Atlantico, c'est qui? c'est quoi ?
Mercredi 20 Juin 2018 | Créer un compte | Connexion
Extra

Le phishing, cette redoutable technique qui nous pousse à cliquer sur des mails inconnus alors même qu’on est bien conscient des risques

Environ une personne sur deux cliquerait sur un mail ou un post Facebook provenant d'un expéditeur inconnu, et ce, tout en étant conscient des risques que cela peut engendrer. C'est la conclusion à laquelle est arrivée une enquête de la FAU (University of Erlangen-Nuremberg). La faute à l'une des nombreuses failles humaines : la curiosité.

Cheval de Troie

Publié le
Le phishing, cette redoutable technique qui nous pousse à cliquer sur des mails inconnus alors même qu’on est bien conscient des risques

Atlantico : Selon une enquête de la FAU (University of Erlangen-Nuremberg), près de la moitié des internautes cliqueraient sur des liens d’expéditeurs inconnus (environ 56% d'utilisateurs de boîte mail et 40% d'utilisateurs de Facebook), tout en étant parfaitement conscients des risques de virus ou d'autres infections. Pourquoi donc, selon vous, le font-ils malgré tout ? Qu'est-ce qui rend un mail d'un inconnu si attirant, quitte à nous faire baisser notre garde ?

Denis Jacopini : Cela vous est très probablement déjà arrivé de recevoir un e-mail provenant d’un expéditeur anonyme ou inconnu. Avez-vous résisté à cliquer pour en savoir plus ? Quels dangers se cachent derrière ces sollicitations inhabituelles ?

Comment les pirates informatiques peuvent-ils se servir de nos comportements incontrôlables ?

Aujourd’hui encore, on peut comparer le courrier électronique au courrier postal.

Cependant, si l’utilisation du courrier postal est en constante diminution (-22% entre 2009 et 2014), l’usage des messages électroniques par logiciel de messagerie ou par messagerie instantanée a lui par contre largement augmenté.

Parmi les messages reçus, il y a très probablement des réponses attendues, des informations souhaitées, des messages de personnes ou d’organismes connus nous envoyant une information ou souhaitant de nos nouvelles, et quelques autres messages que nous recevons avec plaisir de personnes connues, et puis il y a tout le reste : les messages non attendus, non désirés qui s’appellent des spams.

En 2015, malgré les filtres mis en place par les fournisseurs de systèmes de messagerie, il y avait tout de même encore un peu plus de 50% de messages non désirés.

Parmi ces "pourriels" (poubelle + e-mail) se cachent de nombreux messages ayant des objectifs malveillants à votre égard. Les risques les plus répandus sont les incitations au téléchargement d’une pièce jointe, au clic sur un lien renvoyant vers un site Internet piégé, ou vous proposer d’échanger dans le but de faire "copain copain" et ensuite de vous arnaquer.

La solution : ne pas cliquer sur un e-mail ou un message provenant d’un inconnu, de la même manière qu’on apprend aux enfants à ne pas parler à un inconnu… Pourtant, des millions de personnes en France se font piéger chaque année. Pourquoi ? A mon avis, les techniques d’ingénierie sociale sont à la base de ces correspondances. L’ingénierie sociale est une pratique qui exploite les failles humaines et sociales. L’attaquant va utiliser de nombreuses techniques dans le but d’abuser de la confiance, de l'ignorance ou de la crédulité des personnes ciblées.

Imaginez-vous recevoir un message ressemblant à ça :

"Objet : changements dans le document 01.08.16

Expéditeur : Prénom et Nom d’une personne inconnue

Bonjour,

Nous avons fait tous les changements necessaires dans le document.

Malheureusement, je ne comprends pas la cause pour laquelle vous ne recevez pas les fichiers joints.

J'ai essaye de remettre les fichiers joints dans le mail".

Dans cet exemple, on ne connaît pas la personne, on ne connaît pas le contenu du document, mais la personne sous-entend un nouvel envoi qui peut laisser penser à une ultime tentative. Le document donne l’impression d’être important, le ton est professionnel, il n’y a pas trop de fautes d’orthographe… Difficile de résister au clic pour savoir ce qui se cache dans ce mystérieux document.

Un autre exemple d’e-mail similaire souvent reçu :

"Objet : Commande - CD2533

Expéditeur : Prénom et Nom d’une personne inconnue

Madame, Monsieur,

Nous vous remercions pour votre nouvelle "Commande - CD2533".

Nous revenons vers vous au plus vite pour les delais

Meilleures salutations,

VEDISCOM SECURITE"

En fait, bien évidemment pour ce message aussi, la pièce jointe contient un virus, et si le virus est récent et s’il est bien codé, il sera indétectable par tous les filtres chargés de la sécurité informatique de votre patrimoine immatériel.

Auriez-vous cliqué ? Auriez-vous fait partie des dizaines ou centaines de milliers de personnes qui auraient pu se faire piéger ?

 
Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Denis Jacopini

Denis JACOPINI, Expert Judiciaire en informatique spécialisé en cybercriminalité et en RGPD (Protection des Données à Caractère Personnel).

Sous forme de conférence de formations ou d’interventions, dans la France Entière et à l’étranger sur les sujets de la Cybercriminalité et du RGPD, il sensibilise et accompagne les entreprises en vue d’améliorer ou de mettre en conformité de leur système d’information.

Par son profil atypique pédago-technico-juridique, il est régulièrement contacté par des médias tels que C8, LCI, NRJ12, D8, France 2, Le Monde Informatique, Europe 1, Sud Radio, Atlantico pour vulgariser ces sujets et est également intervenu au Conseil de l’Europe à l’occasion de la conférence annuelle sur la lutte contre la cybercriminalité « Octopus ».

Auteur du livre « CYBERARNAQUES » (Plon 2018), diplômé en Cybercriminalité, Droit, Sécurité de l’information, informatique Légale, en Droit de l’Expertise Judiciaire et Certifié en Gestion des Risque sur les Systèmes d’Information (ISO 27005 Risk Manager), avant de devenir indépendant, il a été pendant une vingtaine d'année à la tête d'une société spécialisée en sécurité Informatique.

Denis JACOPINI peut être contacté sur :

http://www.leNetExpert.fr/contact

Voir la bio en entier

Je m'abonne
à partir de 4,90€