Panique à l'université : une fac américaine réalise un test de phishing... avec une fausse alerte au virus Ebola !

Publié le 23 août 2024 à 08h29

Au départ un test de phishing, cet e-mail a eu l'effet d'une bombe pour ses destinataires - © mayam_studio / Shutterstock

L'Université de Californie à Santa Cruz a envoyé un faux e-mail d'alerte au virus Ebola pour sensibiliser sa communauté au phishing. Le message, prétendant qu'un employé avait contracté le virus après un voyage en Afrique du Sud, a semé la panique sur le campus.

Quel meilleur moyen pour tester les réactions d'individus et de les sensibiliser pour mieux les protéger que l'exercice de sécurité ? On se souvient du score plutôt passable des gendarmes français, « cyber-testés » avant les JO de Paris 2024. Le 18 août dernier, l'Université de Californie à Santa Cruz (UCSC) a appliqué l'adage « mieux vaut prévenir que guérir » à l'ensemble de sa communauté.

C'est ainsi qu'étudiants et membres du personnel ont reçu un e-mail qui a fait l'effet d'une bombe : un cas d'Ebola détecté sur le campus. De quoi glacer le sang de n'importe qui. Sauf que l'exercice louable de sensibilisation au phishing, a rapidement mal tourné. Très mal tourné.

Du test phishing à la panique et l'indignation : quand la tentative de sensibilisation échoue

Pour comprendre à quel stade de la compétition ce test de phishing a dérapé, il faut revenir sur son procédé. Dans un premier temps, l'établissement a conçu un faux e-mail d'alerte, annonçant la présence du virus Ebola sur le campus. Ce message, soigneusement élaboré, visait à imiter une communication officielle pour qu'il soit crédible aux yeux des destinataires.

L'e-mail a ensuite été envoyé à l'ensemble des étudiants et du personnel pour donner l'illusion d'une crise sanitaire imminente. À l'intérieur du message, un lien invitait les destinataires à cliquer pour obtenir plus d'informations sur la situation, reproduisant ainsi une technique classique de phishing. L'université a alors observé les réactions et noté combien de personnes avaient cliqué sur le lien frauduleux, ce qui lui a permis d'évaluer le niveau de vigilance de sa communauté face à ce type de menace.

Si la démarche était louable sur le fond, c'est la forme qui a posé problème. Car non seulement la crainte de la propagation d'un virus a semé la panique au sein du campus, mais encore la formulation de l'e-mail a été perçue comme inappropriée par de nombreux destinataires, comme Alicia Riley, professeure adjointe de sociologie à l'UCSC et chercheuse en santé publique qui a interpellé les expéditeurs du message, reçu pour ne rien arranger un dimanche matin : « [….] suggérer que l’affaire provenait d’Afrique du Sud contribuait au climat de désinformation et de racisme qui entoure les épidémies de maladies infectieuses en général, et Ebola », commente-t-elle dans les colonnes du site Lookout, faisant référence au corps du message.

Un e-mail qui en a fait paniquer certains, et indigné d'autres - © fizkes / Shutterstock

Réactions des destinataires et excuses des expéditeurs

À l'UCSC, la fausse alerte Ebola a provoqué des réactions bien plus vives. Alicia Riley, raconte également avoir d'abord cru à l'authenticité du message avant de réaliser la supercherie. Elle a immédiatement contacté collègues et amis experts pour vérifier l'information. Ce faisant, elle a réalisé l'onde de choc bien réelle de ce test.

Un tollé qui a contraint Brian Hall, responsable de la sécurité informatique de l'université, à présenter des excuses publiques. « Le contenu du courriel n'était pas réel et inapproprié car il a provoqué une panique inutile, ce qui a potentiellement sapé la confiance dans les messages de santé publique », a-t-il reconnu.

A découvrir

Les meilleures messageries sécurisées, le comparatif en septembre 2024

Comparatifs services

L'université a par ailleurs admis avoir « perpétué des stéréotypes néfastes sur l'Afrique du Sud en l'associant à Ebola », peut-on lire dans The Register.

Une balance bénéfices/risques qui a aussi fait sortir du bois certains experts, comme Matt Linton de Google. Il plaide pour des formations moins axées sur la surprise et davantage sur la reconnaissance concrète des menaces. Une approche qui éviterait peut-être ce genre de dérapages aux conséquences potentiellement graves ou qui pourrait réveiller d'anciens traumatismes.

Source : The Register, Lookout

Par Mélina LOUPIA

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Articles de Mélina LOUPIA

Phishing

Messagerie mail

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

ovancantfort

Je ne comprends pas ce tollé. C’est bien le propre des campagnes de phishing de tenter de vous faire paniquer pour vous faire cliquer dans réfléchir. Plus un message est stressant ou urgent, plus il est urgent de réfléchir…
Au contraire, j’aurais tendance à féliciter les auteurs de ce test pour leur créativité.
Le seul hic, c’est que cela pourrait donner de nouvelles idées aux acteurs malveillants.

MisterDams

L’université a par ailleurs admis avoir « perpétué des stéréotypes néfastes sur l’Afrique du Sud en l’associant à Ebola », peut-on lire dans The Register.

Ben ouais mais justement, le phishing il se sert aussi de ça pour fonctionner, comme les fakes news.
Ce sont des sujets compliqués, si le truc est trop mal fait ça ne passe pas alors que l’escroc lui va faire l’effort de se rendre le plus crédible possible.

Ce qui aurait été pertinent, c’est que la campagne aboutisse derrière sur une communication pédagogique sur les moyens d’identifier que c’était un phishing :

Les choses facilement identifiables (l’expéditeur nom et adresse, l’adresse du site en lien…)
Les choses plus subtiles sur l’information elle-même : Ebola c’est pas vraiment en Afrique du Sud qu’il y a le plus de cas, comment se transmet ce virus (a minima un lien vers la fiche Wikipedia par exemple)
Les procédure en place au sein de l’université pour gérer des alertes de ce type (est-ce qu’ils auraient un email ? un intranet à consulter ?)

Mais bon, éduquer c’est un métier.

Pernel

Tout à fait, mais on le sait, beaucoup de gens (et ça se comprend) ont du mal à garder leur sang-froid. Il faut beaucoup de temps, de volonté etc. pour y arriver. Je l’ai constaté à d’innombrables reprises (et on l’a vu au début du COVID…), ma mère par exemple n’y arrive pas (elle ne va pas pour autant dévaliser le PQ, elle a du savoir-vivre et du respect pour les autres), mais au moindre truc, c’est la panique, perte de contrôle etc. J’étais comme elle avant, maintenant ce n’est plus le cas (ça veut pas dire que je flippe pas dans les moments graves, au contraire), récemment, il y a eu un incendie dans mon bâtiment, personne n’a paniqué dans les 2 bâtiments adjacents, ma mère peu après m’appelle me demande si j’ai paniqué, « bah non, c’est LE truc à ne pas faire, c’est encore pire après ». Et on le voit dans les reportages, etc, en cas de soucis dans un avion (au hasard, un Boeing), les gens paniquent, se poussent et … il y a 10x plus de problèmes, quand ça panique, on a naturellement tendance à être « égoïste » (c’est pas tout à fait ça, mais ça peu y ressembler) et à penser à notre survie mais avec des maxis œillères qui nous empêchent de voir le reste, on court à la sortie et on ne voit même pas les gens au sol, etc. Il faut (enfin, ça marche pour moi, à chaque fois, et j’ai eu énormément d’occasions de l’expérimenter), prendre quelques secondes, faire un point vite fait dans sa tête et après « ça va ». Un truc tout con, ce qui m’a aidé à y arriver (ça va sembler cliché), c’est ce qu’a dit le personnage de la (géniale) série Lost, Christian Shepard à son fils chirurgien lui aussi, « laisse la peur prendre le contrôle 5 secondes … » un truc du genre, et (sans spoil) le personnage l’utilise et j’ai eu à l’utiliser la première fois au moment d’un décès, ça m’était venu comme ça, et ça m’a permis de garder la tête comme il faut, mais c’est pas un move naturel, ça demande un effort.

Francis7

Ca se fait de lancer des alertes par SMS avec une sirène à la population générale s’il y a un risque de tsunami par exemple. Mais dans ce cas on précise s’il s’agit d’un simple exercice et qui ne demande absolument pas de réagir ou si la menace est réelle. C’est là qu’ils ont péché. Ils auraient pu avertir que c’était un exercice pour ne pas créer un mouvement de panique inutile.

Belgarath

S’ils préviennent que c’est un exercice, le test ne sert à rien.

promeneur001

Au fond n’ont-ils pas prouvé l’efficacité d’un message qui engendre une panique ?

promeneur001

« suggérer que l’affaire provenait d’Afrique du Sud contribuait au climat de désinformation et de racisme qui entoure les épidémies de maladies infectieuses en général, et Ebola »

En quoi est-ce raciste ? Le virus Ebola frappe en Afrique régulièrement.

MattS32

Ce n’est pas le fait de le dire qui est raciste, c’est effectivement factuel, l’Afrique a quasiment toujours été le point d’origine des épidémies d’Ebola (mais plus l’Afrique équatoriale que l’Afrique du Sud par contre…).

Par contre le fait de faire croire qu’il y a Ebola sur le campus, même si ça a été fait en disant que ça a été apporté par un membre du personnel parti en voyage en Afrique, ça induit malheureusement des comportements racistes vis à vis des personnes d’origine africaine, même lointaine…

On a vu exactement la même chose chez nous avec le covid, qui a induit des comportements racistes envers les asiatiques, surtout pendant la période avant que la pandémie ne frappe très fort en Europe.

mcbenny

Le dernier phishing que j’ai reçu, aussi d’une université, c’était un employé qui avait perdu son chien sur le campus, avec une joli image qui ne se chargeait pas justement, sur laquelle il fallait cliquer pour la télécharger…
Je suis sûr que cette campagne a très bien marché !
"
Subject: Missing Dog!
Our families precious mastiff Mr.Meatball escaped after he got out of the car on a trip to the dogpark, he is dearly missed and responds to Meaty or Mister. He is very friendly and trained so he should happily approach people.
[Image failed to load, click to reload]
"

promeneur001

Donc, ils sont responsables du racisme des autres ? Et l’effet dévastateur d’être accusé de racisme injustement ?