Tech & internet

Quand une spécialiste de la sécurité demande à se faire phisher par un pro

En cinq semaines, elle a réussi de peu à esquiver tous les pièges.

Une femme consulte son mail. Washington.23 novembre 2010. Nicholas Kamm / AFP
Une femme consulte son mail. Washington.23 novembre 2010. Nicholas Kamm / AFP

Temps de lecture: 2 minutes - Repéré sur Wired

Les e-mails piégés ou les pièces jointes infectées sont autant d'exemple de phishing, dont peut être victime tout internaute. Cette technique couramment utilisée par les hackers vise à recueillir des données personnelles via des faux courrier émanant notamment de sites bien connus. Ce qui a pour conséquence de vous induire en erreur en vous amenant à cliquer sur un faux lien.

Sur Wired, la journaliste spécialisée Lily Hay Newman raconte comment, durant cinq semaines au printemps dernier, elle a volontairement subi plusieurs tentatives de piratages dirigées par une équipe de la société de sécurité informatique PhishMe apr§s avoir donné ses e-mails personnels et professionnels.

Rester toujours vigilants

Elle décrit, d'abord, son état de paranoïa à la réception de chaque message sur sa boîte pendant les jours qui suivent. La première attaque est venue après trois semaines alors que Lily Hay Newman avait commencé à baisser sa garde. L'e-mail était intitulé «Avis de la Cour». Le message indiquait alors «Ceci est un rappel pour comparaître le 2 juin lors de votre audience.»

Victime d'un cambriolage à domicile quelques années auparavant, Lily Hay Newman avait effectivement déjà reçu des avis similaires. Une information qu'elle n'avait pas divulgué à PhishMe. Dans le doute, elle s'est tout de même gardée d'ouvrir la pièce jointe et elle a bien fait. Dans un second temps, elle remarque que le nouvel e-mail provenait de «[email protected]» et non d'une adressse en «.gov». De nombreuses attaques de tous types suivront. Et à chaque fois, la journaliste ne résistera pas à la tentation de les ouvrir au moins, mais sans jamais cliquer ensuite sur les liens piégés.

Ne jamais cliquer en cas de doute

 

Pour PhishMe, de telles simulations sont courantes. La société essaie continuellement de perfectionner ses principaux clients et ses propres salariés dans l'optique de voir combien ils demeurent vulnerables à un piratage bien orchestré.

«Nous avons toujours dirigé un programme de phishing agressif contre nous-même afin de tester notre niveau de sécurité, justifie Aaron Higbee. Parce que nous servons de gros clients, certains petits malins pourraient s'amuser à vouloir nous pirater.»

Récemment, six employés se sont toutefois fait prendre. Au lieu de les amener à partager directement leurs informations personelles, le piège a fait en sorte qu'ils accordent l'accès de leur adresse électronique à une application tierce malveillante.

C'est la preuve qu'en matière de phishing, les techniques évoluent en permanence. La meilleure façon de se prémunir reste avant tout d'être constamment en état d'alerte. En cas de doute, se garder d'ouvrir les liens ou pièces jointes suspects et contacter l'organisme mentionné pour se rassurer que le message émane bien de ses services. Autant de petits détails qui vous épargnent d'énormes dégâts.

cover
-
/
cover

Liste de lecture