L'Université de Californie à Santa Cruz a envoyé un faux e-mail d'alerte au virus Ebola pour sensibiliser sa communauté au phishing. Le message, prétendant qu'un employé avait contracté le virus après un voyage en Afrique du Sud, a semé la panique sur le campus.
Quel meilleur moyen pour tester les réactions d'individus et de les sensibiliser pour mieux les protéger que l'exercice de sécurité ? On se souvient du score plutôt passable des gendarmes français, « cyber-testés » avant les JO de Paris 2024. Le 18 août dernier, l'Université de Californie à Santa Cruz (UCSC) a appliqué l'adage « mieux vaut prévenir que guérir » à l'ensemble de sa communauté.
C'est ainsi qu'étudiants et membres du personnel ont reçu un e-mail qui a fait l'effet d'une bombe : un cas d'Ebola détecté sur le campus. De quoi glacer le sang de n'importe qui. Sauf que l'exercice louable de sensibilisation au phishing, a rapidement mal tourné. Très mal tourné.
Du test phishing à la panique et l'indignation : quand la tentative de sensibilisation échoue
Pour comprendre à quel stade de la compétition ce test de phishing a dérapé, il faut revenir sur son procédé. Dans un premier temps, l'établissement a conçu un faux e-mail d'alerte, annonçant la présence du virus Ebola sur le campus. Ce message, soigneusement élaboré, visait à imiter une communication officielle pour qu'il soit crédible aux yeux des destinataires.
L'e-mail a ensuite été envoyé à l'ensemble des étudiants et du personnel pour donner l'illusion d'une crise sanitaire imminente. À l'intérieur du message, un lien invitait les destinataires à cliquer pour obtenir plus d'informations sur la situation, reproduisant ainsi une technique classique de phishing. L'université a alors observé les réactions et noté combien de personnes avaient cliqué sur le lien frauduleux, ce qui lui a permis d'évaluer le niveau de vigilance de sa communauté face à ce type de menace.
Si la démarche était louable sur le fond, c'est la forme qui a posé problème. Car non seulement la crainte de la propagation d'un virus a semé la panique au sein du campus, mais encore la formulation de l'e-mail a été perçue comme inappropriée par de nombreux destinataires, comme Alicia Riley, professeure adjointe de sociologie à l'UCSC et chercheuse en santé publique qui a interpellé les expéditeurs du message, reçu pour ne rien arranger un dimanche matin : « [….] suggérer que l’affaire provenait d’Afrique du Sud contribuait au climat de désinformation et de racisme qui entoure les épidémies de maladies infectieuses en général, et Ebola », commente-t-elle dans les colonnes du site Lookout, faisant référence au corps du message.
Réactions des destinataires et excuses des expéditeurs
À l'UCSC, la fausse alerte Ebola a provoqué des réactions bien plus vives. Alicia Riley, raconte également avoir d'abord cru à l'authenticité du message avant de réaliser la supercherie. Elle a immédiatement contacté collègues et amis experts pour vérifier l'information. Ce faisant, elle a réalisé l'onde de choc bien réelle de ce test.
Un tollé qui a contraint Brian Hall, responsable de la sécurité informatique de l'université, à présenter des excuses publiques. « Le contenu du courriel n'était pas réel et inapproprié car il a provoqué une panique inutile, ce qui a potentiellement sapé la confiance dans les messages de santé publique », a-t-il reconnu.
L'université a par ailleurs admis avoir « perpétué des stéréotypes néfastes sur l'Afrique du Sud en l'associant à Ebola », peut-on lire dans The Register.
Une balance bénéfices/risques qui a aussi fait sortir du bois certains experts, comme Matt Linton de Google. Il plaide pour des formations moins axées sur la surprise et davantage sur la reconnaissance concrète des menaces. Une approche qui éviterait peut-être ce genre de dérapages aux conséquences potentiellement graves ou qui pourrait réveiller d'anciens traumatismes.
Source : The Register, Lookout