Le phishing, cette redoutable technique qui nous pousse à cliquer sur des mails inconnus alors même qu’on est bien conscient des risques<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Le phishing, cette redoutable technique qui nous pousse à cliquer sur des mails inconnus alors même qu’on est bien conscient des risques
©Reuters

Cheval de Troie

Environ une personne sur deux cliquerait sur un mail ou un post Facebook provenant d'un expéditeur inconnu, et ce, tout en étant conscient des risques que cela peut engendrer. C'est la conclusion à laquelle est arrivée une enquête de la FAU (University of Erlangen-Nuremberg). La faute à l'une des nombreuses failles humaines : la curiosité.

Denis Jacopini

Denis Jacopini

Denis Jacopini est expert de justice en informatique spécialisé en cybercriminalité et en RGPD (Protection des Données à Caractère Personnel).

Il réalise des audits RGPD et des mises en conformité RGPD et sous forme de conférences de formations ou d’interventions, dans la France Entière et à l’étranger sur les sujets de la Cybercriminalité et du RGPD, il sensibilise et accompagne les entreprises en vue d’améliorer ou de mettre en conformité de leur système d’information.

Diplômé en droit de l’expertise judiciaire, en cybercriminalité droit et sécurité de l’information, en investigation numérique pénale et certifié en gestion des risques sur les systèmes d’information, par son profil atypique pédago-technico-juridique, il est régulièrement contacté par des médias tels que C8, LCI, NRJ12, D8, France 2, Le Monde Informatique, Europe 1, Sud Radio, Atlantico pour vulgariser ces sujets et est également intervenu au Conseil de l’Europe à l’occasion de la conférence annuelle sur la lutte contre la cybercriminalité « Octopus ».

Auteur du livre « CYBERARNAQUES » (Plon 2018), diplômé en Cybercriminalité, Droit, Sécurité de l’information, informatique Légale, en Droit de l’Expertise Judiciaire et Certifié en Gestion des Risque sur les Systèmes d’Information (ISO 27005 Risk Manager), avant de devenir indépendant, il a été pendant une vingtaine d'année à la tête d'une société spécialisée en sécurité Informatique.

Denis JACOPINI peut être contacté sur :

http://www.leNetExpert.fr/contact

Voir la bio »

Atlantico : Selon une enquête de la FAU (University of Erlangen-Nuremberg), près de la moitié des internautes cliqueraient sur des liens d’expéditeurs inconnus (environ 56% d'utilisateurs de boîte mail et 40% d'utilisateurs de Facebook), tout en étant parfaitement conscients des risques de virus ou d'autres infections. Pourquoi donc, selon vous, le font-ils malgré tout ? Qu'est-ce qui rend un mail d'un inconnu si attirant, quitte à nous faire baisser notre garde ?

Denis Jacopini : Cela vous est très probablement déjà arrivé de recevoir un e-mail provenant d’un expéditeur anonyme ou inconnu. Avez-vous résisté à cliquer pour en savoir plus ? Quels dangers se cachent derrière ces sollicitations inhabituelles ? Comment les pirates informatiques peuvent-ils se servir de nos comportements incontrôlables ?

Aujourd’hui encore, on peut comparer le courrier électronique au courrier postal.

Cependant, si l’utilisation du courrier postal est en constante diminution (-22% entre 2009 et 2014), l’usage des messages électroniques par logiciel de messagerie ou par messagerie instantanée a lui par contre largement augmenté.

Parmi les messages reçus, il y a très probablement des réponses attendues, des informations souhaitées, des messages de personnes ou d’organismes connus nous envoyant une information ou souhaitant de nos nouvelles, et quelques autres messages que nous recevons avec plaisir de personnes connues, et puis il y a tout le reste : les messages non attendus, non désirés qui s’appellent des spams.

En 2015, malgré les filtres mis en place par les fournisseurs de systèmes de messagerie, il y avait tout de même encore un peu plus de 50% de messages non désirés.

Parmi ces "pourriels" (poubelle + e-mail) se cachent de nombreux messages ayant des objectifs malveillants à votre égard. Les risques les plus répandus sont les incitations au téléchargement d’une pièce jointe, au clic sur un lien renvoyant vers un site Internet piégé, ou vous proposer d’échanger dans le but de faire "copain copain" et ensuite de vous arnaquer.

La solution : ne pas cliquer sur un e-mail ou un message provenant d’un inconnu, de la même manière qu’on apprend aux enfants à ne pas parler à un inconnu… Pourtant, des millions de personnes en France se font piéger chaque année. Pourquoi ? A mon avis, les techniques d’ingénierie sociale sont à la base de ces correspondances. L’ingénierie sociale est une pratique qui exploite les failles humaines et sociales. L’attaquant va utiliser de nombreuses techniques dans le but d’abuser de la confiance, de l'ignorance ou de la crédulité des personnes ciblées.

Imaginez-vous recevoir un message ressemblant à ça :

"Objet : changements dans le document 01.08.16

Expéditeur : Prénom et Nom d’une personne inconnue

Bonjour,

Nous avons fait tous les changements necessaires dans le document.

Malheureusement, je ne comprends pas la cause pour laquelle vous ne recevez pas les fichiers joints.

J'ai essaye de remettre les fichiers joints dans le mail".

Dans cet exemple, on ne connaît pas la personne, on ne connaît pas le contenu du document, mais la personne sous-entend un nouvel envoi qui peut laisser penser à une ultime tentative. Le document donne l’impression d’être important, le ton est professionnel, il n’y a pas trop de fautes d’orthographe… Difficile de résister au clic pour savoir ce qui se cache dans ce mystérieux document.

Un autre exemple d’e-mail similaire souvent reçu :

"Objet : Commande - CD2533

Expéditeur : Prénom et Nom d’une personne inconnue

Madame, Monsieur,

Nous vous remercions pour votre nouvelle "Commande - CD2533".

Nous revenons vers vous au plus vite pour les delais

Meilleures salutations,

VEDISCOM SECURITE"

En fait, bien évidemment pour ce message aussi, la pièce jointe contient un virus, et si le virus est récent et s’il est bien codé, il sera indétectable par tous les filtres chargés de la sécurité informatique de votre patrimoine immatériel.

Auriez-vous cliqué ? Auriez-vous fait partie des dizaines ou centaines de milliers de personnes qui auraient pu se faire piéger ?

Un autre exemple : vous recevez sur Facebook un message venant à première vue d’un inconnu mais l’expéditeur a un prénom que vous connaissez (par exemple Marie, le prénom le plus porté en France en 2016). Serait-ce la "Marie" dont vous ne connaissez pas le nom de famille, rencontrée par hasard lors d’un forum ou d’une soirée, qui vous aurait retrouvé sur Facebook ?

Dans le doute, vous l’acceptez comme amie pour en savoir plus et engager pourquoi pas la conversation…

C’est un autre moyen utilisé par les pirates informatiques pour rentrer dans votre cercle d’amis et probablement tenter des actes illicites que je ne détaillerai pas ici.

Vous rappelez-vous avoir accepté une demande de mise en contact provenant d’un inconnu sur Facebook ? Peut-être que vous ne connaissiez pas les risques, mais qu’est-ce qui vous a poussé à répondre à un inconnu ? La politesse ? La curiosité ?

A mon avis, le principal levier utilisé pour pousser les gens à cliquer sur les emails pour en voir l’objet, cliquer sur les pièces jointes pour en voir le contenu, ou cliquer sur les liens pour découvrir la suite, est l'une des nombreuses failles humaines : la curiosité.

Cette curiosité peut nous faire faire des choses complètement irresponsables, car on connaît les dangers des pièces jointes ou des liens dans les e-mails. Malgré cela, si notre curiosité est éveillée, il sera difficile de résister au clic censé la satisfaire.

Il est clair que la curiosité positive est nécessaire, mais dans notre monde numérique où les escrocs et pirates oeuvrent en masse (le plus souvent en toute discrétion et en toute impunité), la pollution des moyens de communication numérique grand public est telle que le niveau de prudence doit être augmenté, au point de ne plus laisser de place au hasard. Le jeu en vaut-il vraiment la chandelle face aux graves conséquences que peut engendrer un simple clic mal placé ?

Comment peut-on se prémunir des risques que notre curiosité mal placée à l'égard de ces mails/posts peut engendrer ?

Au-delà des consignes de sécurité de base relatives aux paramétrages des postes informatiques, aux outils et méthodes que j’enseigne dans les formations que j’anime, je conseille les règles suivantes :

  1. 1) Si vous le pouvez, n’ouvrez que des messages attendus d’expéditeurs connus.

  2. 2/ N’ouvrez les pièces jointes qu’après avoir procédé à leur vérification (par exemple avec virustotal.com).

  3. 3) Ne cliquer sur les liens qu’après avoir suivi des mesures de base mais essentielles en matière de sécurité sur votre système.

  4. 4) Un inconnu vous offre des fleurs ? Méfiez-vous ! Et pas seulement pour les fleurs ! Ce que je veux vous faire comprendre, c’est que ce qui est payant hors Internet sera aussi payant sur Internet, et en général, rien n’est véritablement gratuit. Une contrepartie est toujours cachée.

  5. 5) Vous avez une demande d’amis Facebook ? Sachez que si votre compte n’est pas suffisamment protégé, vous allez donner des privilèges sur votre compte et auprès de vos amis à ce nouvel arrivant. Si vous ne le connaissez pas personnellement, abstenez-vous. La course aux amis peut être votre pire ennemi.

  6. 6) S'informer ou se former régulièrement pour être tenu informé des techniques utilisées par les escrocs du Net.

Y a-t-il d'autres dangers informatiques qui nous font réagir de la même manière ?

Imaginez-vous être tranquillement en train de faire quelque chose et tout à coup le téléphone sonne. Le temps de prendre l’appareil pour décrocher, soit la sonnerie s’arrête, soit vous décrochez trop tard. Ou encore, vous venez de recevoir un appel téléphonique. Vous décrochez et aboutissez sur un message pré-enregistré ou vous écoutez un message vocal de la part d’un numéro que vous ne reconnaissez pas, vous incitant à le rappeler (ces actes sont appelés des "ping calls" ou des "back calls"). Quelle serait votre réaction ? Peut-on rappeler ou pas ?

En tout cas, celle de millions de personnes est de rappeler pour en savoir plus sur la raison de l’appel (important ? urgent ? gain à retirer ?). Dans quasiment tous les cas, le piège est en fait dans le numéro à composer qui est surtaxé. Généralement en France, les numéros surtaxés commencent par "08 9", mais dans notre formation destinée à sensibiliser les décideurs et utilisateurs, nous permettons aux stagiaires de découvrir qu’il existe de très nombreux autres numéros surtaxés.

De la même manière que celles expliquées précédemment, les pirates informatiques utilisent les failles humaines, et en particulier notre curiosité, pour nous manipuler en se servant de nos comportements incontrôlables au travers du téléphone.

Dans le cas des appels téléphoniques, la manipulation va encore plus loin. Un appel qui dit  "J'’ai pas le temps de t’expliquer, s’il te plait, rappelle-moi vite au 08 99…" ou bien "Le nombre de points sur votre permis vient d'être mis à jour, merci de rappeler le 08 99…"  font appel à d’autres choses que la simple curiosité. Ils éveillent l’inquiétude ou la peur, nous poussant ainsi à rappeler rapidement.

A ce jour, on peut considérer qu’en France, grâce au bouche-à-oreille, à l’enseignement d’Internet à l’école et aux campagnes de sensibilisation et de formation, même les personnes qui n’ont jamais touché un ordinateur savent ou ont entendu parlé des risques venant d’Internet, de ses e-mails, des appels téléphoniques malveillants, et sont au courant de la prudence que nécessite l’usage de nos moyens de communication actuels.

Cependant, il est édifiant de remarquer que malgré les outils de sécurité proposés et mis en place dans la quasi-totalité des ordinateurs, les arnaques, les piratages et les infections virales ou "malwarales" que composent les principaux délits de la cybercriminalité continuent à faire autant de victimes.

Les mécanismes se cachant derrière les e-mails ou appels d’inconnus sont souvent les mêmes :

  • La curiosité : si l’e-mail de l’expéditeur est bien construit, il va éveiller la curiosité de son destinataire. Il va inciter à consulter son contenu ou à cliquer sur le lien nous promettant encore plus d’informations ;
  • La promesse : comment résister à un cadeau, une réduction etc. avec les ingrédients nécessaires pour réagir vite pour qu’on en oublie que l’expéditeur ne nous est pas connu. L’offre est si belle que nous classons ce mystérieux correspondant du côté des braves personnes avec toute l’émotion qu’on réserve normalement aux amis. Lire son e-mail, ouvrir sa pièce jointe ou cliquer sur son lien est forcément bienveillant, comme son message l’a laissé paraître…;
  • La peur : l’identité de l’expéditeur n’est pas connue, mais ce qu’on risque de perdre est, lui, bien porté à notre connaissance. L’impact du message sera d’autant plus fort s’il nous donne l’impression d’avoir le privilège d’avoir sur un plateau quelque chose d’officiel ou d’important dont nous devons immédiatement prendre connaissance.

Basées sur des mécanismes d’ingénierie sociale et ficelées par des techniques souvent tirées de la PNL (Programmation neuro-linguistique), les tromperies touchent toujours plus de TIC (Technologies de l’information et de la communication).

Il n’existe aucun médicament ou traitement pour corriger nos failles, et lors de certaines des conférences que j’anime ou des tables rondes auxquelles je suis invité, je ne cesse, en quelques mots, de démontrer que face aux différentes infractions relatives à la cybercriminalité, seule une très petite minorité peuvent être contrées par des moyens technologiques. La plus grande partie des victimes sont touchées par manipulation de leurs failles comportementales, contre lesquelles la technologie semble bien désarmée. Cependant, il devient plus qu’urgent de sensibiliser les décideurs et les utilisateurs de toutes ces techniques utilisées par les cybercriminels car si le loup peut prendre plusieurs formes et si on souhaite éviter de faire rentrer le loup dans sa bergerie, le mieux est de savoir à quoi ressemble le loup...

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !