Parmi les 5 000 gendarmes ayant ouvert l’e-mail test envoyé par les autorités, 10% ont cliqué sur le lien frauduleux associé. Une initiative aussi intéressante qu’inquiétante, à 130 jours des JO de Paris.
Prenez un sujet qui intéresse beaucoup la majorité des cibles et vous aurez un résultat similaire. Que se soit publique, privé ou militaire.
La culture sécuritaire n’existe pas chez les utilisateurs. Les rares formations ne semblent pas faire bouger beaucoup les choses.
Il faut que les utilisateurs soient vraiment formé, mais les humains c’est faillible et un jour de grosse fatigue, de stress, d’inattention, le jour où on attend un colis important et qu’on reçoit ce putin de fiching qui dit que des taxes sont ajoutées …
5 « J'aime »
Ca montre surtout un problème au niveau des logiciels de sécurité. Les gendarmes ne devraient même pas avoir à se poser de question.
2 « J'aime »
Un logiciel de sécurité n’est jamais infaillible, imaginer qu’il puisse l’être est déjà une grosse erreur de sécurité.
Et là forcément, il est normal qu’il ait laissé passer le mail en question, puisqu’il s’agissait de tester la réaction des gens face à un mail qui serait effectivement passé au travers du logiciel…
Et d’ailleurs, paradoxalement, plus le logiciel de sécurité est fiable… plus les gens se feront facilement avoir par un mail qui passerait en travers. Parce que quand tu t’habitues au fait que le logiciel bloque toutes les menaces, tu te dis beaucoup plus facilement « si ce mail est passé, c’est qu’il est légitime » que quand tu en as régulièrement du même type et que tu as du coup pris l’habitude de faire tes propres vérifications avant de cliquer.
10 « J'aime »
10% ce n’est pas si mauvais en comparaison de ce qu’on peut trouver en entreprise lors de ce type d’exercice, même après formation.
En outre la cible était exclusivement des gendarmes, avec des adresses clairement connues. À part mettre la main sur ces 9000 adresses, rares sont les tentatives de phishing qui toucheront autant de gendarmes à la fois, avec un nombre de personnes piégées directement proportionnel.
Quand on sait combien de gendarmes seront mobilisés à cette occasion, l’objet du message était vraiment très ciblé et attractif.
Ceci dit, c’est un bon exercice qui demandera un feedback sérieux.
8 « J'aime »
Et en le faisant juste avant les JO, c’est aussi l’occasion de leur faire une petite piqûre de rappel, qui les rendra plus attentif pendant quelques mois.
6 « J'aime »
Je suis étonné qu’après toutes ces années, il n’y ait pas, au moins au niveau national et nos FAI, une sorte de DNS des noms de domaines pourris qui soit mis à jour dans la seconde où un internaute le signale. Le client mail et ou web devrait aller vérifier ce nom de domaine avant d’autoriser à y aller (et émettre de gros messages d’alerte de toutes façons).
Ça ne me parait pas super difficile à mettre en place et on pourrait aussi faire la même chose avec les SMS avec en plus la désactivation directe des numéros de téléphone émetteur (quand c’est des téléphones).
Il suffirait d’avoir quelques mecs en 24/7 qui valident les entrées dans ce DNS des pourris (pas besoin de justice ni même de police, c’est pas un droit de l’homme d’envoyer du fishing).
Dans le même temps que ce DNS est mis à jour, le GIGN, les SWAT, le SAS, les Black Cats, le SAT, le SARS du Nigéria recréé pour l’occasion etc. enfin tous les gros bras de la terre, vont aller casser les genoux de ceux qui ont enregistré ces noms de de domaine (et donc payé).
1 « J'aime »
En théorie, c’est possible. Dans la pratique, je pense que tu n’as aucune idée du nombre de domaines déposés chaque jour: plus de 30000… Dont une bonne partie plus ou moins louches je suppose. Comment tu filtres ça?
Disons (totalement au pif) que tu peux en éliminer la moitié automatiquement (nom de domaine existant à 1 lettre près par exemple), il en reste 15000 à valider. Qui va payer les types qui vont vérifier ça à la main, et sur quels critères? Et il faudra traiter les milliers de réclamation de sites légitimes écartés par erreur. Quand tu montes ta boite, tu n’as pas vraiment envie d’attendre un mois pour voir ta demande de domaine acceptée…
4 « J'aime »
Ça existe, et tous les navigateurs modernes le font, notamment via Google Safe Browsing : https://safebrowsing.google.com/.
Mais il faut d’abord que le site soit signalé comme malveillant, puis que quelqu’un le vérifie (parce que sinon, ça serait immédiatement détourné par des petits malins pour bloquer des sites légitimes en les signalant…), donc ça peut prendre quelques heures.
Je vérifie de temps en temps les domaines frauduleux que je reçoit par mail ou SMS, et ça arrive régulièrement qu’ils soient en fait déjà morts au moment de mon test.
3 « J'aime »
C’est pas efficace sans compter que les clients mail ne font rien. La meilleure preuve ce sont les 10% des gendarmes qui se retrouvent sur le lien pourri. Un nom de domaine inconnu qui se retrouve dans un mail à destination de 9000 gendarmes est nécessairement un nom de domaine pourri (quelque soit le contenu du mail d’ailleurs). On va même dire que je suis extrême, mais je ne suis pas loin de penser qu’envoyer 9000 mails d’un coup mérite déjà une punition et un blacklisting automatique (la mailing list c’est une forme de démarchage et ça devrait être interdit).
Le serveur de ma boite fait beaucoup d’efforts. Par exemple dans le cas du mail des gendarmes il indiquerait que la source du mail est externe à la gendarmerie. Mais c’est totalement insuffisant.
Et puis il y a un problème de fond: safebrowsing n’adresse pas le problème. Moi je veux un truc qui marque les noms de domaines pourris (c’est à dire qui veulent me piquer mon pognon), pas juste dangereux ou plutôt pas safe suivant l’interprétation des GAFAM.
Je ne demande pas à une autorité de me signaler qu’il y a des filles dans des situations équivoques, des œuvres piratées, des messages racistes, pédophiles, terroristes ou complotistes ou même des logiciels crackés plein de virus. Pour ça, je sais ce que je fais. Par contre, un faux site de ma banque là, je tique grave.
Les clients mail, dans 99% des cas quand tu cliques sur un lien, ils l’envoient vers le browser ou la webview de l’OS.
Il n’y avait absolument aucune raison que ce lien soit dans la base… Ceux qui ont fait ce tests n’allaient pas signaler le lien, parce que ça leur empêcherait de savoir la proportion de gens qui ont cliqué sur le lien (alors que c’est justement le but du test…). Et ceux qui se sont fait avoir, ils vont pas le signaler non plus…
Et ceux qui ne se sont pas fait avoir, ils ne l’ont sans doute pas signalé non plus : dans le monde pro, la consigne dans ce cas est généralement de ne pas signaler soi même à une base extérieur, on doit le signaler au responsable de la sécurité informatique, qui prend de son côté les mesures nécessaires (donc s’il fait bien son boulot, notamment un blocage au niveau du réseau pro en attendant que ça soit propagé dans les bases publiques… mais là encore, comme le but était de déterminer combien de % ont cliqué, le responsable sécurité ne va pas mettre en place de blocage…).
Quand au fait qu’un mail envoyé à 9000 destinataires aurait dû être bloqué par le serveur, oui. Et là encore, c’est sans doute ce qui se serait passé s’il ne s’était pas agi d’un test… Mais quand tu fais ce genre de test qui vise à évaluer le risque humain et sensibiliser le personnel au problème, tu fais justement en sorte que le mail arrive aux humains en désactivant tous les blocages techniques qui pourraient l’en empêcher…
Le fait que ce mail soit arrivé à destination ne prouve en aucun cas qu’un vrai mail malveillant ciblant 9000 gendarmes serait arrivé à destination…
Dans ma boîte, je reçoit toujours les mails test. Mais j’ai encore jamais reçu de vrai attaque. Et pourtant mon adresse pro est sur plusieurs dépôts Git publics, pour certains depuis plus de dix ans, car j’ai travaillé plusieurs fois pour cette boîte, donc je n’imagine pas un seul instant que cette adresse ne soit pas régulièrement attaquée… Donc les vraies attaques sont correctement filtrées et au final seuls les tests passent.
Ben oui, mais ça c’est ton besoin. Ce n’est pas le même que celui de tout le monde. Donc si on doit faire une base pour les besoins de chacun, on s’en sort pas… Quand tu vas sur un site dont tu sais qu’il est à risque, en connaissance de cause, tu peux toujours passer outre l’alerte de Safe Browsing.
2 « J'aime »
C’est ça, on parle de fishing, le sujet de l’article. La plaie du monde contre laquelle personne ne fait par grand chose. Rien que la semaine dernière, j’a reçu ça :
et ça :
et ça aussi :
Il y en avait d’autres mais je ne veux pas bourrer le serveur de Clubic.
Dans tous ces cas, safebrowsing ne sert à rien.
En ce qui me concerne, ça va, j’ai l’oeil et je pense ne pas me faire avoir. Mais celui qui n’est pas habitué, et bien il plonge.
1 « J'aime »
Tu as vérifié les URL dans la base de Safe Browsing avant d’affirmer qu’elles ne sont pas bloquées, où bien tu balances juste cette affirmation en l’air ?
Et s’ils ne sont pas déjà bloqués, tu as pris la peine de les signaler ? Parce que sans signalement, ils peuvent pas le deviner hein…
Tiens, juste pour voir, j’ai testé les domaines des adresses mail d’expédition des 3 mails que tu as donné en exemple. Les deux premiers sont déjà morts côté DNS, le 3ème est bien détecté par Safe Browsing :
1 « J'aime »
Je parlais des liens vers lesquels ces messages de fishing tentent de m’emmener. Ce sont dans ces trois messages :
- secespsg . jimdosite . com
- m . buddyspizza . com
- www . gatekeeperapp . net
Aucun des trois n’est bloqué par personne (gatekeeper a été signalé sur un site d’arnaques), et mon chrome y va sans se poser de questions. Ils sont apparemment encore actifs.
Quant aux adresses sources des messages, je ne m’attend pas à ce qu’un serveur web tourne dans ces domaines. Je n’ai donc pas de raison de les tester.
En ce qui concerne jarrod . patfield @ qemailserver . com, je suis un vieil habitué : je ne compte plus les mails qu’il m’envoie. Mais c’est un exemple de la passivité problématique de ceux qui pourraient résoudre le problème : le domaine appartient à Qualtrics, société que possède SAP. Étant donné les dommages qu’ils causent et la durée de leur malfaisance, je ne vois d’ailleurs pas de problème à blacklister tous les domaines que possède Qualtrics.
Pour revenir aux gendarmes, l’expérience montre qu’ils sont aussi vulnérables que n’importe qui. Et ça durera tant que le taureau ne sera pas pris par les cornes avec des mesures drastiques de blacklistage instantané (on bloque, on réfléchi après, longtemps après), et quelques cassages de genoux pour se faire plaisir 
2 « J'aime »
Et du coup, je repose la seconde question : as-tu pris la peine de les signaler ? Parce que bon, si tout le monde se contente de râler en considérant que c’est aux autres de signaler, ben ça avancera jamais hein…
Ce qui ne veut pas nécessairement dire que le mail a été envoyé par un serveur de Qualtrics, ni qu’ils puissent faire quoi que ce soit pour empêcher ces mails de partir…
Méthode digne des dictatures. L’écrasante majorité des sites étant des sites légitimes, un tel mode de fonctionnement serait tout simplement scandaleux, et mènerait à d’énormes abus… Alors qu’il suffirait que les gens signalent systématiquement les fraudes plutôt que de gueuler dans leur coin et de réclamer que tout leur soit servi sur un plateau sans se soucier du coût et des dommages collatéraux…
Non, absolument pas. Déjà les taux de clics dans les campagnes de tests de ce type sont bien souvent supérieurs à 10% (et là en fait c’est même à peine 5.5% sur l’ensemble des mails envoyés). Ensuite, cette campagne ne met en évidence que la vulnérabilité « humaine », pas la vulnérabilité technique. Un 10% de vulnérabilité humaine quand tu es à moins de 5% sur la vulnérabilité technique (chiffre arbitraire, on ne connait pas le niveau de la gendarmerie à ce niveau) est préférable à 5% de vulnérabilité humaine dans une boîte où les filtres techniques laissent passer 50%…
1 « J'aime »
10% est un très bon score. La baseline est à 33.2% sans entraînement, 18.5% après 90 jours de sécurité awareness training (90 jours apres le début du programme, pas 90 jours par personne), et 5.4% après un an.
10% sur un premier test avec un e-mail pas forcément évident a repérer est un très joli résultat.
3 « J'aime »
Les gendarmes doivent savoir ce qu’ils font…
L’antivirus ou le firewall doivent leurs faire remarquer que c’est un faux.
Parfois, cela peut être marrant de voir ce que fait de cliquer dessus pour voir ce qu’il se passe…et ensuite mettre à l’épreuve leur informaticien et leur sécurité.
C’est comme les tests d’intrusions dans les systèmes surtout chez eux…
Bon, je pense pas qu’ils auront peur de cliquer sur un lien ou d’ouvrir un mail maintenant…comme un utilisateur lambda.
1 « J'aime »
Ttout à fait :
1 « J'aime »
On va faire simple : je ne sais pas tout et je suis un utilisateur Lambda.
J’ai lu la tartine précédente (les posts) et je me suis dit : moi, comment je peux signaler un mail frauduleux ?
Certains sites, proposent, des liens, pour cela, mais ils sont ultra rares !
D’autres, mettent ces liens, mais il faut les trouver, sur le site !
J’ai appris, avec le temps, à « remonter une piste », mais, il y a d’autres moyens et là, je fais comment pour apprendre ?
C’est bien beau, de taper sur Lambda, ça ne vole pas haut et ça ressemble à de la dictature…
C’est facile, de cracher sur Lambda.