Quand Bercy piège ses propres employés pour sensibiliser sur les risques du phishing

Le par  |  14 commentaire(s)
Bercy

Afin de sensibiliser sur les risques du hameçonnage auprès de ses employés, le ministère de l'Économie a organisé une vaste campagne interne visant à piéger ses propres employés.

Pour prévenir des risques du piratage de masse et plus particulièrement des campagnes de phishing, le Ministère de l'Économie a organisé une vaste opération auprès de ses employés ce lundi.

Bercy

Au total, 30 000 personnes travaillant au ministère se sont ainsi fait piéger par un e-mail leur annonçant avoir remporté des places de cinéma. Le message leur demandait de cliquer sur un lien externe afin de procéder à la récupération de leur gain....

Pour l’adjoint au responsable sécurité des services informatiques de Bercy, il s'agit d'"un bon moyen de tester nos procédures d'urgence, et de montrer que la cybersécurité c'est aussi la sensibilisation des usagers, pas seulement des lignes de code". Le bilan est toutefois assez inquiétant puisque "Plus de 30 000 personnes ont cliqué sur le lien ce lundi, entre 10 heures et midi. C'est beaucoup".

Heureusement, il ne s'agissait que d'un exercice, et le lien intégré à l'e-mail renvoyait vers une page Web invitant l'utilisateur à se montrer plus alerte à l'ouverture de pièces jointes.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1983218
Moi je vois bien un petit ransomware : "pour récupérer vos données personnelles ... PAYEZ VOS IMPOTS!!!"
Le #1983222
Ce qui est inquiétant c'est qu'il y a au moins 30 000 personnes qui travaillent à ce ministère...
Le #1983237
le problème se situe bien entre la chaise et le clavier. Donc n'importe quel anti-virus sera impuissant.
Le #1983238

Le Ministère de l'Économie et des Finance, c'est environ 140 000 personnes

Mais ça chapeaute plusieurs "poles":

Y'a bien sur "les impots", mais aussi le trésor public, les douanes, l'INSEE, la répression des frauds (DGCCRF),.....

Le #1983245
Je trouve ça un peu con de considérer que la totalité de ceux qui ont cliqué sont des personnes à risque, ou que l’exercice prouve ci ou ça.
Dans ce cas là on ne clique plus sur aucun lien d'aucun e-mail, c'est ce que l'on en déduit en tous cas.

Je suis le premier à cliquer sur les liens d’hameçonnage pour voir où ça mène ou comment c'est foutu (dans une machine virtuelle et dans Tor la plupart du temps).
Ils auraient mieux fait de renvoyer sur une page demandant des identifiants ou d'autres informations et de faire un rapport de "personnes ayant cliqué" et de "personnes ayant donné les infos", et pourquoi pas de "personnes ayant transféré dans les indésirables". C’eut été plus parlant comme résultat.
Le #1983246
Le pire, j'avais une grande cousine qui y bossait. Je vous dis pas le nombre de chaînes à la con (vous savez, les : si tu envoies pas ça à 15 personnes sous 24 heures, tu auras 10 ans de malheur, blablabla...) qu'elle envoyait à tous ses contacts (dont moi, pas pro du tout en plus). À l'époque j'avais 12 ans, j'étais pas sensibilisé à ce type de mails. Mais, avec le recul, j'ai de la peine

Peut-être que pour faire comprendre cela aux gens, il faudrait leur montrer concrètement un exemple humain-humain. Un peu comme la pub de Qwant. Je pense qu'il y en aurait moins qui en aurait rien à foutre d'être pisté. Désolé pour la digression.

Mais, dire : "si tu cliques là, même si tu penses avoir gagné des places ciné. Il y a probablement un virus." Ton interlocuteur tentera quand même. Par contre : "si tu ouvres cette porte, tu prends une bastos plein coeur". Il réfléchira à 2 fois.
Le #1983247
Subutox a écrit :

Je trouve ça un peu con de considérer que la totalité de ceux qui ont cliqué sont des personnes à risque, ou que l’exercice prouve ci ou ça.
Dans ce cas là on ne clique plus sur aucun lien d'aucun e-mail, c'est ce que l'on en déduit en tous cas.

Je suis le premier à cliquer sur les liens d’hameçonnage pour voir où ça mène ou comment c'est foutu (dans une machine virtuelle et dans Tor la plupart du temps).
Ils auraient mieux fait de renvoyer sur une page demandant des identifiants ou d'autres informations et de faire un rapport de "personnes ayant cliqué" et de "personnes ayant donné les infos", et pourquoi pas de "personnes ayant transféré dans les indésirables". C’eut été plus parlant comme résultat.


Bonjour, ça ne sert peut-être à rien, mais, je clique droit sur le lien, je le colle sans aller à la page, sur un navigateur web. Si je vois une adresse aussi longue qu'exotique, j'hésite.

Le pire, et visiblement, je ne suis pas touché (vérif sur mon compte bancaire), ce sont les phishing (hameçonnage). Je feins l'envie d'envoyer mes login mdp à la "société" à laquelle "j'ai" un compte. Je tape n'importe quoi, et le clic sur ENVOYER ne fait rien. En coulisses, ça fait quelque chose, mais, même l'envoi d'un mail fait que mon ordi agit (poussé du proco, etc.), mais là, absolument rien.
Le #1983248
Tom131 a écrit :

Subutox a écrit :

Je trouve ça un peu con de considérer que la totalité de ceux qui ont cliqué sont des personnes à risque, ou que l’exercice prouve ci ou ça.
Dans ce cas là on ne clique plus sur aucun lien d'aucun e-mail, c'est ce que l'on en déduit en tous cas.

Je suis le premier à cliquer sur les liens d’hameçonnage pour voir où ça mène ou comment c'est foutu (dans une machine virtuelle et dans Tor la plupart du temps).
Ils auraient mieux fait de renvoyer sur une page demandant des identifiants ou d'autres informations et de faire un rapport de "personnes ayant cliqué" et de "personnes ayant donné les infos", et pourquoi pas de "personnes ayant transféré dans les indésirables". C’eut été plus parlant comme résultat.


Ça ne sert peut-être à rien, mais, je clique droit sur le lien, je le colle sans aller à la page, sur un navigateur web. Si je vois une adresse aussi longue qu'exotique, j'hésite.

Le pire, et visiblement, je ne suis pas touché (vérif sur mon compte bancaire), ce sont les phishing (hameçonnage). Je feins l'envie d'envoyer mes login mdp à la "société" à laquelle "j'ai" un compte. Je tape n'importe quoi, et le clic sur ENVOYER ne fait rien. En coulisses, ça fait quelque chose, mais, même l'envoi d'un mail fait que mon ordi agit (poussé du proco, etc.), mais là, absolument rien.


Oui je sais bien, une fois j'y ai passé une heure à leur envoyer des conneries avec des noms d'utilisateurs débiles mais assez cohérents, et avec des mots de passe du même acabit . C'était à l'époque des campagnes d’hameçonnage sur T411, histoire de faire chier/faire perdre du temps/perturber les guignols ayant mis ça en place.
Ils ont dû se dire "chouette on en a" (parce que je suppose que d'habitude ils n'ont rien en retour ou très peu de retours), j'espère les avoir démotivés pour cette fois !
Le #1983250
Subutox a écrit :

Tom131 a écrit :

Subutox a écrit :

Je trouve ça un peu con de considérer que la totalité de ceux qui ont cliqué sont des personnes à risque, ou que l’exercice prouve ci ou ça.
Dans ce cas là on ne clique plus sur aucun lien d'aucun e-mail, c'est ce que l'on en déduit en tous cas.

Je suis le premier à cliquer sur les liens d’hameçonnage pour voir où ça mène ou comment c'est foutu (dans une machine virtuelle et dans Tor la plupart du temps).
Ils auraient mieux fait de renvoyer sur une page demandant des identifiants ou d'autres informations et de faire un rapport de "personnes ayant cliqué" et de "personnes ayant donné les infos", et pourquoi pas de "personnes ayant transféré dans les indésirables". C’eut été plus parlant comme résultat.


Ça ne sert peut-être à rien, mais, je clique droit sur le lien, je le colle sans aller à la page, sur un navigateur web. Si je vois une adresse aussi longue qu'exotique, j'hésite.

Le pire, et visiblement, je ne suis pas touché (vérif sur mon compte bancaire), ce sont les phishing (hameçonnage). Je feins l'envie d'envoyer mes login mdp à la "société" à laquelle "j'ai" un compte. Je tape n'importe quoi, et le clic sur ENVOYER ne fait rien. En coulisses, ça fait quelque chose, mais, même l'envoi d'un mail fait que mon ordi agit (poussé du proco, etc.), mais là, absolument rien.


Oui je sais bien, une fois j'y ai passé une heure à leur envoyer des conneries avec des noms d'utilisateurs débiles mais assez cohérents, et avec des mots de passe du même acabit . C'était à l'époque des campagnes d’hameçonnage sur T411, histoire de faire chier/faire perdre du temps/perturber les guignols ayant mis ça en place.
Ils ont dû se dire "chouette on en a" (parce que je suppose que d'habitude ils n'ont rien en retour ou très peu de retours), j'espère les avoir démotivés pour cette fois !


Oui, idem, j'envoyais des données fausses. En fait, il faudrait se sacrifier, créer un genre de compte paypal avec 1 €, mais, éviter de le relier à un compte bancaire (après, ouvrir un compte bancaire supplémentaire pour 1 € qu'on utilisera jamais, le banquier va me prendre pour un fou : "Mais c'est pour voir ce qu'on ressent quand on se fait hameçonner monsieur le banquier "

Suivre les commentaires
Poster un commentaire
Anonyme