JO de Paris 2024 : une campagne de phishing mise en place pour évaluer les gendarmes !
Une campagne de phishing grandeur nature a été volontairement mise en place pour évaluer le niveau de vigilance des 9 000 gendarmes et gendarmes adjoints d’Île-de-France. Résultat : 1 personne sur 10 a cliqué sur le lien "malveillant" présent dans l'e-mail après l'avoir ouvert.
Dans quelques mois, le monde entier aura les yeux rivés sur les Jeux Olympiques de Paris 2024. Pour les cybercriminels, cet événement mondial est une aubaine, et la France doit se préparer pour assurer la sécurité et le bon déroulement de ces Jeux Olympiques. Les services informatiques de la gendarmerie ont pris la décision d'évaluer les gendarmes grâce à une campagne de phishing déployée à des fins de sensibilisation.
Ainsi, ce week-end, en pleine nuit, 9 000 militaires ont reçu un e-mail un peu particulier dans leur boite de réception, mais qui avait tout de la bonne affaire : des billets gratuits pour assister aux compétitions olympiques, dans le but de remercier les forces de l'ordre pour leur engagement ! Bien entendu, pour accéder à cette offre, la personne doit cliquer sur le lien contenu dans l'e-mail ayant pour objet "Dotation exclusive de places pour les épreuves des Jeux olympiques 2024". Dans le cas présent, il s'agit d'un lien malveillant pour essayer de piéger les militaires.
Sur les 9 000 gendarmes, 5 000 ont ouvert l'e-mail en question et 500 d'entre eux ont, en plus, cliqué sur le lien. Autrement dit, 10% des gendarmes qui ont ouvert l'e-mail sont tombés dans le piège "des cybercriminels", soit environ 5% sur le total de 9 000 gendarmes. Ici, fort heureusement, pas de malwares, mais un message d'avertissement : "Phishing, hameçonnage, le lien que vous venez de sélectionner dans le mail était un lien piégé".
Qu'est-ce qui n'allait pas avec cet e-mail ?
Quand nous lisons ça, il est légitime de se poser plusieurs questions : à quoi ressemble l'e-mail ? Quelle est l'adresse e-mail de l'émetteur ? Etc... Bref, quels sont les éléments qui auraient dû alerter les gendarmes pour qu'ils se disent "Ah, il s'agit d'une tentative de phishing".
Dans le cas présent, l'e-mail contenait 2 fautes d'orthographe, et surtout il émanait d'une adresse e-mail basée sur un domaine différent du domaine officiel : "gendarmerieinterieur-gouv.fr", au lieu de "gendarmerie.interieur.gouv.fr" (subtile !). De plus, l'e-mail était signé par un haut gradé dont le grade était incorrect. Il fallait quand même avoir un œil un minimum averti, finalement.
Personnellement, je pense que c'est inutile de critiquer "ce score" et de crier au scandale : même s'il y a une marge de progression, il y a fort à parier que dans la grande majorité des entreprises, une campagne ciblée comme celle-ci, ferait surement beaucoup de dégâts. N'oubliez pas : la sensibilisation des utilisateurs est l'affaire de tous.
Pour avoir mener une campagne de sensibilisation au phishing par une mise en situation réelle dans ma précédente boite, les résultats étaient bien pire lors des 1er envois.
Il n’y a donc pas à rougir de ce score sur un test en one shot.
Chaque entreprise devrait faire de même car comme on le sait tous, l’utilisateur est un risque qui se doit d’être pris en compte.
Je ne ferai pas de publicité ici mais il y a des prestataires dont c’est le métier qui peuvent vous accompagner dans genre de démarche.