Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mois de la cybersécurité : Bercy simule une opération de phishing
Et plus de 30 000 de ses agents tombent dans le piège en l'espace de 2 h seulement

Le , par Coriolan

259PARTAGES

10  0 
En 2015, une étude avait montré que le meilleur moyen de réduire le risque pour l’entreprise est de sensibiliser et former les employés aux pratiques de sécurité. En effet, les chercheurs se sont rendu compte que le déploiement de technologies sophistiquées pour lutter contre les risques de sécurité n’est pas suffisant, puisque le maillon le plus faible reste l’employé assis devant l’écran. S’il n’est pas inclus dans le programme de sécurité, alors les nombreux contrôles et mesures de protection ne permettent pas de réduire considérablement le risque qu’encourt l’organisation.

Ce lundi, ça a été le tour de Bercy de se rendre compte de ce constat. Les services de sécurité des systèmes informatiques du ministère des Finances ont mené une vaste opération de sensibilisation à la cybersécurité. Environ 145 000 agents de Bercy et d’agences indépendantes ont reçu des emails envoyés par un certain Jean-Baptiste Poquelin (Molière), Thérèse Desqueyroux ou encore Emma Bovary. Comme vous l’aurez deviné, ce sont tous des personnages totalement déconnectés de la réalité qui n’existent plus ou bien sont issus d’univers fictifs. Mais vraisemblablement, ça n’a pas été le cas pour les employés qui ont mordu l'appât de cette vraie fausse opération d’hameçonnage. Certains se sont même laissé séduire par une invitation à gagner des places de cinéma !

« Plus de 30 000 personnes ont cliqué sur les liens entre 10 heures et midi lundi matin. C'est beaucoup », constate Yuksel Aydin, adjoint au responsable sécurité des services informatiques de Bercy. Les agents qui sont tombés dans le piège ont été redirigés vers une page web pour découvrir les recommandations d’usage sur les emails et les précautions à prendre comme le fait de ne pas cliquer sur les liens contenus dans des emails de sources douteuses. « C'est aussi un moyen de tester nos procédures d'urgence », ajoute Yuksel Aydin, soucieux de démontrer que « la cybersécurité, ce n'est pas que des lignes de code, cela passe aussi par la sensibilisation des usagers. »

Après cette opération, Bercy compte mener d’autres opérations toujours dans le cadre du mois de la cybersécurité. Le ministère en question a collaboré avec plusieurs acteurs comme l’institut national de la consommation et la Banque de France afin de sensibiliser le grand public et les créateurs d’entreprises sur les bonnes pratiques de cybersécurité, notamment la mise en place de services numériques ou encore celle d’un service de paiement digital.

Lancement du Mois de la cybersécurité

Durant ce mois, plusieurs événements en France vont avoir lieu dans le cadre du mois européen de la cybersécurité pilotée par l’Enisa. Cette initiative vise à sensibiliser le grand public et mettre en avant le thème de cybersécurité dans les différents pays de l’union pendant le mois d’octobre. « Mettre un coup de projecteur sur les conseils des experts de la sécurité du numérique et les bonnes pratiques informatiques à adopter, que l’on soit un particulier, un employé ou un chef d’entreprise. Cette prise de conscience des utilisateurs quant à leur rôle à jouer va contribuer à augmenter significativement le niveau de cybersécurité en France », peut-on lire sur le portail du ministère des Armées.

Guillaume Poupart, Directeur Général de l’ANSSI a donné des précisons sur le programme de ce mois de la Cybersécurité. L’ANSSI va faire le relais national de cette initiative. Au total, 55 événements vont avoir lieu avec l’implication de neuf ministères et de nombreux relais associatifs.

Durant la première semaine, le thème de sécurité dans le monde professionnel va être abordé ainsi que la mise en ligne du nouveau site du CERT Fr. Durant la deuxième semaine, l’accent va être mis sur le RGPD. La troisième semaine sera placée sous le signe de la cybersécurité à la maison. Et enfin la quatrième semaine sera dédiée aux problématiques de la formation. En ce qui concerne la directive NIS, directive européenne sur la cybersécurité, le texte sera transmis au Conseil d’État le 15 octobre en vue d’une publication en mai 2018.

Source : Le Figaro - ANSSI

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Forum Sécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Nb
Membre averti https://www.developpez.com
Le 03/10/2017 à 23:47
3) quelqu'un tappe un curl sur l'url pour voir c'est quoi ste tentative naive
S'il y a quelqu'un dans l'open space capable de faire un cURL, vous ne faites pas partie la cible du test. J'imagine qu'il s'agit surtout de sensibiliser/eduquer les utilisateurs lambda de l'outil informatique.
Ce que ce test montre de nouveau c'est surtout que 30K pélos sur 145K ne connaissent ni, Moliere ni Mauriac et ca c'est flippant.

Sérieusement, par quels modus operandi les randonneurs arrivent-ils à leur fin ?
Oh ben je dirais qu'avec un bon check meteo, une bonne carte IGN et en se fiant au balisage et aux cairns en general on y arrive bien
6  0 
Avatar de Dominik94
Membre régulier https://www.developpez.com
Le 04/10/2017 à 0:51
il semble manquer, quand même, l'étape indispensable de tout phishing qui se respecte : la récupération des identifiants et password, car nulle part dans l'article il en est question.
4  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 06/10/2017 à 0:12
Ce qui m'épate, c'est le nombre de gens prêt à juger et clouer au piloris toute une administration sans aucun contexte.

Alors je vais vous expliquer comment des gens intelligents, avec un grand niveau de QI, se sont faire avoir par un malware à un endroit où j'ai bossé par le passé. Je ne vais pas qualifier ces gens d'idiots, bien loin de là, ils font partie des gens les plus intelligents avec lesquels j'ai bossé.

Tout est partis d'un PC verollé, un windows pas à jour, oublié dans la surcharge de travail d'un service IT qui ne disposait pas à l'époque d'un domaine pour tout mettre à jour instantanément. Ce virus a donc fait la campagne de phishing la plus basique possible pour se reproduire: reprendre des emails que le gars à reçu et le renvoyer à des contacts au hasard. Au passage, s'attacher comme fichier .scr . Résultat, un email qui semble tout à fait légitime, envoyé par un collègue.

Seulement voilà, le virus on va dire a eu un gros coup de bol:
1) il a repris un email envoyé par un administrateur 6 mois plus tôt expliquant toute une procédure prévue pour une opération de migration et impactant les utilisateurs, les invitant à lire le document joint
2) il a envoyé cet email à la mailing list regroupant toute l'entreprise

voilà, vous avez donc des centaines de personnes qui recoivent un email provenant d'une sources sure, les invitant à lire un fichier qui n'est pas un de ces .doc ou .exe dont on leur a dit de se méfier dans toutes les formations... Et un admin qui n'a rien à voir avec cette histoire qui est pointé du doigt pour avoir infecté tout le monde!

dans ce genre de situation, le problème il n'est pas sur la chaise, le problème il est dans la gestion du risque IT. Il faut donner aux gens les moyens de comprendre ce qui se passe. Il faut comprendre aussi que, non, ce n'est pas en 2 heures de formations ou pire avec trois documents envoyés par email qu'on en fera des experts en debuscage de phishing. C'est du long terme. Et dire "je leur ai dit de pas cliquer dans le charte informatique de 30 pages qu'ils ont signé, c'est de leur faute" c'est totalement bidon. Le fait que je sois d'accord avec un document et que je m'engage à le suivre ne veux pas dire que je le connais par coeur. Ou alors il y aurait beaucoup de documents que je n'aurais pas signé car je sais que je serais incapable de retenir par coeur toutes les règles qui y sont décrites. Me demandez pas toutes les clauses indiquée dans mon crédit hypothécaire, et pourtant, je l'ai signé ce document et il m'engage pour 20 ans
4  0 
Avatar de madfu
Membre confirmé https://www.developpez.com
Le 03/10/2017 à 19:08
Pour moi, un employé des impôts suffisamment bête et stupide pour se laisser avoir par un phishing est un employé qui doit être licencié immédiatement pour faute lourde.
Ou le former / sensibiliser etc sinon (certains mails de phishing sont d'ailleurs très bien faits)
3  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 04/10/2017 à 5:02
Phishing = attrape nigaud, je vous laisse conclure.
2  0 
Avatar de Chuck_Norris
Membre émérite https://www.developpez.com
Le 04/10/2017 à 10:05
Citation Envoyé par madfu Voir le message
C'est toujours pareil, toi moi et probablement 99,99% des membres de ce site sont informés mais ce n'est pas le cas d'une grande partie de la population qui pour certains ne maîtrisent pas les mécanismes en jeu alors que pourtant ils excellent certainement dans leur taf, ça ne fait pas d'eux (forcément) des gens bêtes et ça ne fait pas de nous des gens intelligents non plus, juste un peu plus informé que les autres.

Si dans ma boite j'ai une secrétaire qui fait un super taf mais qui clique à tort et à travers sur mes mails de phisphing je ne ne pense que j'en déduirais beaucoup de choses sur son QI mais j'en conclurait qu'il y'a un gros problème de culture oui.
Alors, déjà je fais une différence entre un clic, et remplir un formulaire sur le site douteux. Le clic, d'accord, ça peut être dangereux pour cause d'installation de malware (mais après utiliser des systèmes d'exploitations et des navigateurs sécurisés plutôt que des passoires qui envoient chaque touche enfoncée aux serveurs Microsoft ça peut aider), mais néanmoins il en faut dans le sac pour remplir un formulaire ; il y a des gens qui ne tomberont pas dans le deuxième panneau mais d'autres si, et ceux-là sont les plus dangereux.

Avec l'exemple de ta secrétaire qui fait un super taf mais qui fait couler ta boîte en donnant les crédentials d'admin sur une page de phishing, tu vas continuer à la défendre sur son "manque de culture" ?

Après ce qui est certain, c'est que les personnes ayant accès à l'outil informatique dans le cadre du travail doivent être formés devant ces menaces. En cas de phishing réussi, s'ils n'ont pas été formés, c'est la direction qui est coupable. S'ils le sont, alors ce sont les employés qui n'ont pas allumé leur cerveau (alors qu'en théorie au travail on est censé le laisser allumé sous peine de se faire allumer), ou qui jouaient à faire des avions en papier tout en sniffant un bâton de colle en formation, qui doivent assumer leur faute et remettre leur démission.
2  0 
Avatar de NikoleiM
Futur Membre du Club https://www.developpez.com
Le 06/10/2017 à 16:43
C'est de la pure com' pour le mois de la cybersécurité ; ce genre de campagne simpliste ne sert à rien. Il faut aller au bout du concept et voir combien de gens vont effectivement saisir leur mot de passe Windows sur un site de phishing.

J'espère que la sécurité du Ministère des Finances ne repose pas sur le fait qu'aucun de ses 145,000 agents ne va jamais cliquer sur un lien. Sinon on est mal.
2  0 
Avatar de Chuck_Norris
Membre émérite https://www.developpez.com
Le 04/10/2017 à 9:12
Citation Envoyé par Skury Voir le message
Pas besoin d'identifiants/mots de passe, il s'agissait juste d'une (fausse) campagne pour les amener à suivre un lien qui aurait pu leur faire télécharger du contenu malveillant.
Oui, certes, mais si l'utilisateur est suffisamment stupide pour saisir ses identifiants sur une fausse page, alors là on arrive dans le domaine du QI niveau azote liquide, ce qui aurait permis de pouvoir afficher partout dans l'entreprise le Wall of Shame de tout ceux qui ont été pris en flagrant délit de bêtise.
1  0 
Avatar de madfu
Membre confirmé https://www.developpez.com
Le 04/10/2017 à 9:29
Oui, certes, mais si l'utilisateur est suffisamment stupide pour saisir ses identifiants sur une fausse page, alors là on arrive dans le domaine du QI niveau azote liquide, ce qui aurait permis de pouvoir afficher partout dans l'entreprise le Wall of Shame de tout ceux qui ont été pris en flagrant délit de bêtise.
C'est toujours pareil, toi moi et probablement 99,99% des membres de ce site sont informés mais ce n'est pas le cas d'une grande partie de la population qui pour certains ne maîtrisent pas les mécanismes en jeu alors que pourtant ils excellent certainement dans leur taf, ça ne fait pas d'eux (forcément) des gens bêtes et ça ne fait pas de nous des gens intelligents non plus, juste un peu plus informé que les autres.

Si dans ma boite j'ai une secrétaire qui fait un super taf mais qui clique à tort et à travers sur mes mails de phisphing je ne ne pense que j'en déduirais beaucoup de choses sur son QI mais j'en conclurait qu'il y'a un gros problème de culture oui.
1  0 
Avatar de petitours
Membre éprouvé https://www.developpez.com
Le 06/10/2017 à 9:43
Il n’empêche que Marsupial m'a bien fait rire
https://www.developpez.net/forums/d1...g/#post9663497

Le problème majeur qui fait que ce genre d'attaque fonctionnera toujours c'est que les gens ont évidement de l'autonomie pour que les choses puissent avancer et que les gens ne pouvant pas tout savoir (et notamment sur ce qui relève de la sécurité IT) ben ils peuvent être amenés à faire des bêtises.
C'est comme les fraudes aux faux ordres de virement qui ont déjà coulés de nombreuses entreprises.

Et je suis bien d'accord que ça ne relève pas de la compétence ou bêtise des gens mais bien d'une vraie et approfondie réflexion sur les risques et moyens à mettre en œuvre pour détecter et/ou protéger les processus les plus critiques (tels que les gros virements...)
Une protection que je trouvais pénible au début mais finalement pas idiote du tout c'est par exemple ce que fait google quand on se connecte à son compte depuis une nouvelle machine. On reçoit mail ou SMS pour nous prévenir de la chose. Ce genre de message est en capacité d’alerter immédiatement n'importe qui, quelque soit sa qualification ou formation aux risques IT.
Message de sécurité :
Une connexion à votre compte vient d'être réalisée depuis un nouvel ordinateur.
Si vous n'avez pas changé de poste de travail, parlez en à vos collègues et contacter au plus vite le service informatique (1er étage 2ème porte à droite) !
Si cela est normal ne pas tenir compte de ce message (mais vous pouvez malgré tout venir prendre un café 1er étage 2ieme porte à droite).
1  0