Edito

Bonjour à toutes et à tous,

En cette fin d’année et pour cette édition de décembre, nous avons voulu effectuer une petite rétrospective, un florilège d’articles sélectionnés dans nos précédentes éditions.

Ce qui nous a frappés, lorsque nous nous sommes lancés dans la sélection des articles que nous voulions vous soumettre dans cette édition « spéciale souvenir », c’est que bon nombre d’entre eux, bien que parus il y a plusieurs mois voire plusieurs années, mettent en lumière des sujets qui sont malheureusement toujours d’actualité !!

À cette occasion je vous encourage donc à consulter (ou consulter à nouveau) nos précédentes éditions, qui nous pouvons vous l’assurer n’ont pas pris une ride !!!

Bonne lecture et bonnes fêtes de fin d’année,

Christophe Borry

CISO (Chief Information Security Officer) du Crédit Agricole Pyrénées Gascogne

 

BON A SAVOIR

Sujet de la rubrique « Bonne Pratique » de notre Edition #6 du mois de novembre le Phishing reste une des attaques les plus faciles et massives qu’utilisent les pirates pour nous subtiliser des informations et in fine, de l’argent.

Le phishing c’est quoi ?

Même si le terme est connu par beaucoup, revenons sur la définition que nous en donne Wikipédia :

« L’hameçonnage, phishing ou filoutage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte nationale d'identité, date de naissance, etc. »

Même les internautes les plus avertis le savent, personne n’est à l’abri d’un email de Phishing. C’est pour cela que l’initiative originale mise en ligne par Jigsaw mérite que nous la mettions en avant dans cette Edition. La filiale de Google a en effet décidé de proposer au plus grand nombre, un quiz éducatif avec comme thème la délicate chasse aux faux mails :


Faire le test : https://phishingquiz.withgoogle.com/


Quelle en est la mécanique ?

Ce questionnaire a pour but de tester vos capacités à détecter les indices qui permettent de démasquer les emails illégitimes que nous recevons (trop souvent hélas) dans nos boîtes mails tous les jours.

Composé de huit exemples de phishing particulièrement bien réalisés, vous devez déterminer en répondant « Hameçonnage » ou « Légitime » si le mail présenté est un phishing ou non.

Au-delà du jeu, l’objectif de ce quiz est double : tout d’abord éprouver votre discernement face à ces faux mails, en vous présentant les différents cas que l’on peut trouver sur la toile.
L’autre objectif réside dans la dimension pédagogique proposée par Jigsaw, le test a en effet vocation à vous communiquer des clés pour pouvoir, à l’avenir, découvrir facilement les erreurs indiquant la présence d’un mail frauduleux.

Pour aller plus loin :

Nous profitons de cette édition pour vous parler d’une autre initiative ludique et pédagogique qui revient (entre autres) sur le thème du phishing : La campagne de prévention Hack Academy du CIGREF (dont le Crédit Agricole est partenaire) qui présente avec humour les cybers-risques auxquels s’exposent quotidiennement les internautes.

Nous vous laissons découvrir Willy expert du phishing : ici
N’hésitez pas à consulter les autres vidéos : ici

INDICATEURS SECURITE

 

  • 60% d’augmentation des attaques cyber sur un an au premier semestre 2021 (mc2i)
  • 90% des victimes de Ransomware ont perdu irrémédiablement des données (Wavestone)
  • 1 utilisateur sur 10 est victime d’attaque de phishing sur son mobile (IT Social)
  • 1000 milliards de $ c’est le coût des dépenses mondiales 2021 en cybersécurité (Cyber’Occ)

EVENEMENTS

 

  • 14 décembre / Paris / Securi’date
  • 16 décembre / Toulouse / Transfo Digital Day
  • 16 décembre / WebConference / L’identité Numérique dans tous ses états
  • 18 janvier 2022 / Paris / Panocrim (Panorama de la cybercriminalité du Clusif)


C'EST ARRIVE AILLEURS
Un Casino Piraté... à cause d’un thermomètre !

Signe des temps et de la rapidité d’adaptation des pirates, ils rivalisent d’ingéniosité pour arriver à percer les défenses des entreprises. Lors d’une conférence sur la sécurité à Londres, la responsable d’une société de cybersécurité a raconté la manière avec laquelle un casino a pu être pénétré à l’aide d’un thermomètre connecté placé dans un aquarium !

On vous l’expliquait dans notre newsletter du mois de septembre 2018, les objets connectés qui peuplent nos intérieurs deviennent de véritables « chevaux de Troie » qui permettent souvent par leur faible niveau de sécurité d’offrir de véritables portes d’entrée vers nos données personnelles.

C’est précisément ce qui est arrivé dans ce casino dont le nom n’a pas été révélé. Le thermomètre destiné à mesurer la température de l’aquarium du hall d’entrée était connecté au réseau Wifi de l’établissement. Les attaquants ont pu le pirater, et ainsi accéder au réseau local du casino afin de pirater les données les plus sensibles.

Ce sont notamment les informations relatives à des « high roll » les plus riches clients du casino, qui ont pu être envoyées vers des serveurs externes et disparaître ainsi dans la nature… La sécurité des objets connectés est aujourd’hui au cœur des préoccupations des responsables qui travaillent dans la sécurité informatique. Il y a fort à parier que ce genre d’attaque quelque peu originale fasse partie intégrante de l’actualité à venir avec la multitude d’objets connectés qui apparaissent dans notre quotidien.

  

CA N'ARRIVE PAS QU'AUX AUTRES
Doctolib victime d’un vol de données

Doctolib est la première plateforme de prise de rendez-vous médicaux, utilisée par plus de 35 millions de Français. Elle permet aux patients de l’hexagone de pouvoir en toute autonomie programmer leurs consultations auprès des différents praticiens médicaux et paramédicaux affiliés (docteurs, kinésithérapeute, spécialistes…).

Forte de plus de 135 000 professionnels adhérents, la plateforme Doctolib revendique plus de 60 millions d’utilisations par mois, ce qui fait de ce service un acteur majeur de la prise de rendez-vous. C’est justement cette énorme activité qui a certainement intéressé les pirates.

Nom, Prénom, Email, Téléphone

Pour vous inscrire, rien de plus simple ! Après avoir saisi vos nom, prénom et adresse email et téléphone, vous pouvez directement accéder à l’agenda de votre médecin pour prendre rendez-vous. Ces informations, certes basiques, représentent une véritable mine d’or pour les hackers qui peuvent ensuite les utiliser pour vous piéger grâce au phishing.

En disposant de ces informations, ils peuvent envoyer des messages personnalisés en usurpant l’identité de telle ou telle entreprise (banque, assurance, fournisseur d’énergie, site de vente en ligne) et ainsi tenter de piéger leurs potentielles victimes en les attirant sur des faux sites.

6128 rendez-vous piratés

Seulement, me direz-vous ? oui car l’attaque survenue le 21 juillet 2020 a été vite bloquée par les services informatiques de Doctolib…

La plateforme a indiqué, dans un communiqué de presse publié dès le 23 juillet, que la fuite d’informations ne concerne pas directement la prise de rendez-vous sur le site internet « officiel » du service. Il s’agit en fait des rendez-vous pris sur des logiciels tiers qui sont connectés à Doctolib par le biais d’API. Une API est une interface de programmation applicative permettant à d’autres sites d’utiliser le service de prise de rendez-vous de Doctolib et mise à disposition par la plateforme.

Il est également indiqué qu’aucune donnée médicale n’a pu être dérobée

« Aucune donnée médicale n'a pu être lue : aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n'a été concerné, rien ne nous permet de conclure à ce jour à une utilisation de ces informations administratives »

Cependant cela reste une confortable liste de données qui serait fort utile à des malfaiteurs pour initier de larges campagnes de phishing dans les semaines ou les mois à venir.

Si vous avez été amenés à prendre des rendez-vous médicaux directement sur internet durant le mois de juillet 2020, nous vous recommandons donc de redoubler de vigilance sur les mails que vous recevrez à l’avenir…Mieux vaut prévenir que guérir ;)

  

C'EST ARRIVE PRES DE CHEZ VOUS
Un prélèvement PayPal

Les escroqueries aux fausses transactions bancaires sont toujours très présentes ces dernières semaines. À l’image de ce mail reçu par l’une de nos clientes indiquant un problème de facturation sur un achat soi-disant validé par le service de paiement en ligne PayPal :

Comme toujours, les escrocs misent sur la peur de la perte financière et sur l’urgence pour collecter les informations financières de leurs malheureuses victimes…

En cas de réception de ce type de message, surtout ne paniquez pas et allez pointer vos opérations pour vérifier la véracité du litige avant de cliquer où que ce soit !

En cas de doute il est toujours plus prudent de se rendre sur le site « officiel » de la société qui vous contacte pour valider le bien-fondé de la demande.

  

LE SUJET DU MOIS
Les Dark Patterns…

Rappelez-vous votre dernière expérience de réservation en ligne pour trouver la destination de vos rêves pour cet été…Il y a fort à parier que vous vous soyez souvent retrouvé lors de vos consultations face à des messages comme : « il ne reste que deux chambres dans cet hôtel » ou bien « 25 personnes consultent cette offre en ce moment !». C’est un ressort psychologique très utilisé qui utilise nos mécanismes de pensée et nos sentiments les plus primitifs, on appelle cela les biais cognitifs.

Les biais cognitifs

Il s’agit de la somme des principes de pensée qui nous conduisent à adopter des comportements moins rationnels. L’exemple le plus parlant est celui de considérer de façon inconsciente qu’un produit à 999 € est nettement moins cher de celui affiché à 1000 €. Ces biais cognitifs agissent donc comme une sorte de « tunnel » qui fausse nos prises de décisions par une altération de jugement. (Vous trouverez ici un bel exemple de la chaine National Geographic qui résume cette forme de conformisme social). Cette méthode utilisée massivement dans le marketing tend depuis plusieurs années à pervertir notre expérience utilisateur sur les sites internet, les applications mobiles ou les logiciels, par le biais de Dark Patterns.

Les Dark Patterns

Les Dark Patterns, ou Dark UX (Sombre Expérience Utilisateur) est la méthode qui consiste à volontairement créer le design d’interface d’un service web dans le seul but de semer la confusion auprès des utilisateurs et in fine de les inciter à ne pas se désengager, à acheter vite, à dépenser plus… En résumé, à déclencher une action non souhaitée qui sera à l’avantage de l’entreprise ou du service mais non du client.

Ce néologisme, que l'on pourrait traduire par « sombres motifs », a été inventé en 2010 par un spécialiste du design d'interfaces numériques, Harry Brignull. Celui-ci a mis en ligne 6 ans plus tard le site darkpatterns.org pour informer sur les dérives de ce procédé. Une vidéo disponible sur le web (ici en anglais – Google vous permet de traduire les sous-titres automatiquement) illustre particulièrement cette mécanique implacable en montrant le parcours du combattant d’une suppression de compte Amazon ou de désinscription d’une Newsletter. Harry Brignull ne dénombre pas moins de 14 méthodes utilisées pour obscurcir l’expérience utilisateur, en voici 4 des plus édifiantes :

 

L’hôtel des cafards « Par où c’est la sortie ? »

En anglais le « Roach Motel » ou Hôtel des Cafards, est la technique ultime qui consiste, à l’instar d’un piège à cafards, à faciliter l’entrée mais rendre quasi impossible la sortie (pour empêcher par exemple aux utilisateurs de se désabonner d’un service payant). Comme le montre la vidéo, les designers du site d’Amazon ont fait délibérément en sorte que l’inscription soit très facile à réaliser tout en cachant dans les tréfonds du site web les options permettant d’effacer son compte. Cette évidente complexité mène souvent l’utilisateur même le plus décidé à baisser les bras et à conserver son abonnement.

 

Privacy Zuckering

Comme vous le savez vos données personnelles sont aujourd’hui monnayables. Vous aurez certainement reconnu une référence à Mark Zuckerberg fondateur de Facebook, car en effet ce Dark Pattern que l’on pourrait traduire par « La vie privée selon Zuckerberg » consiste à vous conduire par des interfaces trompeuses à recueillir le maximum d’informations personnelles n’ayant pas de rapport direct avec l’action que vous êtes en train de réaliser. Ce procédé qui s’interpose à la navigation est souvent vite accepté par l’utilisateur qui souhaite avancer dans sa requête ne se rendant souvent pas compte qu’il vient de révéler des informations personnelles détaillées sans aucun rapport avec l’action à effectuer.

 

Les CGU illisibles

Les Conditions Générales d’Utilisation (CGU) sont là aussi un bon exemple. Lorsqu’un service payant veut faire passer « en douce » des options complémentaires (coûteuses bien évidemment), rien de tel qu’une tartine de conditions en petits caractères, sans paragraphe ni interligne, mais avec un gros bouton salvateur « Accepter » bien en évidence, qui va vous sauver d’une potentielle indigeste lecture.

 

Le leurre de l’urgence.

Nous vous en parlions en préambule, les sites de réservation utilisent abondamment cette méthode qui consiste à utiliser la peur de la perte pour vous inciter rapidement (et fausser votre perception) à accélérer votre processus de décision. Les mentions « dernière chambre à ce tarif !!», « forte demande pour ces dates !!» …N’ont pas de bien fondé, elles ne vous sont présentées que pour précipiter votre réservation et ainsi éviter que vous alliez sur un autre site pour effectuer des comparatifs.

 

Des avancées sur l’encadrement de ces méthodes

Une proposition de loi visant à éradiquer ces pratiques a été déposée par deux sénateurs américains. Ce projet de loi, surnommé le DETOUR ACT (« Deceptive Experiences To Online Users Reduction » ou en français « Réduction des expériences trompeuses pour les utilisateurs en ligne ») vise à rendre illégale l’utilisation de cette pratique de Dark Patterns pour les plateformes regroupant plus de 100 millions d’abonnés par mois.

En Europe le RGPD « Règlement général sur la protection des données » a dans ses prérogatives de sanctionner certaines de ces pratiques à travers le principe de « Privacy by Design », qui impose le respect des données personnelles et ce dès la phase de design d’un site Web ou d’une interface.

Que faire ?

Il est délicat de répondre à cette question tant ce type de pratique au carrefour de l’optimisation et de la manipulation, peut sembler difficile à appréhender. Toutefois à la lumière de ces exemples, une chose est sûre, le point commun entre toutes ces méthodes est le détournement d’attention et la complexité. Nous ne pouvons que vous conseiller de redoubler de prudence lors de vos navigations et surtout de vous poser les bonnes questions : pourquoi donner autant d’infos, suis-je vraiment pressé de valider cette transaction ?

Retrouvez les anciennes editions