Je clique donc je suis : une étude troublante sur le phishing

L’Homo sapiens clique sur les liens des e-mails de phishing, même maladroits et non personnalisés. Il clique, c’est comme ça. Une précédente étude suggérait qu’un faible pourcentage d’individus ne peuvent s’empêcher de cliquer lorsqu’ils naviguent sur Internet. Il y a encore peu de temps, les raisons qui poussaient les personnes à cliquer étaient encore un mystère. Grâce aux résultats de recherches menées par des universitaires allemands, on dispose à présent d’éléments de réponse. Attention :  il se pourrait bien que les conclusions ne soient pas très rassurantes pour les spécialistes de la sécurité informatique.

Avis aux annonceurs : taux de clics élevés !

D’après les recherches réalisées par Zinaida Benenson et ses collègues, les raisons qui nous incitent à cliquer sur un élément de phishing en appellent à notre curiosité naturelle, et s’appuient aussi sur un contenu qui interpelle la victime d’une façon ou d’une autre.

Le groupe de recherche a réalisé une expérience en utilisant le modèle d’e-mail suivant qu’il a envoyé à plus de 1200 étudiants de deux universités :

Salut !

J’ai trouvé le réveillon du Nouvel An génial ! Voilà les photos :

http://<adresse IP>/photocloud/page.php?h=<ID participant>

Merci de ne pas les partager avec des personnes qui n’étaient pas présentes !

À bientôt

<prénom de l’émetteur>

Le message a été diffusé durant la première semaine de janvier.

Devinez le taux de clics global généré par ce message de spam…

Pas moins de 25 %.

Les annonceurs du monde entier sont verts de jalousie face à ce chiffre impressionnant.

Ensuite, les chercheurs allemands ont mené une enquête de suivi dans le but de déterminer les motivations de ces accros du clic.

34 % des participants à l’enquête ont déclaré avoir agi par curiosité pour voir les photos de la fête proposées en lien dans l’e-mail, 27 % ont indiqué avoir cliqué car le message était cohérent avec la période de l’année, et 16 % des personnes ont indiqué qu’elles pensaient connaître l’émetteur en se fiant seulement au prénom.

Pour paraphraser l’une de ces images détournées de chat, « L’humain se fait avoir tellement facilement ! »

Au cours de l’expérience, les chercheurs allemands, très joueurs, ont inventé un scénario classique. Ils ont recruté des étudiants pour les faire participer officiellement à une étude sur les comportements liés à Internet en leur proposant des bons d’achat pour les inciter à prendre part à l’étude. À aucun moment on ne leur a signalé qu’ils recevraient des mails de phishing.

Une fois la véritable étude sur le phishing terminée, les chercheurs ont révélé aux étudiants le motif de l’étude ainsi que les résultats puis ils les ont vivement mis en garde contre le fait de cliquer sur des liens d’e-mails de phishing idiots.

Mme Benenson s’est également exprimée sur ses recherches à l’occasion du séminaire Black Hat de l’an passé. Prenez quelques minutes pour regarder la vidéo, cela vaut la peine.

Le phishing : la triste vérité

Sur le blog IOS, nous avons aussi parlé du phishing et avons suivi les recherches sur le sujet. Pour faire court, nous n’avons pas vraiment été surpris par les résultats de l’équipe allemande, particulièrement en ce qui concerne les clics sur les liens menant vers des photos.

L’étude allemande semble confirmer nos propres intuitions : les gens s’ennuient au travail et se distraient comme ils peuvent en fouinant dans la vie privée de personnes qu’ils ne connaissent pas.

D’accord, on ne peut pas changer la nature humaine, etc.

Mais il existe une conclusion plus troublante liée au contexte général du message. L’étude suggère fortement que plus vous en savez sur la personne visée par le mail de phishing, plus il y a de chances qu’elle clique. Et c’est confirmé par une précédente étude de Mme Benenson, qui a obtenu un taux de clics de 56 % en s’adressant par son nom au destinataire de l’e-mail de phishing.

Les chercheurs commentent leur dernière étude :

 … adapter le contenu et le contexte du message à la vie réelle d’une personne est important. De nombreuses personnes n’ont pas cliqué car elles ont appris à éviter les messages provenant d’inconnus ou présentant un contenu inattendu  … Toutefois, pour certains participants, la même approche heuristique (« ce message est-il adapté à ma situation actuelle ? ») a débouché sur un clic car ils pensaient que le message pouvait provenir d’une personne présente à leur fête de réveillon ou qu’ils connaissaient peut-être l’émetteur.

Les implications en matière de sécurité des données

Chez Varonis, nous nous efforçons de faire passer le message selon lequel la sécurité en périphérie ne peut pas être votre dernière ligne de défense. Le phishing est, bien entendu, une des raisons majeures pour lesquelles les pirates trouvent qu’il est si facile de s’infiltrer dans l’intranet des entreprises.

Et les pirates déploient en permanence des trésors d’ingéniosité en se procurant des informations sur leurs cibles afin qu’elles soient plus susceptibles de mordre à l’hameçon. La recherche allemande montre que même un contenu peu personnalisé est très efficace.

Alors imaginez ce qui pourrait se produire si les pirates connaissaient les préférences personnelles de leurs victimes et possédaient des informations détaillées sur elles, glanées au fil de leurs observations sur les sites de réseaux sociaux ou peut-être par le biais d’un précédent piratage de site Web que vous utilisez.

Peut-être un pirate très malin qui m’espionne depuis quelques temps va-t-il m’envoyer cet e-mail diabolique sur mon compte Varonis :

Salut Eric,

J’ai été déçu de ne pas te voir aux Assises cette année ! Je suis tombé sur ton collègue Bryan Sylvan qui m’a dit que tu serais très intéressé par une recherche que je mène actuellement et qui porte sur le phishing et sur l’analyse du comportement des utilisateurs. Clique sur ce lien et dis-moi ce que tu en penses. J’espère que tout va pour le mieux chez Varonis !

Cordialement,

Bob Simpson, CEO de Phishing Analytics

Hum, je pourrais bien tomber dans le panneau un jour où je ne suis pas très en forme.

La leçon que tout service informatique doit retenir, c’est qu’il doit mettre en place une ligne de défense secondaire capable de surveiller les pirates lorsqu’ils agissent derrière le pare-feu et de détecter les comportements suspects en analysant l’activité du système de fichiers.

Pour en savoir plus, cliquez ici !

Vous avez cliqué ? Tant mieux, ce lien ne pointe pas sur un domaine Varonis !

Une autre conclusion de l’étude est que votre organisation doit organiser une formation sur la sécurité s’adressant tout particulièrement aux employés non spécialisés dans les technologies.

Nous sommes d’accord avec les chercheurs, il s’agit d’un bon investissement !