Les professionnels de l’informatique répètent constamment aux utilisateurs finaux qu’il ne faut pas cliquer sur les liens suspects. Il s’agit effectivement d’un avertissement valable pour tous! C’est d’autant plus vrai lorsque l’on réalise que :
- 90 % des violations de données sont dues à l'hameçonnage.
- 95 % des entreprises qui ont essuyé une attaque par hameçonnage en 2021 disent avoir perdu entre 250 $ et 984 855 $ US, la moyenne étant de 30 000 $ (c.-à-d. que la moitié des victimes ont perdu plus de 30 000 $).
- 65 % des groupes de pirates utilisent principalement l’hameçonnage comme méthode d’infection.
À la lumière de ces alarmantes statistiques, il n’est pas surprenant que notre sondage sur le Portrait de la cybersécurité dans les PME en 2021-2022 ait révélé que l’hameçonnage fait partie des trois cybermenaces qui inquiètent le plus les PME.
En revanche, ce ne sont pas seulement les utilisateurs finaux à qui l’on doit répéter incessamment de ne jamais cliquer sur les liens suspects. Les professionnels de l’informatique doivent s’en abstenir également!
Les dangers pernicieux de cliquer sur les liens suspects
Lorsqu’ils rencontrent un lien suspect (idéalement parce qu’il lui a été partagé par un utilisateur attentif et bien entraîné), certains professionnels de l’informatique se contentent de cliquer dessus. Non pas qu’ils manquent de discernement ou qu’ils ne soient pas précautionneux. Il s’agit plutôt d’une question de curiosité : les pros veulent faire leurs recherches et vérifier la légitimité du lien.
En théorie, cette méthode a ses mérites. En pratique, certains experts avancent qu’il s’agit là d’une grande erreur. Leur raisonnement s’articule comme suit : cliquer sur des liens suspects présente des dangers pernicieux que même des professionnels ne sont pas en mesure de détecter. Voici quelques situations qui présentent des dangers potentiels :
-
Si le navigateur utilisé est vulnérable, alors les pirates sont parfois en mesure d’exécuter certaines actions préjudiciables. Dans certains cas, ces derniers peuvent même accéder à des terminaux à distance.
-
Les informaticiens qui cliquent sur des liens suspects, mais qui ne perdent pas le contrôle de leur navigateur, ne sont pas sortis des bois pour autant. La perte de contrôle d’un navigateur (ou, techniquement, de son contenu) augmente considérablement la surface d’attaque, en plus de fournir aux pirates de plus amples moyens pour obtenir des informations. Les fenêtres surgissantes JavaScript en sont un parfait exemple.
-
Même si les pirates ne réussissent pas à exploiter les vulnérabilités d’un navigateur, ils peuvent tout de même se saisir d’informations relatives au modèle de l’appareil; au système d’exploitation; au matériel; à l’adresse IP; à la version de navigateur; ainsi qu’à certains témoins qui ne sont pas protégés par la même stratégie d’origine (cette situation peut s’avérer des plus malencontreuses, en particulier lorsque des témoins sensibles ne sont pas sécurisés). Ces renseignements permettent aux pirates de planifier leurs futures activités frauduleuses. S’ils connaissent la version de Chrome qu’utilisent leurs victimes, par exemple, les pirates peuvent lancer des attaques « du jour zéro ». Il leur est également donné d’exploiter les vulnérabilités contenues dans les modules d’extension. Gardez à l’esprit que, selon une étude menée par l’entreprise de sécurité informatique Awake, près de 80 modules d’extension frauduleux existaient sur Google Chrome avec plus de 33 millions de téléchargements (avant d’être supprimées). Qui plus est, HowToGeek.com nous avertit que : « les modules d’extension de navigateur constituent un vrai cauchemar de confidentialité ». Et ce n’est pas tout : cliquer sur un lien malveillant peut vous valoir d’être traqué et profilé quand vous naviguez sur le Web. Pour ce type de fraude, les pirates peuvent miner Facebook, Instagram, LinkedIn, ou n’importe quels autres comptes afin d’en apprendre davantage à propos de leurs victimes, incluant leur lieu de travail et ce qu’ils y font. Les victimes potentielles peuvent même recevoir des textos, des courriels privés et des appels téléphoniques. Les renseignements ainsi obtenus pourraient également être utilisés dans le cadre de campagnes d’hameçonnage ciblé.
-
Une tactique couramment utilisée par les escrocs en télémarketing est d’appeler automatiquement plusieurs numéros, pour ensuite se déconnecter dès que l’on répond à l’appel. On tente ainsi de vérifier si le numéro est actif et qu’il connecte à une vraie personne. Eh bien, les hameçonneurs utilisent les mêmes arnaques. L’action même de cliquer sur un lien suffit à vérifier que la victime potentielle existe bel et bien. Une telle erreur pourrait bien faciliter les futures tentatives d’hameçonnage et pas seulement contre l’utilisateur qui l’a commise, mais bien contre toute l’organisation à laquelle il appartient.
-
Un seul clic sur un lien suspect suffit pour lancer un téléchargement automatique. Certes, les risques demeurent minimaux tant que le fichier n’est pas ouvert, mais ils existent tout de même!
-
Certains professionnels de l’informatique ne se préoccupent pas outre mesure des liens sur lesquels ils cliquent, puisqu’ils peuvent facilement repérer une fausse page de renvoi. Mais... en sont-ils si sûrs? Peut-être pas! En septembre 2019, nous avons demandé aux informaticiens de notre communauté de nous faire part de la tentative de piratage la plus réaliste qu’ils ont eu à gérer. Nombre d’entre eux nous ont expliqué que certaines campagnes d’hameçonnage, et particulièrement celles qui se cachaient derrière des marques très connues comme Microsoft et Amazon, revêtaient une apparence très convaincante.
-
N’oublions pas les fameuses attaques par téléchargements furtifs qui doivent leur pérennité au simple fait qu’elles fonctionnent bien trop souvent! Dans cette situation, il est nécessaire d’accepter une mise en garde SmartScreen en plus de cliquer sur le lien. Mais certains professionnels de l’informatique qui se font mystifier par une campagne d'hameçonnage bien rodée peuvent contourner ce type d’avertissement.
Assurez-vous que vos utilisateurs finaux sont informés et protégés
En tant qu’informaticiens, il se peut que vous connaissiez déjà toutes les raisons pour lesquelles il faut éviter de cliquer sur des liens suspects. Malgré tout, il n’est jamais perdu de revisiter les concepts fondamentaux. Comme le dit si bien l’auteur et gourou du leadership John Maxwell : « La réflexion transforme l’expérience en sagesse ». Effectivement, lorsqu’il est question de cybersécurité et de sécurité informatique, la sagesse garantit de meilleures pratiques.
De plus, nous encourageons tous les professionnels de l’informatique à discuter avec leurs utilisateurs finaux de ces sept raisons pour ne pas cliquer sur des liens suspects. Certains utilisateurs finaux, incluant ceux qui font partie de la direction, ne comprennent toujours pas pourquoi ils devraient éviter de cliquer sur des liens suspects. Cependant, une fois renseignés, ils peuvent faire partie de la solution de cybersécurité, au lieu de contribuer au problème par inadvertance.
Le mot de la fin
Se tenir à distance des liens suspects n’élimine pas 100 % des menaces liées à l’hameçonnage, car malheureusement, rien ne le peut. Votre surface d’attaque s’en trouvera néanmoins grandement réduite. Cela vaut aussi pour la fréquence, la taille et la sévérité des cyberattaques. Il s’agit d’une tâche capitale dont les informaticiens peuvent être fiers.
Qu’en pensez-vous?
Nous avons déterminé plus haut que certains experts maintiennent que même les professionnels ne devraient jamais cliquer sur des liens suspects. D’autres croient cependant qu’une telle précaution n’est pas nécessaire si certaines mesures sont respectées. Les débats font rage sur ce sujet (surtout celui, parfois tendu, entre nos informaticiens sur Slack qui a mené à cet article). Veuillez nous faire part de vos conseils et opinions. Quel est votre avis sur ce débat?