Commentaires : Panique à l'université : une fac américaine réalise un test de phishing... avec une fausse alerte au virus Ebola!

L’Université de Californie à Santa Cruz a envoyé un faux e-mail d’alerte au virus Ebola pour sensibiliser sa communauté au phishing. Le message, prétendant qu’un employé avait contracté le virus après un voyage en Afrique du Sud, a semé la panique sur le campus.

Je ne comprends pas ce tollé. C’est bien le propre des campagnes de phishing de tenter de vous faire paniquer pour vous faire cliquer dans réfléchir. Plus un message est stressant ou urgent, plus il est urgent de réfléchir…
Au contraire, j’aurais tendance à féliciter les auteurs de ce test pour leur créativité.
Le seul hic, c’est que cela pourrait donner de nouvelles idées aux acteurs malveillants.

4 « J'aime »

L’université a par ailleurs admis avoir « perpétué des stéréotypes néfastes sur l’Afrique du Sud en l’associant à Ebola », peut-on lire dans The Register.

Ben ouais mais justement, le phishing il se sert aussi de ça pour fonctionner, comme les fakes news.
Ce sont des sujets compliqués, si le truc est trop mal fait ça ne passe pas alors que l’escroc lui va faire l’effort de se rendre le plus crédible possible.

Ce qui aurait été pertinent, c’est que la campagne aboutisse derrière sur une communication pédagogique sur les moyens d’identifier que c’était un phishing :

  • Les choses facilement identifiables (l’expéditeur nom et adresse, l’adresse du site en lien…)
  • Les choses plus subtiles sur l’information elle-même : Ebola c’est pas vraiment en Afrique du Sud qu’il y a le plus de cas, comment se transmet ce virus (a minima un lien vers la fiche Wikipedia par exemple)
  • Les procédure en place au sein de l’université pour gérer des alertes de ce type (est-ce qu’ils auraient un email ? un intranet à consulter ?)

Mais bon, éduquer c’est un métier.

Tout à fait, mais on le sait, beaucoup de gens (et ça se comprend) ont du mal à garder leur sang-froid. Il faut beaucoup de temps, de volonté etc. pour y arriver. Je l’ai constaté à d’innombrables reprises (et on l’a vu au début du COVID…), ma mère par exemple n’y arrive pas (elle ne va pas pour autant dévaliser le PQ, elle a du savoir-vivre et du respect pour les autres), mais au moindre truc, c’est la panique, perte de contrôle etc. J’étais comme elle avant, maintenant ce n’est plus le cas (ça veut pas dire que je flippe pas dans les moments graves, au contraire), récemment, il y a eu un incendie dans mon bâtiment, personne n’a paniqué dans les 2 bâtiments adjacents, ma mère peu après m’appelle me demande si j’ai paniqué, « bah non, c’est LE truc à ne pas faire, c’est encore pire après ». Et on le voit dans les reportages, etc, en cas de soucis dans un avion (au hasard, un Boeing), les gens paniquent, se poussent et … il y a 10x plus de problèmes, quand ça panique, on a naturellement tendance à être « égoïste » (c’est pas tout à fait ça, mais ça peu y ressembler) et à penser à notre survie mais avec des maxis œillères qui nous empêchent de voir le reste, on court à la sortie et on ne voit même pas les gens au sol, etc. Il faut (enfin, ça marche pour moi, à chaque fois, et j’ai eu énormément d’occasions de l’expérimenter), prendre quelques secondes, faire un point vite fait dans sa tête et après « ça va ». Un truc tout con, ce qui m’a aidé à y arriver (ça va sembler cliché), c’est ce qu’a dit le personnage de la (géniale) série Lost, Christian Shepard à son fils chirurgien lui aussi, « laisse la peur prendre le contrôle 5 secondes … » un truc du genre, et (sans spoil) le personnage l’utilise et j’ai eu à l’utiliser la première fois au moment d’un décès, ça m’était venu comme ça, et ça m’a permis de garder la tête comme il faut, mais c’est pas un move naturel, ça demande un effort.

Ca se fait de lancer des alertes par SMS avec une sirène à la population générale s’il y a un risque de tsunami par exemple. Mais dans ce cas on précise s’il s’agit d’un simple exercice et qui ne demande absolument pas de réagir ou si la menace est réelle. C’est là qu’ils ont péché. Ils auraient pu avertir que c’était un exercice pour ne pas créer un mouvement de panique inutile.

S’ils préviennent que c’est un exercice, le test ne sert à rien.

Au fond n’ont-ils pas prouvé l’efficacité d’un message qui engendre une panique ?

« suggérer que l’affaire provenait d’Afrique du Sud contribuait au climat de désinformation et de racisme qui entoure les épidémies de maladies infectieuses en général, et Ebola »

En quoi est-ce raciste ? Le virus Ebola frappe en Afrique régulièrement.

Ce n’est pas le fait de le dire qui est raciste, c’est effectivement factuel, l’Afrique a quasiment toujours été le point d’origine des épidémies d’Ebola (mais plus l’Afrique équatoriale que l’Afrique du Sud par contre…).

Par contre le fait de faire croire qu’il y a Ebola sur le campus, même si ça a été fait en disant que ça a été apporté par un membre du personnel parti en voyage en Afrique, ça induit malheureusement des comportements racistes vis à vis des personnes d’origine africaine, même lointaine…

On a vu exactement la même chose chez nous avec le covid, qui a induit des comportements racistes envers les asiatiques, surtout pendant la période avant que la pandémie ne frappe très fort en Europe.

Le dernier phishing que j’ai reçu, aussi d’une université, c’était un employé qui avait perdu son chien sur le campus, avec une joli image qui ne se chargeait pas justement, sur laquelle il fallait cliquer pour la télécharger…
Je suis sûr que cette campagne a très bien marché !
"
Subject: Missing Dog!
Our families precious mastiff Mr.Meatball escaped after he got out of the car on a trip to the dogpark, he is dearly missed and responds to Meaty or Mister. He is very friendly and trained so he should happily approach people.
[Image failed to load, click to reload]
"

Donc, ils sont responsables du racisme des autres ? Et l’effet dévastateur d’être accusé de racisme injustement ?

Il n’est pas accusé de racisme. Il est accusé de contribuer au climat de racisme. Ce qui est bien le cas si ce message favorise des comportements racistes.