La Direction des services IT (DIT) de l’Université de Fribourg lancera ces prochaines semaines une campagne de simulation d’hameçonnage (phishing). Son but? Aider les membres de la communauté universitaire à reconnaître les arnaques en ligne. Pour Stéphane Recrosio, directeur de la DIT, il s’agit là d’une mesure classique et éprouvée des services informatiques pour renforcer la vigilance contre les cyberattaques.
Stéphane Recrosio, pour sensibiliser les collaboratrices et collaborateurs de l’Unifr, vous allez lancer une campagne d’attaques de phishing. Serions-nous encore trop ingénu·e·s?
Pas nécessairement, même si nous constatons que les attaques deviennent plus sophistiquées, mieux réfléchies et donc plus difficiles à contrer. Cela dit, cette campagne de sensibilisation s’inscrit dans notre stratégie globale de sécurité informatique. Nous avons déjà adopté les mesures technologiques, notamment celles qui permettent d’améliorer la qualité du filtrage des courriels indésirables ou potentiellement dangereux et renforcé notre pôle de sécurité informatique. Il nous restait encore à développer le volet sensibilisation à la sécurité informatique pour nos utilisatrices et utilisateurs qui sont le dernier maillon de la chaîne.
Vous teniez à avertir les membres de la communauté universitaire de cette campagne. N’aurait-il pas été préférable de jouer sur l’effet de surprise?
Nous en avons passablement discuté à l’interne avant de trancher. Au final, nous avons absolument voulu éviter que les utilisatrices et utilisateurs pensent que nous souhaitions les piéger ou les juger. Ensuite, je tiens à souligner que cette initiative de sensibilisation à l’hameçonnage s’inscrira dans la durée. C’est un processus que l’on souhaite continu et permanent. Finalement, communiquer sur le sujet contribue déjà à la démarche pédagogique.
Certaines arnaques en ligne sont très grossières (fautes d’orthographe, généreux donateur anonyme, etc), d’autres sont plus subtiles. A quoi faut-il faire particulièrement attention?
Avant tout, il ne faut jamais cliquer sur un lien, ni ouvrir un fichier attaché dans la précipitation. Ensuite, je donnerais trois conseils de base:
- Vérifiez attentivement l’expéditeur. Les escrocs utilisent souvent des adresses ressemblant à des institutions légitimes, mais avec une petite différence orthographique. Parfois, le nom affiché ne correspond pas à l’adresse email, un clic sur le nom permet de vérifier.
- Ne cliquez jamais sur des liens suspects. En passant la souris sur le lien sans cliquer, on peut voir l’url. Si ce dernier semble étrange, ne cliquez pas!
- Ne donnez jamais d’informations sensibles. Par exemple, aucune organisation ne demande jamais de mots de passe.
Comment savoir si on a été hameçonné·e?
A ma connaissance, il n’y a pas de moyen facile et immédiat pour savoir si on a effectivement été piégé·e. En cas de doute, il faut absolument changer de mot de passe et contacter le Service Desk de la DIT, qui peut investiguer pour déterminer s’il y a eu hameçonnage. A l’Unifr, le système de la double authentification, qui oblige à s’identifier en deux étapes, rend toutefois la tâche des pirates beaucoup plus difficile.
A quoi s’exposeront les collègues qui cliqueront sur un lien malveillant dans un message de votre campagne?
Ces collègues vont atterrir sur une page leur expliquant le comportement à adopter et les signes auxquels elles ou ils auraient dû prêter attention. Les résultats des campagnes sont d’ailleurs agrégés de sorte qu’un individu ne puisse être identifié. Le but n’est pas de juger nos collègues ou les étudiant·e·s, mais d’augmenter leurs compétences et d’améliorer leur vigilance. Personne n’est à l’abri.
- «Mon premier jeu de mots doit remonter à mes sept ans» - 16.12.2024
- Semaine happy: y’a d’la joie (malgré tout) - 11.12.2024
- Des étudiant·e·s passent de l’autre côté du miroir - 06.12.2024