CHATELAIN YANNICK Professeur Associé chez GRENOBLE ECOLE DE MANAGEMENT  GEMinsights Content Manager, Chercheur Associé à la chaire DOS.

Le phishing est multiforme : proposition de nouveaux services,  offres promotionnelles, alertes « anxiogènes » invitant l’utilisateur à communiquer « de toute urgence » des données confidentielles pour continuer à bénéficier de certains services (carte vitale, etc.), faux remboursements d’impôts, « arnaques à la livraison de colis » demandant à l’usager de débourser des sommes complémentaires pour non-livraison par exemple… Quelle que soit sa typologie, le phishing utilise de façon majoritaire (hormis les actions de reverse engineering) les SMS et/ou les courriels. Il évolue constamment tant dans le fond que dans sa forme pour contourner les systèmes de protection mis en place par les structures, à l’instar des « reverse tunnel phishing attacks » une nouvelle approche qui, couplée à l’utilisation de « raccourcisseurs » d’URL de type cutt.ly, bitly.com, permet de contourner les solutions développées pour bloquer des campagnes de phishing. Par principe de précaution, quatre règles simples à appliquer par l’usager plutôt que de tomber malencontreusement dans un piège.

A / Ne jamais cliquer sur une URL – raccourcie ou non – qui vous est envoyée par les vecteurs que j’ai évoqués !

B / Traiter tout e-mail ou SMS entrant comme étant  potentiellement malveillant.

C/ Vérifier l’adresse e-mail de l’expéditeur sur les messages entrants avant de répondre.

D/ Vérifier le nom de domaine. Un nom de domaine intégrant le nom de domaine du site émetteur n’est pas le site émetteur :  https://www.ameli.fr/ est différent de https://www.ameli.centre-info....

Une attitude et des réflexes qui finiront par porter leurs fruits, le temps que les entreprises et organisations finissent par admettre qu’il leur faut renoncer définitivement (faute de retour) à l’usage d’URL dans leurs campagnes et démarchages online. En utilisant et en communiquant de façon récurrente des URL, certes fiables, elles contribuent – qu’elles s’en défaussent ou non – à rendre les opérations de phishing possibles et efficaces. Ce faisant, elles favorisent ainsi des campagnes de phishing qui se font dans un premier temps au détriment de l’usager, mais aussi, dans un second, au détriment de leur image ! Lorsque l’usager se fait escroquer, c’est l’entreprise qui – aussi injuste que cela soit – est la deuxième victime. La nature humaine étant ce qu’elle est, l’usager en voudra presque plus à la structure sur laquelle s’est appuyé l’escroc, qu’à l’escroc lui-même. La raison est fort simple, l’usager qui aura été grugé n’aura d’autres recours que de se tourner vers cette dernière pour tenter d’obtenir un dédommagement.

SMS/COURRIEL / Vers la fin de l’emploi d’URL par les entreprises et les organisations ? 

Retrouver l'ensemble de l'article sur FORBES FRANCE

Photo credit: Richzendy on VisualHunt.com