Gare au phishing! On y pense, mais on oublie…
«Votre boite aux lettres est presque pleine». Ce courriel – comportant une adresse d’expéditeur fantaisiste, un lien frauduleux et une orthographe peu usuelle – a été envoyé à près de 30 800 personnes à la fin de l’année dernière. Beaucoup n’y ont vu que du feu… Il faut donc encore aiguiser nos réflexes face aux cybermenaces, mais un progrès est constaté depuis 2018, date de la première campagne de sensibilisation au sein de l’État.
La cybercriminalité est un danger aujourd’hui permanent, aussi bien pour les privés que pour les entreprises et les administrations publiques. On croit être conscient du phénomène, on y pense, et pourtant on oublie vite… C’est justement pour ne pas oublier qu’un cinquième exercice de sensibilisation au phishing*, ou hameçonnage, était organisé entre le 28 novembre et le 4 décembre derniers au sein de l’État de Vaud pour évaluer la vigilance de ses collaboratrices et collaborateurs vis-à-vis des menaces qui fleurissent sur le net. Élaborée conjointement par la Direction générale du numérique et des systèmes d’information (DGNSI), la Direction générale de l’enseignement obligatoire (DGEO) et, pour la première fois, par la Direction générale de l’enseignement postobligatoire (DGEP), cette campagne de sensibilisation a livré ses résultats. C’est satisfaisant, pourtant des efforts restent à faire et des systématiques à acquérir !
Lors de cette action commune et anonyme, 30 719 destinataires** ont reçu un courriel leur signalant que leur boîte aux lettres était presque pleine, qu’il fallait rapidement y faire de l’ordre ou demander (via un lien « frauduleux » dans le mail) une augmentation temporaire du quota autorisé. Une thématique dans l’air du temps, qui touche tout le monde, ou presque. Qui, en effet, n’utilise pas, et de plus en plus, sa messagerie électronique?
"Nous constatons tout de même un mieux par rapport aux campagnes précédentes"
Résultats chiffrés
Une brève analyse des résultats globaux des trois domaines concernés (administration, DGEO, DGEP) a permis de constater que, selon les domaines, entre 12 et 15% des personnes ont cliqué sur le lien et qu’entre 3 et 5% ont même soumis leur identifiant. En chiffres, cela représente près de 4000 usagères et usagers qui ont cliqué sur le lien incriminé et 1140 qui ont saisi des identifiants.
«Évidemment, cela n’est pas parfait, mais nous constatons tout de même un mieux par rapport aux campagnes précédentes, même s’il est difficile de comparer les résultats, puisque le thème soumis était moins ciblé sur une prestation étatique, et que le périmètre était plus large cette année», explique Sam Vuilleumier, spécialiste en sécurité de l’information à la DGNSI et l’une des chevilles ouvrières de cette cinquième campagne de sensibilisation.
Une mise en garde préalable
Cette amélioration des réflexes de prudence et de vigilance est peut-être également due au message de sensibilisation et de mise en garde envoyé le 23 novembre, une semaine avant le début de la campagne, aux mêmes destinataires, les rendant attentifs aux dangers du phishing et leur rappelant les bonnes pratiques.
«Pour cette dernière campagne, nous avons en effet décidé de renverser le processus pédagogique en envoyant un message de sensibilisation avant l’exercice et non après, comme cela s’était fait jusqu’alors. Cela a sans doute joué un rôle», confirme le spécialiste de la DGNSI.
Plus crédible que jamais!
Les progrès de l’intelligence artificielle obligent également les experts en sécurité numérique d’affiner leurs messages de mise en garde. Les cybercriminels se sont professionnalisés et ont désormais trouvé un allié de taille avec les outils de l’IA capables d’écrire parfaitement le français, ou de traduire en n’importe quelle langue, et de créer de façon tout à fait crédible l’illusion d’un message officiel. Les logos, le ton, la forme: tout y est. Compter sur une grossière faute d’orthographe ou sur une rédaction maladroite ne suffit plus à nous rendre méfiants.
La sensibilisation a forcément un caractère répétitif: «Il faut sans cesse remettre l’ouvrage sur le métier, faire des piqûres de rappel, expliquer quoi et comment vérifier. C’est la seule façon de faire évoluer les réflexes en matière de cyberrésilience», conclut Sam Vuilleumier. C’est pourquoi d’autres campagnes seront organisées régulièrement. Préparons-nous! (MHJ)
*Le phishing est une technique de cybercriminalité qui consiste à tromper les utilisateurs pour qu’ils divulguent des informations sensibles, telles que des mots de passe, des numéros de carte de crédit ou des informations personnelles ou qu’ils cliquent sur un lien malveillant. Les attaques de phishing sont de plus en plus courantes et peuvent causer des dommages importants aux privés et aux entreprises.
**14 814 personnes travaillant à l’administration cantonale, 11 595 à la DGEO et 4310 à la DGEP.
À lire ou à relire :
Les résultats de la campagne précédente (Gazette du 29 mars 2023)
Les recommandations de la police (site officiel votrepolice.ch)
Intelligence artificielle : les mises en garde de la Confédération (ICT Journal du 22 janvier 2024)
Les indices
Les supports
La messagerie électronique reste le canal le plus prisé des cybercriminels. Cependant, les tentatives d’hameçonnage empruntent souvent d’autres voies. Tour d’horizon.
Phishing (e-mails), vishing et spoofing (téléphone), smishing (SMS et messageries instantanées), quishing (QR code) : voici quelques termes un peu barbares pour qualifier une même forme d’escroquerie, qui peut aussi se faire par courrier postal : l’abus de confiance.
Quels que soient les moyens utilisés, les pirates informatiques se font passer pour des experts (police, pompiers, hôpitaux, helpdesks, service sécurité, avocats, notaires, etc.) et proposent un scénario : accident, problème à l’étranger, maladie, cybermenace, menace de détournement de fonds, cambriolage, aide sociale, etc.
Les cyberpirates font preuve d’énormément d’imagination. Lorsqu’ils sont à court d’idées, il leur suffit de demander aux outils d’intelligence artificielle d’effectuer le travail à leur place – ceci dans plusieurs langues et sans plus aucune faute d’orthographe ou grammaticale –, et le tour est joué.
Quelques clics de plus peuvent suffire aux criminels pour usurper une identité légitime en proposant, une minute plus tard, une copie parfaite du site internet d’une banque ou d’une autre institution, qui permettra de détourner des fonds ou des informations confidentielles.
Une minute suffit aussi à ces personnes malveillantes pour falsifier à leur guise le numéro de téléphone affiché (spoofing) et tenter une fraude par téléphone (vishing). Sans compter la falsification de QR codes qui ouvre des portes à d’autres tentatives de fraudes, en particulier celles qui permettent de détourner les paiements.
En résumé : la méfiance et l’esprit critique sont mis à l’épreuve à chaque moment de nos vies d’internautes. Le simple bon sens reste un rempart redoutable pour échapper à la cybercriminalité. Ne l’oublions pas!
Les scénarios
Les cybercriminels utilisent souvent des tactiques basées sur l’urgence et la peur pour inciter les utilisatrices et utilisateurs à divulguer des informations sensibles. Voici quelques exemples de scénarios courants de phishing les plus prisés.
- Faux courriel de la direction : les cybercriminels peuvent se faire passer pour des membres de la direction de l’entreprise et envoyer des courriels informant d’un faux changement de coordonnées bancaires ou demandant des informations sensibles, telles que des mots de passe ou des numéros de carte de crédit.
- Faux courriel du service informatique : les cybercriminels peuvent se faire passer pour des membres du service informatique et envoyer des courriels demandant aux utilisateurs de cliquer sur des liens ou de télécharger des fichiers malveillants.
- Faux courriel de votre banque : les cybercriminels peuvent se faire passer pour des représentants de banques et envoyer des courriels demandant aux utilisateurs de fournir des informations de compte.
- Faux courriel de livraison : les cybercriminels peuvent se faire passer pour des entreprises de livraison et envoyer des courriels demandant aux utilisateurs de cliquer sur des liens ou de télécharger des fichiers malveillants.
- Faux courriel de réinitialisation de mot de passe : les cybercriminels peuvent envoyer des courriels demandant aux utilisateurs de réinitialiser leur mot de passe. Ces courriels peuvent contenir des liens malveillants qui redirigent les utilisateurs vers des sites web frauduleux.
Les bons réflexes
Le phishing est une menace croissante pour les privés, les entreprises et les administrations, et il est important de sensibiliser la population à cette menace.
- Soyez vigilant : soyez attentif aux courriels et aux messages suspects. Si vous recevez un courriel ou un message qui vous semble suspect, ne cliquez pas sur les liens ou les pièces jointes. Contactez plutôt l’expéditeur pour vérifier l’authenticité du message.
- Vérifiez l’adresse de l’expéditeur : les cybercriminels peuvent utiliser des adresses de courriel qui ressemblent à celles d’entreprises légitimes. Vérifiez toujours l’adresse de l’expéditeur avant de répondre à un courriel.
- Méfiez-vous des demandes urgentes : les cybercriminels peuvent utiliser des tactiques de peur pour vous inciter à divulguer des informations sensibles. Si vous recevez une demande urgente, prenez le temps de vérifier l’authenticité de la demande avant de répondre.
- Utilisez des mots de passe forts : utilisez des mots de passe forts et différents pour chaque compte. Évitez d’utiliser des mots de passe évidents tels que votre date de naissance ou votre nom.
- Soyez à jour : assurez-vous que votre système d’exploitation et vos logiciels sont à jour. Les mises à jour de sécurité peuvent aider à protéger votre ordinateur contre les attaques de phishing.
- Sauvegardez vos données : pensez à sauvegarder régulièrement vos données importantes sur un support que vous déconnectez ensuite pour qu’il reste inaccessible aux pirates, aux virus et au feu.