La sensibilisation est probablement l'activité qui nécessite le plus d'énergie en matière de sécurité informatique. Pour comprendre le risque, il faut déjà avoir un minimum de connaissance informatique.

Au fur et à mesure des dernières années, l'utilisateur lambda a été plus ou moins sensibilisé à:

  • Disposer d'un anti-virus à jour

Cette recommandation a été tellement rabachée à l'utilisateur qu'il croit aveuglément que son anti-virus le protègera de toute menace, ce qui est totalement faux. La sensibilisation, c'est aussi de lui dire que son anti-virus aura toujours du retard par rapport aux nouveaux malware, et qu'il ne fera que détecter des menaces connues. Lui rappeller que plus de 100 000 souches de malware sont publiées chaque jour n'est pas forcément un bon argument d'ailleurs, ça lui fera plus peur qu'autre chose.

  • Disposer d'un firewall

... Mais ne t'en fais pas, ton Windows dispose d'un firewall, et gère tout, tu n'as pas à comprendre ce que c'est. Encore un fail...

  • Mettre à jour toutes ses applications

... Mais quand une pop up sort de nulle part pour dire: "vaz y,install-moi, je une nouvlle mis a jour d'Adobe Reader", que fait l'utilisateur ? *click*

  • Ne pas ouvrir des mails venant d'inconnus

Cette recommandation, pourtant bonne à la base, doit être accompagnée d'une sensibilisation sur les malware et leur mode de fonctionnement. "Je ne comprend pas, quand j'ai ouvert le PDF qui avait l'air super, l'ordi a montré un PDF, ça ne peut pas être un virus !" ...

  • Ne pas ouvrir de pièces jointes "louches" venant de personnes connues

La sensibilisation au spear phishing ne peut être qu'un échec avec les particuliers. Même en entreprise, c'est compliqué.

  • Ne pas naviguer sur des sites pornographiques

Cette recommandation est inutile, parce que les cybercriminels infectent maintenant des sites légitimes, afin de propager des malware et infecter nos pauvres utilisateurs.

  • Ne pas effectuer d'achat en ligne sur un site "louche"

En gros, tu n'achèteras plus que chez Darty ou... La Redoute.

  • Se méfier comme de la peste de tous les méchants qui sévissent sur "Le Bon Coin".

Cette recommandation que j'ai déjà entendue fait sourire. Comment un utilisateur ferait-il la différence entre un escroc et une personne honnête sur ce site ? Un des résultats de cette recommandation est que certains utilisateurs n'effectueront aucun achat sur le site.

  • Ne pas connecter une clef USB que tu ne connais pas à ton ordinateur

... Mais comment réagir, lorsque par courrier POSTAL on reçoit ça :

Redoute.jpg

Alors là, je dis merci, merci La Redoute, mille fois merci, tu es le premier maillon d'une chaine qui sèmera encore plus de confusion chez les utilisateurs, et qui permettra à certains cybercriminels de profiter de la crédulité des utilisateurs.

Habituer l'utilisateur à connecter un dispositif USB d'une source inconnue est tout sauf une bonne chose. Qu'est-ce-qui lui garantit que le courrier vient bien de "La Redoute" ? Le joli papier coloré estampillé du logo de la société ? Le fait qu'il y ait écrit "La Redoute" partout ?

Leur courrier ne contient même pas de référence client, c'est un courrier envoyé en masse à tous leurs abonnés...

La prochaine étape, vous l'avez compris, consistera pour certains cybercriminels à envoyer de faux courriers de toutes les sociétés crédibles de démarchage à domicile, dans le but de leur faire ouvrir un certain fichier... Qui sera bien sûr un malware.

Vous me direz que c'est fournir bien des efforts pour infecter quelqu'un avec un malware bancaire, par exemple, et que les fraudeurs ont d'autres méthodes beaucoup plus faciles. Evidemment. Quid d'attaques ciblées, par contre ?

Cette chère Madame Dupont, qui travaille dans une société sensible sur des technologies de pointe, ne devinera jamais que son ordinateur personnel s'est fait poutrer parce que sa femme voulait voir ce que "La Redoute" lui envoyait...Et que son compte mail a été compromis pour spear phisher ses collègues, puis compromettre tout le système d'information de la société... Mais ça, bien sûr, ça n'arrive jamais ;-)

EDIT: En fait, le dispositif USB fourni par La Redoute n'est pas un support de stockage USB: c'est une webkey USB HID qui, une fois insérée, simule un clavier, lance le navigateur en faisant un "touche Windows+R", tape l'URL de destination et s'y connecte.

L'URL en question est http://secure-ctw.com/dp

Cette URL mène à une page légitime de La Redoute.

En résumé, La Redoute envoie par La Poste à tous ses clients un dispositif ayant un comportement hautement intrusif et potentiellement dangereux. Pour les petits curieux, si on change le "/dp" de la fin de ce lien, on peut voir d'autres clients de secure-ctw...

Enfin, le dispositif USB ne mène même pas directement vers La Redoute, mais vers un tiers... Imaginez ce qui se passerait si ce tiers était compromis et propageait du malware.