La technique est vieille comme Hérode mais fait encore ses preuves. Microsoft affirme continuer de lutter contre des tentatives d’extorsion de données des utilisateurs et utilisatrices de Microsoft 365.
Les pirates utilisent la méthode du hameçonnage
, ou phishing.
y en a marre du phishing et autres liens vérolé, enfin cette fois ils (MS) l’ont vu avant la cata.
pour ne pas se faire prendre, ne pas ouvrir les liens d’inconnus, pour les mails de grande entreprise, si vous n’avez rien sollicité ne pas ouvrir et si jamais vous l’ouvrez, vérifier le lien à ouvrir en mettant votre pointeur sur le lien, là il va vous affichez le nom complet du lien, ça s’affiche en bas du mail. Il y a aussi les liens venus de personnes connues qui peuvent ètre vérolé, donc prudence, je suis ces consignes et je n’ai jamais été pawned 
Ouai, le mieux c’est toujours de respirer un coup avant de s’alarmer sur l’urgence ou l’important du mail et de cliquer sans reflechir (ça m’est arrivé une fois et j’avais direct formaté mon pc ensuite, meme si, une page web sans forcement interagir ça va encore 
).
Aussi, bien regarder l’expéditeur (et encore c’est trompe œil!), dans le doute le plus simple avant c’est d’accéder au service comme vous les faites habituellement pour voir que tout fonctionne.
Je ne suis pas forcément étonné du succès de l’hameçonnage, j’ai remarqué que pas mal de gens qui lisaient leurs mails, quel que soit leur âge, ne comprennent pas forcément grand chose au système et sont incapables de chercher l’adresse mail qui se cache derrière un alias, de repérer les innombrables fautes d’orthographe (exprès ?) contenues dans ces messages, de ne pas voir que leur nom n’est pas mentionné dans le mail, etc.
On demande à des gens qui ne comprennent pas grand chose à l’informatique d’avoir une adresse mail, ne serait-ce que pour utiliser un téléphone, et ça peut leur causer quelques soucis…
Je bosse a la sécu dans une boîte tech, et il y a quelques mois on a organisé avec mon équipe une campagne de fishing sur Office 365 pour sensibiliser à la sécurité.
Un mail ressemblant à un mail Microsoft mais avec des détails douteux (police, expéditeur, etc), et renvoyant vers une fausse page d’invite de login O365.
Résultat de l’expérience sur environ 300 personnes : environ 40% ont cliqué sur le lien, et environ 30% ont donné leur login/password sur la page.
On parle ici d’une boîte de tech, donc les employés sont quand même sensé connaître ce genre de choses, alors ne soyons pas étonnés que ça fasse des ravages dans des milieux complètements étrangers a l’informatique, ou chez madame Michu qui ne sait pas ce qu’est une URL, un domaine d’expédition, ou du fishing.
2 « J'aime »
Une idée pour eux.
Puisque tous nos mails sont scannés,
Plutôt que de coder des algorithmes pour détecter les pedophilies (avec une probabilité proche de zéro).
Plutôt que de développer des IA qui censurent les contenues anti vax (pour faire plaisir à Biden).
Faites plutôt dans l’utile et l’intelligent
Développez donc des IA qui proposeraient automatiquement un indice de confiance par mail.
Nota : je dépose un copyright sur l’idée.
Je demande que 0,00001$ par mail.
Dans 3 semaines je suis millionnaire
bien dit ! Et y a pas que ça à revoir dans ces grands groupes qui perdent leur temps à nous proposer des âneries, des choses totalement inutiles.
Pleins de choses existent déjà en ce sens.
Détection d’usurpation de domaine, détection de liens cachés dans les images, etc.
Autant faut-il que l’utilisateur lise l’avertissement écrit au dessus du mail.
Dans l’exemple que j’ai cité plus haut, sur le mail reçu il était clairement indiqué par O365 que ce mail usurpait le domaine de l’entreprise (domaine de l’entreprise chez Microsoft et mail envoyé depuis un relais SMTP Linux avec comme source le domaine de l’entreprise, donc c’est détecté comme usurpation), et pourtant ça clique quand même.
On a beau dire dire aux gens « non, aucune société ne demande de s’authentifier par mail ou fournir un code pin ou autres » etc…
C’est tellement classique et malgré la communication il y en a malheureusement toujours qui se font avoir. Je pense qu’il faudrait rendre obligatoire l’authentification à deux facteurs ou les codes de récupération, ce serait un vrai plus pour la sécurité qu’un simple mot de passe (qui plus est, souvent réutilisé sur plein de sites).
La plupart des mails de ce genre chez moi sont directement en spam, donc c’est que la détection est déjà bien là.
Votre algorithme a détecté l’ironie de mon commentaire j’espère
Je sais bien.mais aucun n’est aussi complet et intrusif que ce qui est actuellement développé pour nous « protéger » malgré nous.
Quand il est possible de mettre en place d’autres outils, à un certain stade il faut arrêter de culpabiliser l’utilisateur.
La défaillance et la faille est souvent humaine. On le sait bien.
C’est comme les Password.
A un stade il faut arrêter de culpabiliser les gens de pas être capable de retenir de mémoire des suites complexes alphanumériques alors qu’ils existent d’autres solutions.
Sinon à quoi sert l’IA ?
Quand je reçois un mail avec un bandeau en haut « attention, usurpation de l’adresse de l’expéditeur » je ne vois pas en quoi ce n’est pas clair. Mais autant faut-il lire.
Propose des solutions alors si c’est si évident.
Et pas juste la phrase magique de l’IA. C’est du discours de marketeux ça, la réalité technique est toute autre. D’autant plus que l’IA… Ça n’existe pas vraiment dans ce genre de cas de figure. Une IA ne fera que réagir à des scénarios pré-pensés et programmés par des humains.
Alors oui, il y a clairement une marge de progression quant à la détection des mails de phishing, mais on voit bien aujourd’hui que même avec des gros warnings clairement affichés quand le problème est détecté, ça n’empêche pas certains de tomber dans le panneau.
Il existe pourtant des solutions sécurisées permettant d’avoir des mots de passe aléatoires, complexes et uniques partout sans avoir à tous les retenir. C’est à la portée de n’importe qui prenant la peine de s’y intéresser.
Mais on en revient au problème éternel d’internet. Tout le monde a besoin de s’en servir au quotidien, mais on ne forme pas nécessairement aux bonnes pratiques.
Je bosse aussi dans la sécurité et ça fait super plaisir de lire ce genre de commentaire. La plupart du temps, on est uniquement dans une attitude culpabilisante ; une campagne d’entrainement au phishing comme évoqué plus haut n’a pas grand intérêt si elle n’est pas accompagnée (avant ou après) d’une campagne d’éducation. Et en toute logique, il s’agit alors de répéter tous les x temps le même entrainement et alors seulement à ce moment là les statistiques devraient montrer que le taux de « clic » diminue largement, sans jamais atteindre 0% cependant.
Concernant votre idée d’aide décisionnelle, je crains que d’autres n’aient eu la même :). Il y a par exemple cette société qui propose une solution qui va dans ce sens → greathorn
Il faut rester prudent concernant la double authentification, un script kiddie est capable d’utiliser ce soft (evilginx) qui permet de quand même passer par une double authentification et d’ensuite voler le session cookie, l’utilisateur final n’y voyant que du feux. La seule méthode inviolable encore à l’heure actuelle est le fait d’utiliser une hardware security key parce que le nom de domaine est enregistré à la première utilisation de celle-ci.
Enfin, le fait d’utiliser un gestionnaire de mot de passe, ou là aussi les champs ne se rempliront que si on est sur la bonne page avec le bon nom de domaine est aussi une bonne méthode pour se protéger de ce type d’attaque.
Tu te doutes bien que c’est le cas… Quel intérêt sinon ?
Les bases de la sécurité, on les répète en permanence. Et on s’adresse quand même à des gens sensés connaître ces problématiques et qui baignent dans l’informatique et les nouvelles technos toute la journée.
Et évidemment, s’est est suivi une communication globale, ou on a expliqué toute la démarche. Est-ce que les résultats seront meilleurs la prochaine fois ? Évidemment, en tout cas je l’espère.
Tout était d’ailleurs anonyme. On sait combien de personnes se sont faites avoir, mais on ne sait pas qui. Le but n’était absolument pas de taper sur les doigts mais de faire prendre conscience et de mettre en application les bonnes pratiques déjà expliquées.
C’est voir le problème à l’envers.
en 2021 le numérique n’est plus réservé à une élite Correctement neuronée.
Si malgré le message le taux d’échec est important c’est que le bandeau n’est pas la solution et que l’outil ne fait pas correctement son travail.
Quant à La formation des utilisateurs ça fait partie de la solution mais insuffisante et vouée à l’échec
Ce qui me paraît évident c’est que du code est écrit pour analyser les corps des mails pour détecter la pedocriminalité.
Que du code est écrit pour détecter les discours anti vax dans les posts de FB.
Je ne vois pas trop ce qu’il y a compliquer à analyser les messages des petits brouteurs Ivoiriens (je prend ça comme exemple volontairement parce que malgré que leurs mails soient systématiquement debiles des gens continuent à ce faire avoir)
On est bien d’accord. Malheureusement des centaines d’entreprises n’en sont toujours pas là
Tu pourrais même être surpris de ce que va faire Madame Michu. Si elle a peur, elle peut ne rien faire et appeler son gendre pour l’aider. Alors que l’informaticien moyen, sûr de lui, risque de cliquer sans regarder 
La plupart des employés, quelque soit leur âge comme souligné, n’ont que des connaissances basiques de l’informatique. Et en plus ils n’en n’ont rien à carrer de conséquences s’il ne s’agit pas de leur compte perso. Quand aux fautes d’orthographe comme indicateur, c’est subjectif : ça dépend du lecteur plus que de l’'expéditeur.
Ici au Québec, l’orthographe est médiocre à tous les niveaux de la société. Ce n’est pas parce que c’est bourré de fautes que ça n’est pas officiel.
Je ne suis pas d’accord avec la dernière phrase. 99 voire 100 % des messages que je reçois de newsletter ou de courrier de banque, marques, etc sont sans faute d’orthographe, je pense qu’il y a une relecture professionnelle avant l’envoi, alors que les mails de phishing et spam sont souvent truffés de fautes