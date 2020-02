Il y a environ 15 ans, le phishing est passé d’un phénomène pratiquement inconnu à un sujet médiatique quotidien. Avec l’arrivée de nouveaux utilisateurs sur Internet et la commercialisation d’Internet pour de bon, les opportunités abondaient pour les hameçonneurs, qui utilisent la tromperie d’identité pour frauder les utilisateurs de courrier électronique. En conséquence, et en l’absence de contre-mesures techniques, les e-mails de phishing se sont soudainement retrouvés dans les boîtes aux lettres de tout le monde. En pratique, la seule défense était les conseils des experts en sécurité: attention aux e-mails mal orthographiés; et ne cliquez pas sur les liens.

Au fil des ans, la sophistication des attaques n’a cessé de croître et le nombre de variétés de courriels trompeurs s’est multiplié, avec des stratégies d’attaque comme l’usurpation d’identité de collègues (soi-disant compromis sur les courriels commerciaux ou fraude du PDG) en augmentation spectaculaire. . La sophistication accrue a entraîné une amélioration des rendements, incitant de plus en plus de criminels potentiels à tenter leur chance à la tromperie.

Les entreprises et autres organisations continuent de croire qu’elles peuvent former leurs utilisateurs à échapper aux cyberattaques. Gartner estime que le marché de la formation informatique à la sensibilisation à la sécurité augmentera à un taux de croissance annuel composé de 42% d’ici au moins 2023, contre 451 millions de dollars en 2018.

Mais à ce stade, l’accent traditionnel mis sur la formation des utilisateurs est une dépense de ressources et un fardeau pour l’utilisateur final qui ne peuvent plus être justifiés par les résultats. À mesure que les techniques de tromperie en ligne prolifèrent et deviennent plus sophistiquées, il devient de plus en plus difficile pour les utilisateurs individuels de détecter la fraude. Le retour sur investissement de tout effort de sensibilisation à la sécurité a considérablement chuté, et le fardeau des utilisateurs pour prendre des décisions de sécurité a augmenté.

La sensibilisation des utilisateurs ne devrait plus être la principale défense contre l’ingénierie sociale. En fait, la technologie de la cybercriminalité a évolué au point qu’elle ne peut être vaincue de manière fiable qu’avec une technologie opposée. Les humains sans aide ne sont plus en mesure de se défendre adéquatement contre la cybercriminalité, pas plus que les combattants avec des arcs et des flèches ne peuvent vaincre les ennemis armés d’hélicoptères d’attaque.

La plupart des défenses conviennent mieux aux algorithmes qu’aux utilisateurs finaux. Au lieu de cela, les professionnels de la sécurité et de la gestion des risques ne devraient informer les utilisateurs finaux que des menaces qu’ils sont susceptibles de détecter, tout en dépendant principalement des défenses techniques pour la grande majorité des attaques.

Au début, les attaques de phishing «traditionnelles» auraient produit des rendements de l’ordre de 3%, ce qui signifie que la grande majorité des victimes prévues ne sont pas tombées dans le piège. D’un autre côté, les attaques sophistiquées telles que le hameçonnage sont connues pour voir des rendements supérieurs à 70%.

Les e-mails de phishing soigneusement conçus (ainsi que d’autres types d’e-mails trompeurs) sont très difficiles à repérer pour les utilisateurs types.

Certains types d’attaques sont presque impossibles à identifier, même pour les utilisateurs hautement techniques. Considérons, par exemple, une attaque dans laquelle l’attaquant compromet un compte de messagerie légitime (par exemple, en hameçonnant le propriétaire), puis en utilisant le compte compromis pour attaquer les contacts de l’utilisateur hameçonné.

D’autres attaques, telles que celles utilisant des noms d’affichage trompeurs pour usurper l’identité d’un collègue d’une victime, sont plus faciles à repérer pour un utilisateur, du moins en théorie. En inspectant toujours l’adresse e-mail de l’expéditeur et en s’assurant qu’il s’agit d’un utilisateur connu, on peut éviter de tomber dans le piège de telles attaques. Cependant, la surveillance accrue s’accompagne d’un prix élevé: pour chaque étape supplémentaire ajoutée aux tâches banales, notre productivité diminue naturellement.

De plus, ces attaques sont difficiles à détecter dans la pratique, étant donné l’erreur humaine: de nombreuses personnes, au moins occasionnellement, envoient accidentellement des e-mails à partir de comptes personnels au lieu de comptes professionnels, et vice versa, créant une ambiguïté sur ce qui est fiable et ce qui ne l’est pas . En conséquence, un utilisateur sur 10 clique sur des e-mails avec des noms d’affichage trompeurs, rapporte la société de sécurité Barracuda.

Compte tenu de budgets limités, tant en termes de coûts financiers que d’attention, les entreprises et les particuliers doivent décider des batailles de sensibilisation à choisir, en fonction des difficultés rencontrées par les gens et des types de contre-mesures automatisées qui fonctionnent bien. Prenez, par exemple, le conseil “si cela semble trop beau pour être vrai, c’est probablement le cas” – ainsi que la variante “si cela semble trop mauvais pour être vrai, c’est probablement le cas”. Les gens ont des émotions et du jugement pour les avertir quand quelque chose tombe dans cette catégorie, mais jusqu’à présent, les ordinateurs ne le font pas. C’est donc quelque chose qui mérite une campagne de sensibilisation.

D’un autre côté, les noms d’affichage trompeurs sont relativement difficiles à repérer, mais assez faciles à détecter pour les ordinateurs. Il s’agit d’un problème où les défenses automatisées conviennent mieux que les efforts de sensibilisation.

Tant pour la santé numérique que pour la santé humaine, l’influence relative du comportement par rapport à la technologie est la même. Depuis leur enfance, les humains apprennent à éviter les risques pour leur sécurité: ne mangez pas de saleté, ne traversez pas la route sans regarder dans les deux sens, ne fumez pas. Mais les gains importants d’espérance de vie réalisés au cours du siècle dernier proviennent principalement des progrès de la technologie médicale pour lutter contre la maladie.

La prescription est également la même: pour la santé humaine, prenez soin de vous et évitez les risques courants, mais par tous les moyens consultez un bon médecin et prenez vos médicaments. Pour la santé électronique, enseignez à vos utilisateurs l’hygiène numérique de base, mais engagez votre budget et votre temps à garder une longueur d’avance sur l’ennemi dans la course aux armements techniques qui est impossible à éviter.