Les pirates informatiques ont su tirer parti de la pand\u00e9mie actuelle de coronavirus pour tenter d’infecter des ordinateurs et appareils mobiles avec des logiciels malveillants ou d\u2019escroquer les utilisateurs. Dans une p\u00e9riode o\u00f9 la majorit\u00e9 des administrations fran\u00e7aises fonctionnent en t\u00e9l\u00e9travail, la vuln\u00e9rabilit\u00e9 des agents de la fonction publique, non avertis et parfois isol\u00e9s, est accrue et le risque de cyberattaque se voit amplifi\u00e9. La crise sanitaire v\u00e9hiculant de l\u2019anxi\u00e9t\u00e9 face \u00e0 la recherche d’informations sur les coronavirus r\u00e9v\u00e8le des vuln\u00e9rabilit\u00e9s inh\u00e9rentes qui font des salari\u00e9s en t\u00e9l\u00e9travail des cibles faciles pour la cybercriminalit\u00e9. L’art de recueillir intelligemment des informations sensibles et confidentielles aupr\u00e8s d’une personne en exploitant les faiblesses humaines est connu sous le nom d’ing\u00e9nierie sociale (Lohani, 2019). Les m\u00e9thodes d’ing\u00e9nierie sociale utilisent des astuces psychologiques pour cr\u00e9er la tromperie, qui \u00e0 son tour pousse les gens \u00e0 accomplir des actions ou \u00e0 divulguer des informations confidentielles personnelles et d’entreprise (Choudhary, Kumar, et Kumar, 2016) en toute innocence. En cons\u00e9quence, tout message ayant la connotation du coronavirus re\u00e7oit une attention particuli\u00e8re, y compris les courriers \u00e9lectroniques non sollicit\u00e9s, les faux sites web et les pi\u00e8ces jointes malveillantes que les fraudeurs sur internet utilisent pour voler des informations par la tromperie et le mensonge.<\/p>\n
L’Agence am\u00e9ricaine de cyber s\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures et le Centre national de cyber s\u00e9curit\u00e9 du Royaume-Uni ont publi\u00e9 un avis commun sur les faux SMS provenant d’exp\u00e9diteurs tels que \u00ab\u00a0COVID\u00a0\u00bb et \u00ab\u00a0UKGOV\u00a0\u00bb qui contiennent un lien vers des sites de phishing<\/em>. Le terme phishing<\/em> peut \u00eatre d\u00e9fini comme \u00ab\u00a0un acte de tromperie modulable par lequel l’usurpation d’identit\u00e9 est utilis\u00e9e pour obtenir des informations de la cible\u00a0\u00bb (Lastdrager, 2014, p. 8). Tout comme des p\u00eacheurs, ces escrocs utilisent des app\u00e2ts pour augmenter les chances que leur cible \u00ab\u00a0morde\u00a0\u00bb. Cette p\u00eache consiste le plus souvent \u00e0 envoyer des messages (courriels, SMS\u2026) venant apparemment d\u2019une entit\u00e9 de confiance, par exemple une banque (Wright et Marett, 2010) ou une institution gouvernementale. Ces messages informent le destinataire qu\u2019un probl\u00e8me est survenu et qu\u2019il ne peut \u00eatre r\u00e9solu que si le destinataire du courriel confirme des informations personnelles (Wright et Marett, 2010), ou ils promettent des offres all\u00e9chantes qui leur permettent de r\u00e9cup\u00e9rer des identifiants et des mots de passes (Hinde, 2004). Habituellement, les courriels de phishing<\/em> ne demandent pas de r\u00e9ponse directe, mais contiennent un lien vers un site web frauduleux, ce qui est \u00ab\u00a0l’hame\u00e7on\u00a0\u00bb dans la m\u00e9taphore de la p\u00eache. Ce site web est tr\u00e8s similaire, dans son aspect et sa convivialit\u00e9, au site officiel qu’il personnifie (Purkait et al., 2014). Les facteurs d\u00e9terminant le fait que l\u2019utilisateur tombe (ou non) dans le pi\u00e8ge peuvent \u00e0 la fois d\u00e9pendre de caract\u00e9ristiques li\u00e9es aux mails et \u00e0 l\u2019utilisateur.<\/p>\n Les e-mails proposant un prix mon\u00e9taire ou demandant un mot de passe sont plus facilement consid\u00e9r\u00e9s comme \u00ab\u00a0phishy<\/em>\u00ab\u00a0, tandis que les messages contenant uniquement des informations (par exemple, sur une pr\u00e9tendue mise \u00e0 jour de s\u00e9curit\u00e9) sont plus susceptibles d’\u00eatre per\u00e7us comme s\u00fbrs. Cela peut poser un probl\u00e8me, car ces messages \u00e9lectroniques apparemment dignes de confiance peuvent tout aussi bien contenir un lien vers un site web de phishing. En outre, les courriels contenant des fautes d’orthographe ou une conception non professionnelle ont tendance \u00e0 \u00e9veiller les soup\u00e7ons (Furnell, 2007 ; Jakobsson, 2007). Lorsque les pirates, qu\u2019on pourrait appeler faussaires, parviennent \u00e0 convaincre les destinataires que le courrier est authentique, l’\u00e9tape suivante consiste \u00e0 les persuader que le partage des informations personnelles est n\u00e9cessaire. Les strat\u00e9gies d’ing\u00e9nierie sociale qui se sont av\u00e9r\u00e9es efficaces sont le \u00ab\u00a0liking<\/em>\u00a0\u00bb (c’est-\u00e0-dire pr\u00e9tendre \u00eatre une personne, une organisation ou une entreprise que le destinataire appr\u00e9cie et en laquelle il a confiance) (Wright et al., 2014), la \u00ab\u00a0r\u00e9ciprocit\u00e9\u00a0\u00bb (c’est-\u00e0-dire donner aux gens l’impression qu’ils doivent retourner une faveur), la \u00ab\u00a0preuve sociale\u00a0\u00bb (c’est-\u00e0-dire pr\u00e9tendant que d’autres personnes ont \u00e9galement partag\u00e9 leurs donn\u00e9es personnelles), la \u00ab\u00a0raret\u00e9\u00a0\u00bb (c’est-\u00e0-dire donner l’impression qu’une opportunit\u00e9 est limit\u00e9e) (Wright et al., 2014) et l’autorit\u00e9\u00a0\u00bb (c’est-\u00e0-dire pr\u00e9tendre \u00eatre une figure d’autorit\u00e9) (Butavicius et al., 2016). Une r\u00e9cente \u00e9tude r\u00e9alis\u00e9e sur la p\u00e9riode de mi-mars \u00e0 mi-avril sugg\u00e8re que les trois strat\u00e9gies les plus pertinentes en dans les cas de phishing<\/em> li\u00e9s au COVID-19 sont : liking<\/em> (42 %), la preuve sociale (18 %) et la raret\u00e9 (17 %) (Naidoo, 2020).<\/p>\n Dhamija, Tygar et Hearst (2006) ont constat\u00e9 que de nombreux utilisateurs ne connaissaient pas les indices techniques des sites web s\u00e9curis\u00e9s ou ne les recherchaient pas. Ce qui implique que les indicateurs de s\u00e9curit\u00e9 standard peuvent ne pas \u00eatre utiles dans de nombreux cas, car les utilisateurs ne les comprennent pas ou n\u00e9gligent de les rechercher. Plusieurs \u00e9tudes montrent que les personnes ayant une plus grande exp\u00e9rience d’Internet (Wright et Marett, 2010) ou des connaissances technologiques (Sheng et al., 2010) sont moins susceptibles d’\u00eatre victimes de phishing<\/em>. On peut supposer que les utilisateurs habituels d’Internet ont une plus grande exp\u00e9rience de la d\u00e9tection des incoh\u00e9rences dans les courriers \u00e9lectroniques. Cependant, une \u00e9tude de Pattinson et al. (2012) indique que seules les personnes qui savaient qu’elles avaient particip\u00e9 \u00e0 une exp\u00e9rience de phishing<\/em> ont vu leur connaissance de l’ordinateur avoir un effet significatif sur la fa\u00e7on dont elles g\u00e8rent les courriels de phishing<\/em>. Cela pourrait signifier que m\u00eame les internautes exp\u00e9riment\u00e9s ont besoin d’un rappel constant des risques auxquels ils sont confront\u00e9s, et qu’ils ne sont donc pas toujours mieux arm\u00e9s pour faire face \u00e0 un \u00e9ventuel risque.<\/p>\n La protection contre le phishing<\/em> peut s\u2019appuyer sur les trois composantes structurelles de tout syst\u00e8me num\u00e9rique Schneier (1999)\u00a0: People, Process & Technology<\/em>.<\/p>\n –\u00a0 Technology<\/em> – D\u2019abord, les technologies sont depuis longtemps con\u00e7ues de fa\u00e7on \u00e0 limiter la propagation du phishing<\/em>. Filets anti-spam et anti-phishing<\/em>, d\u00e9tection de la menace avec des signatures, indice de r\u00e9putation des exp\u00e9diteurs en fonction des m\u00e9tadonn\u00e9es des messages sont autant de techniques permettant de classifier voire de rejeter directement des messages\u00a0 malveillants. Or, comme les virus qui s\u2019adaptent aux antibiotiques cens\u00e9s les curer, le phishing<\/em> a \u00e9galement su \u00e9voluer. Il est ainsi de plus en plus utilis\u00e9 en ciblant les utilisateurs de fa\u00e7on personnalis\u00e9e (spear phishing<\/em>). C\u2019est pour cette raison que toutes les politiques de protection contre cette menace requi\u00e8rent une sensibilisation des salari\u00e9s.<\/p>\n \u00a0– People<\/em> – La sensibilisation\u00a0 aide les utilisateurs \u00e0 reconna\u00eetre les courriels et les sites web frauduleux et vise \u00e0 expliquer comment des informations apparemment innocentes peuvent \u00eatre utilis\u00e9es dans le d\u00e9veloppement d’une attaque de phishing<\/em> cibl\u00e9e. Les formations de sensibilisation des utilisateurs doivent d’abord permettre de comprendre (a) les limites des outils techniques existants, (b) pourquoi les attaquants s’int\u00e9ressent \u00e0 leur organisation et\u00a0 (c) pourquoi les utilisateurs sont des cibles (Kumaraguru et al., 2010). En permettant aux individus de mieux comprendre \u00e0 la fois les cons\u00e9quences de leurs actions et la mani\u00e8re dont ces cons\u00e9quences peuvent \u00eatre att\u00e9nu\u00e9es \u00e0 chaque \u00e9tape (en suivant les proc\u00e9dures impl\u00e9ment\u00e9es) la menace du phishing<\/em> peut \u00eatre r\u00e9duite (Tsai et al, 2016).<\/p>\n \u2013 Process<\/em>. Dans le cas conjugu\u00e9 d\u2019une menace de s\u00e9curit\u00e9 et d\u2019une crise, les proc\u00e9dures\u00a0 doivent permettre de (a) r\u00e9pondre \u00e0 la question des r\u00f4les : qui dirige une \u00e9ventuelle cellule de crise, qui est en charge de rendre disponible les outils n\u00e9cessaires aux utilisateurs ayant bascul\u00e9 du jour au lendemain en t\u00e9l\u00e9travail, qui fait l\u2019inventaire des personnels form\u00e9s et non encore form\u00e9s, qui anime une s\u00e9ance de formation urgente \u00e0 destination des personnes les plus \u00e0 risque, etc., et (b) de favoriser la communication et le partage d\u2019information entre \u00ab d\u00e9fenseurs \u00bb de l\u2019organisation et \u00ab utilisateurs \u00bb. Dans le cadre de la crise sanitaire que nous traversons, la capacit\u00e9 \u00e0 apporter de l\u2019information fiable avec des r\u00e9f\u00e9rents disponibles semble \u00eatre un atout majeur. D\u2019une mani\u00e8re plus globale, la d\u00e9marche PPT doit s\u2019adapter au contexte dans lequel \u00e9voluent les salari\u00e9s. La taille de l\u2019organisation, le secteur d\u2019activit\u00e9, les fonctions des personnes au sein de celle-ci sont autant d\u2019\u00e9l\u00e9ments \u00e0 prendre en consid\u00e9ration (Naidoo, 2020).<\/p>\n Jeanne Le Roy<\/a> et Benjamin Laubie<\/a><\/p>\n R\u00e9f\u00e9rences Les pirates informatiques ont su tirer parti de la pand\u00e9mie actuelle de coronavirus pour tenter d’infecter des ordinateurs et appareils mobiles avec des logiciels malveillants ou d\u2019escroquer les utilisateurs. Dans une p\u00e9riode o\u00f9 la majorit\u00e9 des administrations fran\u00e7aises fonctionnent en t\u00e9l\u00e9travail, la vuln\u00e9rabilit\u00e9 des agents de la fonction publique, non avertis et parfois isol\u00e9s, est … <\/p>\n","protected":false},"author":1,"featured_media":350,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"spay_email":"","footnotes":""},"categories":[10],"tags":[39,19,26],"class_list":["post-262","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-articles","tag-lettre2","tag-numerique","tag-securite"],"yoast_head":"\nLes caract\u00e9ristiques du mail et du profil utilisateur<\/h2>\n
La d\u00e9marche de protection\u00a0: PPT (People Process & Technologies<\/em>)<\/h2>\n
\n<\/strong>Butavicius, M., Parsons, K., Pattinson, M., et McCormac, A. (2016). Breaching the human firewall: Social engineering in phishing and spear-phishing emails. arXiv preprint arXiv:1606.00887<\/em>.
\nChoudhary, M., Kumar, A., et Kumar, N. (2016). Social Engineering in Social Networking Sites: A Survey. International Journal of Engineering Research et Management Technology (IJERMT)<\/em>, 3<\/em>(1), 123-129.
\nDhamija, R., Tygar, J. D., et Hearst, M. (2006, April). Why phishing works. In Proceedings of the SIGCHI conference on Human Factors in computing systems<\/em> (pp. 581-590).Furnell, 2007
\nHinde, S. (2004). All you need to be a phisherman is patience and a worm. Computer Fraud et Security<\/em>, 2004<\/em>(3), 4-6.Jakobsson, 2007
\nKumaraguru, P., Sheng, S., Acquisti, A., Cranor, L. F., et Hong, J. (2010). Teaching Johnny not to fall for phish. ACM Transactions on Internet Technology (TOIT)<\/em>, 10<\/em>(2), 1-31.
\nLastdrager, E. E. (2014). Achieving a consensual definition of phishing based on a systematic review of the literature. Crime Science<\/em>, 3<\/em>(1), 9.Naidoo, R. (2020). A multi-level influence model of COVID-19 themed cybercrime. European Journal of Information Systems<\/em>, 1-16.
\nPattinson, M., Jerram, C., Parsons, K., McCormac, A., et Butavicius, M. (2012). Why do some people manage phishing e-mails better than others?. Information Management et Computer Security<\/em>, 20<\/em>(1), 18-28.
\nPurkait, S., De, S. K., et Suar, D. (2014). An empirical investigation of the factors that influence Internet user\u2019s ability to correctly identify a phishing website. Information Management et Computer Security<\/em>.
\nSchneier, B. (1999). Security in the real world: How to evaluate security technology. Computer security journal<\/em>, 15<\/em>, 1-14.
\nSheng, S., Holbrook, M., Kumaraguru, P., Cranor, L. F., et Downs, J. (2010, April). Who falls for phish? A demographic analysis of phishing susceptibility and effectiveness of interventions. In Proceedings of the SIGCHI Conference on Human Factors in Computing Systems<\/em> (pp. 373-382).
\nTsai, H. Y. S., Jiang, M., Alhabash, S., LaRose, R., Rifon, N. J., et Cotten, S. R. (2016). Understanding online safety behaviors: A protection motivation theory perspective. Computers et Security<\/em>, 59<\/em>, 138-150.
\nWright, R. T., et Marett, K. (2010). The influence of experiential and dispositional factors in phishing: An empirical investigation of the deceived. Journal of Management Information Systems<\/em>, 27<\/em>(1), 273-303.
\nWright, R. T., Jensen, M. L., Thatcher, J. B., Dinger, M., et Marett, K. (2014). Research note\u2014influence techniques in phishing attacks: an examination of vulnerability and resistance. Information systems research<\/em>, 25<\/em>(2), 385-400.Lohani, 2019<\/p>\n","protected":false},"excerpt":{"rendered":"