemple de phishing que nous avons eu dans la semaine sur mon établissement.
Un phishing qui vient d’un collègue, forcément ça passe mieux.
Il est important de concevoir que le phishing n’est pas un problème de diplôme, mais bien d’un état d’esprit. Le niveau d’étude n’intervient pas ici, c’est un problème d’éducation à l’informatique. On peut avoir BAC +5 et pourtant se faire piéger bêtement. Néanmoins, et c’est mon principal reproche, se former à l’informatique et ses problèmes, ça s’apprend. On constate, à l’heure des ChatGPT, des avancées technologiques, la science avance, mais pas forcément les gens.
Mercredi après-midi, l’intégralité du personnel reçoit le message : URGENT COMMANDE PP20393112. Cela provient d’une boîte mail parfaitement identifiée d’un de nos collègues qui aurait pu envoyer un message en lien avec une commande. En voyant le message, on voit qu’il y a une faute, que ce n’est pas très cohérent. Je fais un premier clic et je me rends compte que le lien de partage ne mène pas sur Onedrive mais sur infogram. Il s’agit d’un logiciel de réalisation de diagrammes en ligne. À ce moment, je sais que c’est un phishing mais ce qui me pose un problème, c’est qu’elle provient de la boîte mail du collègue.
Je l’appelle, il n’est pas au courant du message envoyé, j’envoie un message d’alerte à l’intégralité de mes collègues et en copie le responsable informatique national. Il vient de se dérouler vingt minutes. Quelques collègues sont allés au bout de la démarche que je vais vous montrer plus loin.
Des écrans grossiers, et pourtant ça marche.
À la décharge de mes collègues, le message entrait dans le contexte. J’entends par là que le fameux mail qui vient d’un proche pour expliquer qu’il est malade à l’étranger sans moyens de paiement, c’est plus gros. Le collègue en question aurait pu envoyer un message en lien avec une commande. Toutefois, comme on peut le voir dans l’écran suivant, il y avait quand même moyen de se rendre compte qu’il s’agissait d’une arnaque.
Je vous rappelle que nous sommes dans un contexte Office365. Cela signifie que les utilisateurs ont un minimum de connaissance des écrans. Ici en rouge, j’ai encadré l’url qui permet au premier coup d’œil de réaliser qu’on n’est pas sur un site Microsoft. Ensuite, il s’agit vaguement d’un écran Word avec une demande de connexion à son compte Office, ce qui ne se produit jamais.
Et pourtant, dans l’équipe, trois personnes ont donné leurs identifiants en moins de 20 minutes. C’est le temps qu’il a fallu pour que j’appelle, j’envoie la demande de blocage, et je rédige le mail. On rajoutera qu’en moins de 20 minutes donc, trois personnes ont donné leurs identifiants mais d’autres sont allés jusqu’au panneau.
Coup de chance, puisqu’il ne s’agit que d’un vol de données personnelles, ils ont tout de même cliqué sur une série de liens qui aurait pu compromettre leur machine.
Pas si difficile à éviter pourtant
Mes collègues le lendemain m’ont expliqué qu’ils n’ont pas fait attention. Et c’est bien ici le reproche principal.
Dans les mécanismes d’arnaque, de phishing, de spam, on joue principalement sur la peur, l’angoisse, l’urgence, de façon générale, le sentiment. Dans le cas présent, c’est la confiance, ils ont bien reconnu l’adresse professionnelle et la signature.
Pourtant, en faisant un peu attention, en prenant son temps, on pouvait facilement réaliser qu’il s’agissait d’un piège. Ce qui m’a le plus surpris, c’est la rapidité à laquelle mes collègues sont allés se connecter. Nous vivons tellement dans l’urgence que tout devient urgent. Nous recevons tellement de messages, de sollicitations que l’esprit perd ses habitudes défensives.
Il suffit d’être un peu vigilant pour éviter l’ensemble des pièges. Malheureusement, avec l’arrivée des intelligences artificielles, on sait que les pièges vont être de plus en plus sophistiqués. Déjà l’imitation de la voix des proches, demain les images, la vidéo.
Il est important dès à présent de s’armer contre les menaces futures en apprenant à gérer les menaces présentes. Un peu d’attention, un peu de questionnement suffisent pour ne pas se faire prendre au piège.
Tu prends la solution à l’envers : pourquoi devraient-ils faire attention ?
Déjà y’a Cyrille Borne qui veille. Ensuite ça ne les concerne pas directement (ils ne vont rien perdre à titre personnel).
Donc faut comprendre les gens : comme tu dis y’a les injonctions à l’urgence, etc.