Arnout Van de Meulebroucke

Le paradoxe du phishing: pourquoi une appli ne suffit pas pour apprendre à (re)connaître le phishing

Arnout Van de Meulebroucke Arnout Van de Meulebroucke est le fondateur et CEO de Phished.

Dans le cadre de l’European Cybersecurity Month organisé ce mois-ci, nous avons rencontré quelques experts en cybercriminalité. Cela s’est traduit par une vision claire de la différence encore et toujours existante entre la façon dont nous envisageons et parlons de choses comme l’hameçonnage (phishing), et la manière dont cela se passe vraiment ‘dans le monde réel’.

Nous avons ainsi discuté notamment avec le commissaire de police Stijn De Ridder, et avec Catherine Van de Heyning, professeure en European Law et substitut du procureur du Roi, tous deux spécialisés en cybercriminalité. Nous en avons tiré trois grandes leçons.

1: Le paradoxe du phishing

La semaine dernière, le Center for Cybersecurity Belgium (CCB) lançait sa nouvelle appli. Cette dernière combine des nouvelles et des informations liées notamment à des campagnes d’hameçonnage qui circulent pour le moment et font de nombreuses victimes. Une belle initiative qui n’aura toutefois pas l’impact requis.

Stijn De Ridder aime évoquer le ‘Phishing Paradox‘: tout un chacun connaît désormais dans les grandes lignes le phénomène de l’hameçonnage et pourquoi il représente un danger pour notre portefeuille. On observe cependant quotidiennement qu’il existe encore et toujours une grande différence entre connaître et reconnaître. Mêmes les administrateurs IT expérimentées tombent encore régulièrement dans les pièges du phishing qu’on leur tend de manière éthique, s’entend.

Le paradoxe du phishing: pourquoi une appli ne suffit pas pour apprendre à (re)connaître le phishing.

De Ridder a également constaté que la grande majorité des dépositions faites auprès des services de police portent encore et toujours sur de simples mails frauduleux. Le spear phishing se voit traditionnellement attribuer un taux de succès supérieur, mais en chiffres absolus, il est encore et toujours dépassé par les simples messages de phishing traditionnels.

2: Cela risque encore d’empirer fortement

Deux conclusions étonnantes qui font craindre le pire, peuvent être tirées de nos conversations. La première, c’est que le méfait traditionnel – intrusions, agressions,… – diminue depuis avant la pandémie du corona. Tout comme le citoyen lambda, les hackers semblent également avoir découvert la facilité et le confort du télétravail. En outre, la cybercriminalité est en tant que business model très évolutive et, évidemment, lucrative.

En outre, il n’est pas vraiment simple d’atteindre le top de la pyramide criminelle. Il y a tellement d’acteurs différents concernés par les poursuites qu’il y a toujours un tas de hackers qui parviennent à s’en tirer. Les services de police doivent en effet collaborer avec des tribunaux, banques, magasins web, fournisseurs télécoms,… La complexité de la problématique incite quotidiennement de nouveaux hameçonneurs à prendre le relais.

Ensuite, Van de Heyning a aussi évoqué un sous-produit déplaisant de l’actuelle crypto-compétition. Les mules financières d’antan sont progressivement remplacées par des bitcoin mules. Le bitcoin et d’autres crypto-espèces compliquent encore le traçage de l’argent par rapport aux flux financiers conventionnels. Anonymat quasi garanti oblige.

De plus, les maillons de cette crypto-chaîne ne sont plus exclusivement de mauvais gré. Les bitcoin mules sont au contraire toujours plus souvent des particuliers bien intentionnés qui estiment militer pour une oeuvre légitime. Ils ont été engagés pour exécuter des transactions en bitcoin et se retrouvent subitement face aux services de police. Dénicher les têtes pensantes devient de plus en plus compliqué.

3: Une appli uniquement informative ne nous sauvera pas

Le CCB est plein de bonnes intentions, mais une appli uniquement informative ne fera pas la différence. En plus d’un nombre restreint d’installations, on aboutit en effet de nouveau dans le paradoxe du phishing: connaître et reconnaître sont des choses différentes.

Van de Heyning propose de mettre en oeuvre des campagnes très ciblées, afin d’atteindre chaque couche de la population. Il convient en effet d’approcher les seniors d’une toute autre manière que les jeunes. (Mais n’oublions pas que ce sont souvent les jeunes qui introduisent de dangereuses habitudes au sein des entreprises.) La professeure a un argument massue: pour les seniors, il faut leur faire clairement comprendre par exemple quelles informations leur banque ne leur demandera jamais par mail, alors que pour les jeunes, il vaut peut-être mieux leur donner des renseignements généraux sur la manière d’utiliser les médias de manière raisonnable et d’identifier les fake news.

Il convient cependant de faire encore un pas de plus en mettant autant de personnes possible en contact avec des clones réalistes d’hameçonnage. Que les gens apprennent à connaître de manière sûre et contrôlée les dangers pour la cyber-sécurité. Trop peu de personnes encore savent comment identifier les menaces ou que faire, si elles sont tombées dans le piège qui leur a été tendu. Une expérience de première main peut pour beaucoup être le catalyseur qui va vraiment faire la différence.

4: Le phishing n’est jamais que le début

Trop de gens encore ne semblent pas avoir conscience qu’un clic sur un lien mal intentionné ne représente jamais l’objectif final pour un pirate. Au contraire: ce n’est que le commencement. L’hameçonnage mène au rançongiciel, aux virus, au vol et à la perte de réputation dans le cas d’entreprises. De plus, en tant que victime, vous pouvez aussi devenir complice d’un délit comme un vol de données sensibles. S’il apparaît que ces données ont été mal sécurisées ou que votre entreprise ne pouvait pas les collecter, vous avez soudainement comme un gros problème.

Comme les personnes piratées emmènent leurs menaces au travail – et comme tout un chacun doit de nouveau télétravailler avec toutes les conséquences connexes -, il n’est peut-être pas insensé de lancer ce genre de prise de conscience au départ de l’employeur. Ce faisant, le thème du ‘phishing’ perdra son aspect informel, et vous aurez alors un partenaire motivé pour protéger vraiment autrui.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire