Histoire de cordonniers

Fin septembre, le spécialiste de la sécurité mobile Lookout a réalisé une campagne de phishing mobile factice à destination des exposants du salon « Les Assises de la Sécurité ». Près de 50 % des professionnels de la sécurité informatique ont cliqué sur le lien envoyé.

Un vrai lien malveillant aurait compromis la sécurité de leur mobile ou leurs données personnelles. Pour mesurer la vigilance, Lookout a utilisé les mêmes méthodes que celles utilisées par les pirates informatiques. Les numéros de téléphone mobiles des exposants ont été récupérés via LinkedIn. L’éditeur a ensuite envoyé un SMS « piégé » invitant les exposants à cliquer sur un lien pour avoir plus d’informations et accepter un rendez-vous avec un « participant du salon ». Au-delà du coup marketing de cet éditeur, cette opération nous rappelle trois principes quelquefois oubliés : d’abord, le fait que n’importe quel outil de sécurité ne peut rien, ou pas grand-chose, face au comportement humain : la psychologie l’emporte souvent sur la technologie. Ensuite, la difficulté de prendre du recul, tendance que l’on retrouve dans tous les domaines, en particulier face à la profusion d’informations, à la dictature de l’immédiateté et au réflexe de cliquer sur un lien qui semble prometteur d’opportunités, en l’occurrence commerciales, dans l’exemple de la campagne de Lookout. Enfin, la présomption de confiance envers une source reste un levier privilégié pour berner les utilisateurs.