JO de Paris : les gendarmes français "cyber-testés", le résultat n'est pas joli à voir...

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 18 mars 2024 à 13h43

Les motos de la Gendarmerie Nationale alignées

Parmi les 5 000 gendarmes ayant ouvert l'e-mail test envoyé par les autorités, 10% ont cliqué sur le lien frauduleux associé. Une initiative aussi intéressante qu'inquiétante, à 130 jours des JO de Paris.

Les gendarmes et gendarmes adjoints de la région Île-de-France (RGIF) ont été les acteurs d'un test XXL ces derniers jours, à l'origine d'une direction qui voulait savoir où en étaient les forces vives dans le jeu de la cybersécurité. 9 000 gendarmes ont ainsi reçu un vrai-faux e-mail d'arnaque, dans lequel était hébergé un lien piégé. À quatre mois des Jeux olympiques de Paris, les résultats ne sont guère rassurants.

1 gendarme sur 10 ayant ouvert l'e-mail clique sur le lien malveillant

C'est en pleine nuit que les gendarmes ont reçu un e-mail plutôt alléchant. En objet, la mention « Dotation exclusive de places pour les épreuves des Jeux olympiques 2024 » attire l'oeil, forcément, et c'est pour ainsi dire le but de la démarche : pousser au clic et à l'ouverture du message électronique.

Sur les 9 000 destinataires, ils sont 5 000 à avoir ouvert l'e-mail. Si beaucoup ont craqué sous l'effet de la curiosité, une partie d'entre eux est tombée dans le piège. 500 militaires ont cliqué sur le lien piégé contenu dans le courrier électronique, par manque de vigilance.

Au total, parmi les gendarmes ayant ouvert l'e-mail, ils sont 10% à avoir cliqué sur le lien frauduleux. Un taux de clics qui ferait le bonheur de n'importe quel groupe de pirates informatiques.

A découvrir

Les hackers qui ont attaqué la France jouent la provocation : "Nous nous détendons pendant que..."

12 mars 2024 à 12h07

News

Plus de peur que de mal pour les gendarmes peu attentifs, mais un sérieux rappel à l'ordre

Pourtant, plusieurs indices ont pu mettre la puce à l'oreille des gendarmes un minimum attentif. D'abord, l'adresse de l'expéditeur : « gendarmerieinterieur-gouv.fr », au lieu de « gendarmerie.interieur.gouv.fr ». On peut aussi citer l'auteur du message, faussement signé du patron de la gendarmerie francilienne, Xavier Ducept, qui n'aurait évidemment pas envoyé un tel message.

Ceux qui ont commis la maladresse de cliquer sur le lien ont atterri sur une page aux airs de « plus de peur que de mal », où le message rassurant « Phishing, hameçonnage, le lien que vous venez de sélectionner dans le mail était un lieu piégé » a fait tomber les pulsations cardiaques à un rythme plus raisonnable.

Cet exercice nous fait penser à un piège similaire qui avait eu lieu aux Assises de la sécurité (gros rendez-vous annuel cyber où se retrouvent des professionnels du secteur) il y a quelques années, à l'origine d'une entreprise un brin taquine, qui avait fait de nombreuses victimes, sans conséquence heureusement. En ce qui concerne les gendarmes qui auront en charge la sécurité d'événements comme les JO de Paris, le test a le mérite de montrer qu'un exercice de vigilance cyber est plus que jamais nécessaire, pour faire de ce rendez-vous historique une réussite.

A découvrir

Meilleur antivirus, le comparatif en novembre 2024

30 octobre 2024 à 11h48

Comparatifs services

Sources : Le Parisien, Clubic

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Cybersécurité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

somoved

Prenez un sujet qui intéresse beaucoup la majorité des cibles et vous aurez un résultat similaire. Que se soit publique, privé ou militaire.
La culture sécuritaire n’existe pas chez les utilisateurs. Les rares formations ne semblent pas faire bouger beaucoup les choses.
Il faut que les utilisateurs soient vraiment formé, mais les humains c’est faillible et un jour de grosse fatigue, de stress, d’inattention, le jour où on attend un colis important et qu’on reçoit ce putin de fiching qui dit que des taxes sont ajoutées …

jvachez

Ca montre surtout un problème au niveau des logiciels de sécurité. Les gendarmes ne devraient même pas avoir à se poser de question.

MattS32

Un logiciel de sécurité n’est jamais infaillible, imaginer qu’il puisse l’être est déjà une grosse erreur de sécurité.

Et là forcément, il est normal qu’il ait laissé passer le mail en question, puisqu’il s’agissait de tester la réaction des gens face à un mail qui serait effectivement passé au travers du logiciel…

Et d’ailleurs, paradoxalement, plus le logiciel de sécurité est fiable… plus les gens se feront facilement avoir par un mail qui passerait en travers. Parce que quand tu t’habitues au fait que le logiciel bloque toutes les menaces, tu te dis beaucoup plus facilement « si ce mail est passé, c’est qu’il est légitime » que quand tu en as régulièrement du même type et que tu as du coup pris l’habitude de faire tes propres vérifications avant de cliquer.

kplan

10% ce n’est pas si mauvais en comparaison de ce qu’on peut trouver en entreprise lors de ce type d’exercice, même après formation.
En outre la cible était exclusivement des gendarmes, avec des adresses clairement connues. À part mettre la main sur ces 9000 adresses, rares sont les tentatives de phishing qui toucheront autant de gendarmes à la fois, avec un nombre de personnes piégées directement proportionnel.
Quand on sait combien de gendarmes seront mobilisés à cette occasion, l’objet du message était vraiment très ciblé et attractif.
Ceci dit, c’est un bon exercice qui demandera un feedback sérieux.

MattS32

Et en le faisant juste avant les JO, c’est aussi l’occasion de leur faire une petite piqûre de rappel, qui les rendra plus attentif pendant quelques mois.

Mel92

Je suis étonné qu’après toutes ces années, il n’y ait pas, au moins au niveau national et nos FAI, une sorte de DNS des noms de domaines pourris qui soit mis à jour dans la seconde où un internaute le signale. Le client mail et ou web devrait aller vérifier ce nom de domaine avant d’autoriser à y aller (et émettre de gros messages d’alerte de toutes façons).
Ça ne me parait pas super difficile à mettre en place et on pourrait aussi faire la même chose avec les SMS avec en plus la désactivation directe des numéros de téléphone émetteur (quand c’est des téléphones).
Il suffirait d’avoir quelques mecs en 24/7 qui valident les entrées dans ce DNS des pourris (pas besoin de justice ni même de police, c’est pas un droit de l’homme d’envoyer du fishing).

Dans le même temps que ce DNS est mis à jour, le GIGN, les SWAT, le SAS, les Black Cats, le SAT, le SARS du Nigéria recréé pour l’occasion etc. enfin tous les gros bras de la terre, vont aller casser les genoux de ceux qui ont enregistré ces noms de de domaine (et donc payé).

Nmut

En théorie, c’est possible. Dans la pratique, je pense que tu n’as aucune idée du nombre de domaines déposés chaque jour: plus de 30000… Dont une bonne partie plus ou moins louches je suppose. Comment tu filtres ça?
Disons (totalement au pif) que tu peux en éliminer la moitié automatiquement (nom de domaine existant à 1 lettre près par exemple), il en reste 15000 à valider. Qui va payer les types qui vont vérifier ça à la main, et sur quels critères? Et il faudra traiter les milliers de réclamation de sites légitimes écartés par erreur. Quand tu montes ta boite, tu n’as pas vraiment envie d’attendre un mois pour voir ta demande de domaine acceptée…

MattS32

Ça existe, et tous les navigateurs modernes le font, notamment via Google Safe Browsing : https://safebrowsing.google.com/.

Mais il faut d’abord que le site soit signalé comme malveillant, puis que quelqu’un le vérifie (parce que sinon, ça serait immédiatement détourné par des petits malins pour bloquer des sites légitimes en les signalant…), donc ça peut prendre quelques heures.

Je vérifie de temps en temps les domaines frauduleux que je reçoit par mail ou SMS, et ça arrive régulièrement qu’ils soient en fait déjà morts au moment de mon test.

Mel92

C’est pas efficace sans compter que les clients mail ne font rien. La meilleure preuve ce sont les 10% des gendarmes qui se retrouvent sur le lien pourri. Un nom de domaine inconnu qui se retrouve dans un mail à destination de 9000 gendarmes est nécessairement un nom de domaine pourri (quelque soit le contenu du mail d’ailleurs). On va même dire que je suis extrême, mais je ne suis pas loin de penser qu’envoyer 9000 mails d’un coup mérite déjà une punition et un blacklisting automatique (la mailing list c’est une forme de démarchage et ça devrait être interdit).

Le serveur de ma boite fait beaucoup d’efforts. Par exemple dans le cas du mail des gendarmes il indiquerait que la source du mail est externe à la gendarmerie. Mais c’est totalement insuffisant.

Et puis il y a un problème de fond: safebrowsing n’adresse pas le problème. Moi je veux un truc qui marque les noms de domaines pourris (c’est à dire qui veulent me piquer mon pognon), pas juste dangereux ou plutôt pas safe suivant l’interprétation des GAFAM.
Je ne demande pas à une autorité de me signaler qu’il y a des filles dans des situations équivoques, des œuvres piratées, des messages racistes, pédophiles, terroristes ou complotistes ou même des logiciels crackés plein de virus. Pour ça, je sais ce que je fais. Par contre, un faux site de ma banque là, je tique grave.

MattS32

Les clients mail, dans 99% des cas quand tu cliques sur un lien, ils l’envoient vers le browser ou la webview de l’OS.

Il n’y avait absolument aucune raison que ce lien soit dans la base… Ceux qui ont fait ce tests n’allaient pas signaler le lien, parce que ça leur empêcherait de savoir la proportion de gens qui ont cliqué sur le lien (alors que c’est justement le but du test…). Et ceux qui se sont fait avoir, ils vont pas le signaler non plus…

Et ceux qui ne se sont pas fait avoir, ils ne l’ont sans doute pas signalé non plus : dans le monde pro, la consigne dans ce cas est généralement de ne pas signaler soi même à une base extérieur, on doit le signaler au responsable de la sécurité informatique, qui prend de son côté les mesures nécessaires (donc s’il fait bien son boulot, notamment un blocage au niveau du réseau pro en attendant que ça soit propagé dans les bases publiques… mais là encore, comme le but était de déterminer combien de % ont cliqué, le responsable sécurité ne va pas mettre en place de blocage…).

Quand au fait qu’un mail envoyé à 9000 destinataires aurait dû être bloqué par le serveur, oui. Et là encore, c’est sans doute ce qui se serait passé s’il ne s’était pas agi d’un test… Mais quand tu fais ce genre de test qui vise à évaluer le risque humain et sensibiliser le personnel au problème, tu fais justement en sorte que le mail arrive aux humains en désactivant tous les blocages techniques qui pourraient l’en empêcher…

Le fait que ce mail soit arrivé à destination ne prouve en aucun cas qu’un vrai mail malveillant ciblant 9000 gendarmes serait arrivé à destination…

Dans ma boîte, je reçoit toujours les mails test. Mais j’ai encore jamais reçu de vrai attaque. Et pourtant mon adresse pro est sur plusieurs dépôts Git publics, pour certains depuis plus de dix ans, car j’ai travaillé plusieurs fois pour cette boîte, donc je n’imagine pas un seul instant que cette adresse ne soit pas régulièrement attaquée… Donc les vraies attaques sont correctement filtrées et au final seuls les tests passent.

Ben oui, mais ça c’est ton besoin. Ce n’est pas le même que celui de tout le monde. Donc si on doit faire une base pour les besoins de chacun, on s’en sort pas… Quand tu vas sur un site dont tu sais qu’il est à risque, en connaissance de cause, tu peux toujours passer outre l’alerte de Safe Browsing.