Des milliers d'étudiants et d'employés d'université ciblés par des programmes de phishing par e-mail cette année ont mordu à l'hameçon. Heureusement, ils n'ont pas été dupés par de vrais escrocs, mais par leurs propres écoles, dans des simulations destinées à les rendre plus aptes à détecter les menaces réelles.

Lorsque l'Ohio State University a lancé son premier hameçonnage axé sur les étudiants en janvier, une stratégie également utilisée dans le monde de l'entreprise, plus de 18 % des destinataires ont cliqué dessus. La campagne de sensibilisation au phishing centrée sur les employés de l'Université d'Alabama à Birmingham a décroché plus de 7 000 personnes en mars, soit environ un quart des bénéficiaires.

Ezequiel Herrera, étudiant en deuxième année de l'Ohio State, qui se targue de répondre rapidement aux messages, a été pris au dépourvu à deux reprises par les faux e-mails de phishing. La première fois, il a dit, il était fier que son école entreprenne ce genre d'action éducative. La deuxième fois le laissa frustré.

"J'étais un peu comme, 'Wow, Je suis vraiment, vraiment mauvais, '" Herrera, 19, dit avec un sourire. Depuis, il a dit, il est devenu plus prudent en parcourant les e-mails d'expéditeurs inconnus.

Les faux messages de phishing imitent les e-mails concernant l'aide financière, vacances, réinitialiser les mots de passe ou d'autres sujets mais contiennent des signes de fraude potentielle, comme les salutations génériques, les demandes d'action ou d'information urgentes, fautes d'orthographe, et les expéditeurs de noms de domaine inconnus. Les destinataires qui cliquent sur les liens dans les e-mails sont redirigés vers des conseils sur les bonnes habitudes de cybersécurité et sur la façon de repérer et de signaler de véritables tentatives de vol de mots de passe ou d'autres informations sensibles.

« Une simulation de phishing aide les utilisateurs à comprendre le rôle qu'ils jouent dans la gestion de la sécurité :ce n'est pas à leur support informatique ou au service d'assistance ou à quiconque qu'ils peuvent marcher aveuglément, " dit Hélène Patton, Chef de la sécurité informatique de l'État de l'Ohio. "Une grande partie de ce qui rend une organisation sécurisée est ce qui se passe entre un individu et son clavier ou son téléphone."

Patton en parle comme d'une vaccination numérique, aider à protéger les individus et la communauté universitaire au sens large contre les cyberattaques qui pourraient coûter bien plus cher que les simulations de phishing.

Le mois dernier, Les procureurs américains ont accusé un groupe d'Iraniens d'avoir piraté les systèmes informatiques d'environ 320 universités aux États-Unis et à l'étranger pour voler des milliards de dollars de recherches scientifiques et techniques qui ont ensuite été utilisées par le gouvernement ou vendues à des fins lucratives. Les procureurs ont déclaré que les e-mails de spear-phishing ont été utilisés pour cibler plus de 100, 000 professeurs, mais ils n'ont pas identifié publiquement ces individus ou leurs écoles.

L'État de l'Ohio utilise des simulations d'hameçonnage pour les employés depuis 2016. Les responsables ne divulgueront pas les résultats exacts pour des raisons de sécurité, mais disent que les réponses se sont améliorées depuis les premiers tours lorsque, par exemple, un message concernant une imprimante du deuxième étage a été cliqué par des personnes dans des installations qui n'avaient même pas de deuxième étage.

En hâte, culture basée sur la technologie dans laquelle tant de personnes échangent tant d'informations à portée de main sur les smartphones et autres appareils, Patton a dit, la bataille amène les gens à ralentir.

Le pratique, la formation expérientielle au faux phishing s'est avérée plus efficace que les diaporamas, des webinaires ou d'autres types de formation courants qui peuvent devenir obsolètes, dit Joanna Grama, qui dirige le programme de cybersécurité à l'association technologique de l'enseignement supérieur EDUCAUSE.

Le risque, bien sûr, c'est que les gens se sentiront dupés, il est donc important que la formation soit pédagogique, pas punitif, dit Grama.

En Alabama-Birmingham, un membre du corps professoral a dénoncé la simulation de phishing comme une perte de temps, mais la plupart des réponses étaient positives, dit Curt Carver, le vice-président de l'université pour les technologies de l'information, qui se souvient avoir entendu parler pour la première fois du concept d'auto-hameçonnage il y a plus de dix ans.

Certaines personnes signalent les messages comme suspects, et d'autres envoient des réponses comme "Ha, tu m'as eu !" ou "Je ne m'ai pas eu cette fois !" Quelques-uns, il a dit, a exprimé son intérêt à en faire un jeu plus, vouloir évaluer dans quelle mesure ils détectent les attaques de phishing par rapport aux autres.

"Ils ont réalisé... qu'ils peuvent être un héros, ils peuvent être une personne qui aide à protéger tout le monde, " dit Carver.

© 2018 La Presse Associée. Tous les droits sont réservés.