Connexion
Abonnez-vous

49 % des professionnels de la cybersécurité piégés par un SMS

49 % des professionnels de la cybersécurité piégés par un SMS

Le 08 octobre 2020 à 07h50

En prévision des Assises de la Sécurité, qui devraient se tenir du 14 au 17 octobre, Lookout a mené une campagne de phishing mobile factice ciblant 200 de son millier d'exposants (éditeurs, intégrateurs, et cabinets de consultants). Près de 50 % d'entre eux, bien que professionnels de la sécurité informatique, ont cliqué sur le lien raccourci piégé qui leur avait été envoyé.

Le SMS leur expliquait qu'« un participant du salon vous a adressé une demande de RDV 1-to-1, pour voir et confirmer le RDV http://bit.ly/2ABcD3f ». Le premier clic a été effectué par une victime seulement 10 secondes après l’envoi de la campagne, et dans la première minute, plus de 30 victimes ont elles aussi cliqué. La moitié des victimes ont cliqué au bout des 10 premières minutes.

La page leur expliquait alors que « sans le savoir vous venez de vous faire hameçonner. Rassurez-vous il s'agissait simplement d'une étude réalisée en marge des Assises de la sécurité. Soyez vigilant lorsque vous cliquez sur un lien reçu par SMS ou par messagerie mobile. »

Lookout estime que les utilisateurs ont trois fois plus de risques de cliquer sur une URL malveillante sur un terminal mobile. 

Le 08 octobre 2020 à 07h50

Commentaires (66)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Cliquer sur un lien n’est pas se faire piéger. Il aurait fallu un formulaire pour voir qui le complétait.



Je clique souvent sur des liens louches pour voir ce qu’il y a derrière. Par curiosité pour voir quelle connerie on va me sortir, ou pour confirmer que c’est bien un phising.

votre avatar

Un lien peut renvoyer sur une page vérolée. Donc si cliquer sur un lien louche c’est complètement stupide, en particulier pour des experts en cybersécurité.

votre avatar

Si je comprend bien le message et que je suis moi même assez frileux sur le fait de cliquer sur tout et n’importe quoi (même sur un mobile), je pense qu’il est contre-productif d’attaquer directement sur le fait que faire une chose est stupide, je pense même que ça fait passer le message inverse.

votre avatar

Dénoncer un comportement stupide c’est mal ? Faut arrêter de s’offusquer de la moindre réflexion.

votre avatar

Non, ça fait condescendant, et là tu perds ton auditoire, c’est juste contre-productif.

votre avatar

Quand le premier commentaire de la news est une affirmation complètement fausse et dangereuse, il ne me parait pas disproportionné d’utiliser ce genre de termes. Mais oui tu as raison, je devrais être plus «diplomate» mais je ne suis pas là pour faire de la pédagogie non plus.

votre avatar

Vous avez un peu raison tous les deux.
Ca m’arrive de cliquer sur certains liens pour voir comment c’est fait Avec certains, collègues, on est même allé au bout du phising, par exemple un compte bancaire, je leur explique, et on rempli n’importe quoi dans les formulaires pour qu’ils voient ou est l’arnaque. Expliquer aux gens me semble plus efficace que de dire de ne pas le faire parce que c’est mal.
Après, oui, une page peut être vérolée et pourrir un ordinateur, c’est pour ça en général que je le montre depuis une VM poubelle, sous Linux, histoire de réduire la surface d’attaque et les dégâts occasionnés dans l’hypothèse du truc vraiment méchant.
Maintenant, pour le sondage, et faisant des salons pour mon boulot, les contacts que possèdent l’organisateurs à propos des exposants, c’est souvent des commerciaux/marketing. Et dans le lot, certains vendent de la cyber sécurité comme il vendrait autre chose, le marketing est sous traité… Bref pas sur que l’échantillon soit représentatif !
Mais un gros bisou quand même à celui qui a cliqué en 10 secondes !

votre avatar

Cliquer sur un lien bit.ly quand tu ne connais pas l’expéditeur c’est un peu jouer avec le feu quand même.



Perso je suis vraiment frileux concernant ces liens “cacher” dont on ne voit pas la destination

votre avatar

Pluzun, je me méfie toujours comme la peste des liens raccourcis. C’est une vraie plaie.



Après, les liens de 3km de long qui seront tronqués par l’affichage c’est pas mieux…. Difficile d’avoir un juste milieu.



Avoir une indication du nom de domaine vers lequel le lien pointe me semblerait être un minimum de nos jours… Avec à minima une validation de la chaine de certification qui permette de se rassurer en disant “oui c’est bien lui”. (avec le niveau de confiance qui l’accompagne, évidemment)

votre avatar

J’espère qu’en 2020 on peut visiter un lien sans craindre son contenu, tout de même.
Pour le moment, la masse des attaques de ce type, c’est du simple phishing.
Alors ok, un jour peut-être il y en a un qui réussira à nouveau à utiliser une brèche comme c’était si courant il y a 20 ans. A l’époque, même les sites legits nous ouvraient 36 popups.
Bref, ça justifie en effet de ne pas cliquer autant que possible, mais un ouvreur n’est pas un piégé tant qu’il n’y a pas eu de collecte de données confidentielles en pratique.

votre avatar

Je pense que ce genre d’attaque existe, par contre ce sont probablement des failles connues de groupes appartement a des états ou des groupes bien spécialisés.



Donc sauf si vous êtes membre d’un gouvernement, une personne placée haut dans une hiérarchie ou ayant des accès à un SI important, ça m’étonnerait que quelqu’un envoie un lien vérolé.
Si une faille est trouvée, elle est vendue et non exploitée par le premier script kiddie qui fera une campagne de SMS.



Après, le monde est rempli d’exceptions :fumer:

votre avatar

Kroezensjtern a dit:


J’espère qu’en 2020 on peut visiter un lien sans craindre son contenu, tout de même.


NON. C’est complètement stupide de réfléchir comme ça. Des failles dans le web il y en a à la pelle. Ça peut très bien être une mafia qui cherche à extorquer quelqu’un (aka ransomware), pas besoin d’être «haut placé» pour pouvoir être visé.



Non il n’y a pas moins de faille sur le web en 2020 qu’avant, il y en a beaucoup +…



On ne clique pas sur un lien inconnu, c’est tout, c’est pourtant simple comme règle.

votre avatar

Il m’arrive de “cliquer ” sur ce genre de lien pour voir ce qu’il y a derrière. Mais mon “cliquer” c’est retaper le lien dans un navigateur sur pc au cas ou.

votre avatar

Kroezensjtern a dit:


J’espère qu’en 2020 on peut visiter un lien sans craindre son contenu, tout de même.


AHAHAHAHAHAHAHA :mdr2: :mdr2: :mdr2: :mdr2:

votre avatar

Le constat initial ne me paraît pas si absurde que ça. Autant oui, il subsistera toujours des failles/vecteurs d’attaque, autant j’ai l’impression qu’aujourd’hui la technicité nécessaire pour une attaque “display only” a bien augmenté et n’est majoritairement pas disponible pour le groupe lambda qui de toute façon s’en moque et vise les x % de visiteurs qui iront plus loin sur la page visitée.



Si l’on compare à la situation il y a 20 ans, il est clair que de gros progrès/un gros focus a été mis sur la sécurité côté navigateur. Je pense notamment à l’apparition de sandbox, aux réécritures dans des langages memory safe, à la disparition des plugins passoire (coucou flash). Et en aval, c’est quand même beaucoup plus rare maintenant que le navigateur lui-même soit exécuté par un user admin.



Côté mesure directe, je pense à Pwn2Own, qui (verre à moitié vide) révèle souvent des failles mais (verre à moitié plein) tous les navigateurs ne tombent pas tous les ans. Donc ça ne doit pas être si simple que ça…

votre avatar

esver a dit:


Il m’arrive de “cliquer ” sur ce genre de lien pour voir ce qu’il y a derrière. Mais mon “cliquer” c’est retaper le lien dans un navigateur sur pc au cas ou.


Ben ouais mais c’est un lien bitly, t’as aucune idée de ce qu’il y a derriere.
Y’a peut-être un exploit JS sur lequel tu n’as rien à faire pour être contaminé à part ouvrir le lien. Et c’est exactement ce que fait bitly sans te donner aucune indication de ce qu’il y a derriere

votre avatar

Par habitude, je copie le lien (clic droit-> copier l’adresse du lien), j’ouvre un navigateur (généralement un autre que celui que j’utilise habituellement, chromium par exemple) en mode privé, je colle le lien dans la barre, je vérifie s’il est le même que celui écrit dans le message, je relis pour voir si rien n’est suspect dans le lien collé, enfin j’ouvre le site en question pour voir où ça me mène. Vu que c’est une fenêtre de navigation privé sur un navigateur vierge, il n’y a rien à récupéré, et rien n’est conservé (et je crois que c’est même sandboxé).

votre avatar

marba a dit:


On ne clique pas sur un lien inconnu, c’est tout, c’est pourtant simple comme règle.


:jap:




marba a dit:


Non il n’y a pas moins de faille sur le web en 2020 qu’avant, il y en a beaucoup +…


[réf. nécessaire]

votre avatar

KP2 a dit:


Ben ouais mais c’est un lien bitly, t’as aucune idée de ce qu’il y a derriere. Y’a peut-être un exploit JS sur lequel tu n’as rien à faire pour être contaminé à part ouvrir le lien. Et c’est exactement ce que fait bitly sans te donner aucune indication de ce qu’il y a derriere


Ben du JS, avec noscript il ne s’execute pas… C’est bien pour cela que je l’ouvre sur un pc…

votre avatar

Mouais, un peu facile de la part de Loukout que je pensais plus fin. Ne pas cliquer sur un lien au motif qu’on est expert en cybersécu ne valide pas le professionnalisme, et inversement. Cliquer sur un lien en sachant que c’est un piège potentiel, et que parce que on est un professionnel de la cybersécu on est prudent et avisé, ne fait pas de nous une personne piégée.



Le test en fait est biaisé, car envoyé à une mauvaise cible, car on ne sait pas si les cliqueur le faisait pour voir le piège et le comprendre ou en faisant n’importe quoi.



De plus on ne sait pas si les téléphones de ces pro ne sont pas protégés (hard ou soft) contre des attaques permettant des analyses.



Ce test n’est vraiment pas révélateur.

votre avatar

Mouai, juste le fait de cliquer sur un lien devrait pas être considéré comme mauvais, car théoriquement ça ne l’est pas et la plupart des gens ne comprennent pas pourquoi et dans quel contexte ce n’est pas bien de le faire. Même si en pratique il est effectivement possible de se faire avoir avec cette simple action.



Ensuite ceux pour qui le web est tout troué, certes le risque est là mais il y a d’autres points que ça sur lesquelles sensibiliser les gens en priorité, car malgré tout ce qu’on pourra en dire c’est un risque bien moins présent et impactant que le fishing standard.



Sinon pour la campagne la cible était facile, ça donne des gros chiffres et décrébidise les vrais professionels de la sécurité pour faire un petit coup de com (rarement ceux qui sont dans les salons). Ca reste un business lucratif, c’est pas étonant que des parasites aient infesté le marché.

votre avatar

[réf. nécessaire]


Plus un logiciel se complexifie, plus il y a de faille. Lorsque tu cliques sur un lien, deux logiciels entrent en jeu : ton OS et ton navigateur. Les normes web n’ont pas été figée, il y a constamment de nouvelles fonctionnalités, donc de nouvelles failles.



Ouvrir un lien de provenance douteuse, en particulier sur un smartphone (pas à jour 99% du temps) c’est risqué.



Je n’ai pas de sources statistiques sur l’évolution des failles, mais c’est parfaitement logique.




Côté mesure directe, je pense à Pwn2Own, qui (verre à moitié vide) révèle souvent des failles mais (verre à moitié plein) tous les navigateurs ne tombent pas tous les ans. Donc ça ne doit pas être si simple que ça…


Quand tu découvres des failles 0-day qui valent des millions de $, c’est plus rentable de les vendre à la mafia ou un gouvernement que de gagner un concours Pwn2Own.

votre avatar

marba a dit:



On ne clique pas sur un lien inconnu, c’est tout, c’est pourtant simple comme règle.


Mais on passe notre temps à cliquer sur des liens inconnus, sinon on n’irait pas bien loin. A fortiori on n’irait même nul part au premier pas sur le web puisque par définition tous les liens sont inconnus.



C’est même le principe du web et du partage d’information que de fournir à l’autre (donc vous) un lien vers une ressource, info, data… via un lien que vous ne connaissez pas.



Vos regle n’a pas de sens, ou est mal exprimée, je pense que vous vouliez dire “ne cliquez pas sur un lien dont vous ne connaissez celui qui vous l’a donné”. Et là encore ça serait assez faux. Vous même vous cliquez sur des liens fournis dans une page web écrite par quelqu’un que vous ne connaissez pas vers une resssource que vous ne connaissez pas. On le fait tous tout le temps.



C’est bien tout le problème de la formation des gens à la cyber sécu, faire la part des choses.

votre avatar

Oui je me suis mal exprimé.



Ne pas cliquer sur un lien dont la provenance est douteuse (un lien que vous n’avez pas demandé).

votre avatar

ntree a dit:


Le constat initial ne me paraît pas si absurde que ça. Autant oui, il subsistera toujours des failles/vecteurs d’attaque, autant j’ai l’impression qu’aujourd’hui la technicité nécessaire pour une attaque “display only” a bien augmenté et n’est majoritairement pas disponible pour le groupe lambda qui de toute façon s’en moque et vise les x % de visiteurs qui iront plus loin sur la page visitée.



Si l’on compare à la situation il y a 20 ans, il est clair que de gros progrès/un gros focus a été mis sur la sécurité côté navigateur. Je pense notamment à l’apparition de sandbox, aux réécritures dans des langages memory safe, à la disparition des plugins passoire (coucou flash). Et en aval, c’est quand même beaucoup plus rare maintenant que le navigateur lui-même soit exécuté par un user admin.



Côté mesure directe, je pense à Pwn2Own, qui (verre à moitié vide) révèle souvent des failles mais (verre à moitié plein) tous les navigateurs ne tombent pas tous les ans. Donc ça ne doit pas être si simple que ça…


Franchement, je ne suis pas aussi optimiste que toi… Et pour Pwn2Own, cette compétition n’a pas pour vocation a révéler exhaustivement les failles d’un système mais de taper sur les plus faciles et les plus rapides.
Ça ne veut pas dire que les failles de navigateurs sont devenues complexes à exploiter pour autant, juste qu’elles sont parfois moins faciles ou moins rapides que d’autres.



Franchement, je pense qu’un pro de la sécu devrait bannir les liens bitly et autres raccourcisseurs. Y’a rien de pire que ces trucs…

votre avatar

Raikiwi a dit:


Cliquer sur un lien bit.ly quand tu ne connais pas l’expéditeur c’est un peu jouer avec le feu quand même.



Perso je suis vraiment frileux concernant ces liens “cacher” dont on ne voit pas la destination


Il existe des “décompresseurs” de liens raccourcis. Exemple parmi d’autres https://unshorten.it/

votre avatar

Merci, justement je me demandais si cela existait. :chinois:

votre avatar

Merci pour l’info, je garde ça dans un coin
:inpactitude:

votre avatar

marba a dit:


Oui je me suis mal exprimé.



Ne pas cliquer sur un lien dont la provenance est douteuse (un lien que vous n’avez pas demandé).


C’est bien qui est difficile à faire comprendre/apprendre aux novices les pièges sont nombreux

votre avatar

Quand l’appli SMS fait une preview de la page, ça compte aussi dans “l’utilisateur a cliqué” ? Je pense que oui, mais du coup ça fausse un peu la stat….

votre avatar

Si ton appli SMS fait des preview des liens automatiquement, change d’appli SMS.

votre avatar

C’est pas mon cas. Ca n’empeche qu’elles existent, et des fois même activé par défaut sur certains Android

votre avatar

marba a dit:


Si ton appli SMS fait des preview des liens automatiquement, change d’appli SMS.


+1
ce truc, c’est comme l’autorun sous Win98, une faille de sécu en soi.

votre avatar

marba a dit:


NON. C’est complètement stupide de réfléchir comme ça. Des failles dans le web il y en a à la pelle. Ça peut très bien être une mafia qui cherche à extorquer quelqu’un (aka ransomware), pas besoin d’être «haut placé» pour pouvoir être visé.



Non il n’y a pas moins de faille sur le web en 2020 qu’avant, il y en a beaucoup +…



On ne clique pas sur un lien inconnu, c’est tout, c’est pourtant simple comme règle.


Seulement voila. Même des liens légitimes ne sont pas forcément reconnaissables facilement. Et puis les sites dit légitimes ne sont pas forcément les plus saint non plus. Quand tu regardes les scripts d’une page Google… On peut se poser des questions (légitimes les questions).



Il y a aussi la problématique des outils (mail, sms) qui ne font pas plus le boulot de contrôle plus que cela.



Faut faire de la pédagogie. Et celle-ci passe par la répétition.




KP2 a dit:


AHAHAHAHAHAHAHA :mdr2: :mdr2: :mdr2: :mdr2:


On ne se moque pas. C’est mal. Et puis un jour ca te retombera sur la gueule. Un peu comme Trump.




Kroezensjtern a dit:


[réf. nécessaire]


En plus de la réponse il y a les solutions de développement et FrameWork (aka cadriciel) qui sont utilisées. Beaucoup d’entre elles ont des failles. Du coup il faut recompiler, adapter aux changements les projets qui les utilisent. C’est contrtaignant pour une entreprise notament sur la relation client. Ca finit toujours un peu pareil. Y’a un tas de trucs qui ont des failles (ex : solution web d’un client, son SI) simplement parce qu’on ne peut pas passer des journés à mettre à jour ceci ou cela. Et que le client achete un produit sur étagère.

votre avatar

tazvld a dit:


Par habitude, je copie le lien (clic droit-> copier l’adresse du lien), j’ouvre un navigateur (généralement un autre que celui que j’utilise habituellement, chromium par exemple) en mode privé, je colle le lien dans la barre, je vérifie s’il est le même que celui écrit dans le message, je relis pour voir si rien n’est suspect dans le lien collé, enfin j’ouvre le site en question pour voir où ça me mène. Vu que c’est une fenêtre de navigation privé sur un navigateur vierge, il n’y a rien à récupéré, et rien n’est conservé (et je crois que c’est même sandboxé).


Si le lien est vérolé, ta technique ne sert à rien. Un site vérolé peut aller bien au delà de la session du navigateur, il peut prendre le contrôle de l’OS.

votre avatar

Il me semble que Chrome/Chromium utilise un Sandbox, mais dans le cas optimal, il faudrait utiliser une vrai sandbox (comme celle fournis par Windows) pour lancer le navigateur.

votre avatar

Ça sert à rien de parler de Sandbox si tu ne sais pas ce que c’est. Oui il y a une sandbox, mais non ne considère pas que ça te protège. Un site vérolé peut prendre le contrôle de ton PC. Et non la sandbox de Windows ne protège pas non plus. Ce sont des sécurités, elles n’ont rien d’absolu. Certains virus sont même capables de sortir d’une machine virtuelle (VM).
Et Firefox aussi a une sandbox btw.

votre avatar

Bon, là, c’est Michael Scofield ton virus. Il faut justifier une telle dépense de moyen.



Quel est le but de développer une telle solution alors que le simple phishing de base a l’avantage d’être facile à mettre en œuvre et vraiment pas cher ?



Alors, oui, pour des personnalités d’intérêt stratégique qui sont souvent la cible d’attaque développé, ça peut être un risque non nul, mais pour un mec lambda comme moi ?



Je réfléchis en terme de risque, et si un message me semble relativement légitime, mais qu’un doute subsiste, je vérifie avec un peu de précaution. La probabilité que le dit lien soit vérolé et passe à travers toutes les couches de sécurité est extrêmement faible, là où la probabilité qu’il soit totalement légitime est important. J’ai donc plus d’espérance à vérifié avec un peu de précaution que de ne pas l’ouvrir.

votre avatar

Gérer sa sécurité ça n’est pas «espérer que», «considérer que».



Gérer la sécurité c’est prévoir le pire. Le pire se produit toujours, qui que tu sois.



Il peut très bien y avoir des attaques sophistiquées massives (et non ciblées).




tazvld a dit:


Bon, là, c’est Michael Scofield ton virus. Il faut justifier une telle dépense de moyen.


C’est clair que c’est très peu probable qu’un citoyen lambda se fasse cibler par ce genre d’attaque. Mais comme dit plus haut, ce n’est pas une considération pertinente pour gérer sa sécurité.




Quel est le but de développer une telle solution alors que le simple phishing de base a l’avantage d’être facile à mettre en œuvre et vraiment pas cher ?


Ça répond pas au même besoin, et c’est beaucoup plus efficace…




Alors, oui, pour des personnalités d’intérêt stratégique qui sont souvent la cible d’attaque développé, ça peut être un risque non nul, mais pour un mec lambda comme moi ?


Les gens ont vraiment du mal à comprendre le «massif», ils croient que toutes les attaques sont ciblées. Peut être que stratégiquement ça n’est pas intéressant d’avoir le root sur tes devices, mais qu’est ce que tu en sais ? Si je suis root sur tes devices et ceux de tous les français, ça me donne un pouvoir énorme sur la population, pourtant pris indépendamment, le pouvoir que j’ai sur chaque personne est «minime» (même si je peux te faire chanter, ce qui n’est pas négligeable).




Je réfléchis en terme de risque, et si un message me semble relativement légitime, mais qu’un doute subsiste, je vérifie avec un peu de précaution. La probabilité que le dit lien soit vérolé et passe à travers toutes les couches de sécurité est extrêmement faible, là où la probabilité qu’il soit totalement légitime est important. J’ai donc plus d’espérance à vérifié avec un peu de précaution que de ne pas l’ouvrir.


Doute = poubelle. Probabilité = poubelle. Si tu reçois un lien que tu n’as pas demandé, d’une source inconnu, tu ne cliques pas dessus, et tu essaies de remonter au service qui gère la sécurité. Dans le cas d’un SMS il y a une plateforme du gouvernement ou tu peux remonter ça à un opérateur.
internet-signalement.gouv.fr République Française

votre avatar

Donc, vu qu’il existe une probabilité non nul que ton PC soit attaqué dès lors qu’il possède une connexion internet et un port d’ouvert, tu ne connectes jamais ton PC à internet ? Ni aucun appareil (pour la même raison).



Même si la source est connu, le message n’est pas sûr pour autant, il y a toujours une probabilité non nul par exemple que sa messagerie ait été piratée.



Absolument tout ce que tu fais comporte un risque, tu es inconsciemment en permanence en train d’évaluer ces risques et l’espérance de gain (de manière plus où moins fiable, il existe plein de biais connus). Ce soir, tu vas prendre le risque de te faire reverser par une voiture pour rentrer chez toi et pourtant, tu vas quand même traverser la route.



Donc, oui, je prends des risques, mais je considère qu’ils sont totalement mesurés dans le sens où :




  • j’ai filtrer le message : il contient des détails et des informations qui me permet de penser qu’il est légitime (si c’est une attaque, il est trop spécifique pour une attaque de masse)

  • J’utilise un certain nombre de protection, incluant un peu d’intelligence humaine, qui demandent de gros moyen pour contourner.

votre avatar

Et c’est pour ça qu’il faut compartimenter ses besoins :
Le classique pro/perso par exemple. Ne jamais mélanger les données et/ou les devices.

votre avatar

L’intérêt est dans le volume, la facilité et le ROI. Il est plus facile de cibler et d’automatiser une attaque par SMS conduisant vers un site qui va installer un ver sur ton smartphone qui va ensuite attendre patiemment que tu lances ton appli bancaire et / ou paypal pour se greffer en arrière plan que de tenter le coup avec une entreprise pour un virement de combien, 1000€ ? 5000 € ? 50k € ?



Alors que si tu pièges 10, 50 ou 100 personnes avec ton vers, avec un peu de chances tu as 10% des cibles qui ont plus de 10k en épargne que tu peux pirater “sans risques”, sans compter qu’il me semble qu’un virement, même frauduleux, n’est pas remboursé par l’assurance de la banque.



Et si en plus on peut te piquer tes empreintes et ta photo dans le mécanisme biométrique pas sécurisé de ton smartphone, c’est encore mieux pour revendre ce genre de données sur le darkweb par la suite.

votre avatar

A un moment si aucun mécanisme de sécurité ne protège, éteins ton PC, débranche le et mets le dans un coffre fort enterré sous 4 tonnes de béton…



Une sandbox c’est conçu à la base pour pouvoir exécuter des programmes potentiellement risqués sans risquer d’emporter l’OS. Comme aucun mécanisme de sécurité n’est parfait il est évident qu’il faut toujours redoubler de vigilance, mais il est inutile de prendre les gens de haut en disant qu’ils ne savent pas ce que c’est.



Il y a toujours des failles, il y en aura toujours, et il y aura toujours des personnes qui sauront les exploiter. Mais ce n’est pas une raison pour laisser entendre que tous les mécanismes de sécurité existants ne protègent pas.




marba a dit:


je devrais être plus «diplomate» mais je ne suis pas là pour faire de la pédagogie non plus.


C’est dommage car la devise communautaire de ce site est “si tu ne sais pas tu demandes, si tu sais tu partages”. Je pense que beaucoup ici ne sont pas des experts en cybersécurité, moi le premier, mais qu’on a tous à minima la curiosité de s’intéresser au sujet. (sinon cette brève n’aurait pas d’intérêt)



Vu que tu sembles avoir une certaine expertise sur le sujet, on aurait tous à apprendre de ton expérience.

votre avatar

Ca fait des années que je ne click plus sur aucun liens reçus et si y a un soucie, normalement sur ledit site il devrais y avoir un historique des échanges (ou encore dans le doute, confirmer auprès du service client).



Bon meme en étant parano a 100% (check 100 fois l’expéditeur, la signature, le style du message avant d’envoyer un mail avec des documents sensibles pour un besoin que j’ai expressément demandés et surtout pas l’inverse!), y a quand meme un risque que derrière celui qui reçoit les fichiers, c’est un hacker.



C’est triste, mais de nos jours il y a tellement de techniques pour contourner un certificat, un nom de domaine.

votre avatar

KP2 a dit:


Franchement, je pense qu’un pro de la sécu devrait bannir les liens bitly et autres raccourcisseurs. Y’a rien de pire que ces trucs…


Ah, mais attends, t’as pas affaire aux lumières dans la boite où je bosse ! C’est impossible de se fier aux règles de bases genre « n’ouvrez que des liens qui s’avèrent réellement pointer vers boite.tld » parce que :




  • On fait appel à un tétrachiée de prestataires et des services « dans les nuages kikoulol », donc on reçoit super souvent des emails de la part de boite.presta.tld - et des fois on n’est même pas au courant que l’outil en question provient d’un prestataire.

  • Ma boite a décidé d’utiliser les Safelinks Outlook, donc de toute façon l’adresse email est obfusquée - enfin au bout d’un moment ils ont réussi à modifier le fonctionnement afin qu’on puisse entrevoir le FQDN dans l’URL Safelinks.



Et après, ils ne comprennent pas pourquoi on a plus de gens qui se font avoir aux tests de phishing qu’il-y-a 2 ans.

votre avatar

SebGF a dit:


A un moment si aucun mécanisme de sécurité ne protège, éteins ton PC, débranche le et mets le dans un coffre fort enterré sous 4 tonnes de béton…


Je ne dis pas que ça ne protège pas, je dis qu’il ne faut pas prendre ça comme un acquis, et donc autant considérer que ça n’existe pas.




Une sandbox c’est conçu à la base pour pouvoir exécuter des programmes potentiellement risqués sans risquer d’emporter l’OS. Comme aucun mécanisme de sécurité n’est parfait il est évident qu’il faut toujours redoubler de vigilance, mais il est inutile de prendre les gens de haut en disant qu’ils ne savent pas ce que c’est.


Je ne prend personne de haut. Le grand public n’a pas à parler de sandbox. Et vous démontrez bien que c’est même dangereux que vous en connaissiez l’existence, puisque vous vous considérez protégé ! NON une sandbox ne vous protège pas, c’est une sécurité interne du logiciel, comme un parechoc sur une voiture (comparaison bancale et exagérée certes, mais c’est pour l’idée).




Il y a toujours des failles, il y en aura toujours, et il y aura toujours des personnes qui sauront les exploiter. Mais ce n’est pas une raison pour laisser entendre que tous les mécanismes de sécurité existants ne protègent pas.


Ça n’est pas mon propos. Oui il y a des mécanismes de sécurité qui existent (heureusement). Mon propos, c’est que pour bien gérer sa sécurité, il ne faut pas se considérer en sécurité, c’est le meilleur moyen de faire n’importe quoi, comme croire que cliquer sur un lien ça risque rien parce que «je suis un lambda»/ «le web c’est safe (lol)» etc…




C’est dommage car la devise communautaire de ce site est “si tu ne sais pas tu demandes, si tu sais tu partages”. Je pense que beaucoup ici ne sont pas des experts en cybersécurité, moi le premier, mais qu’on a tous à minima la curiosité de s’intéresser au sujet. (sinon cette brève n’aurait pas d’intérêt)



Vu que tu sembles avoir une certaine expertise sur le sujet, on aurait tous à apprendre de ton expérience.


Je partage quand même mes connaissances malgré mon ton (que vous trouvez) désagréable.

votre avatar

Je pense quand même qu’il y a peu de risques à cliquer sur un lien “bizarre”. On peut toujours se prendre une zero-day ou un exploit web, mais c’est très peu probable si on s’appelle monsieur ou madame tout-le-monde…



Bon, dans le contexte de l’article c’est des gens qui ont des positions stratégiques donc c’est déjà plus plausible… mais quand même ça a l’air un peu tiré par les cheveux.



J’ai toujours interprété les remarques “ne cliquez pas sur un lien bizarre” lancées à la population, comme une simplification de “ne téléchargez rien et ne remplissez aucun formulaire sur un site bizarre”.

votre avatar

“sans le savoir vous venez de vous faire hameçonner”


Conclusion: la société “Lookout” n’a aucune idée de ce que signifie Phishing. Bref, une société à éviter si vous cherchez du conseil en sécurité informatique.

votre avatar

KP2 a dit:


+1 ce truc, c’est comme l’autorun sous Win98, une faille de sécu en soi.


Clairement, une belle idée à la con, encore plus quand le rendu est fait coté client.
Toutes les messagerie kikoolol web 3.0 n’arrète pas de se manger des failes la dessus, à commencer par une des plus représentative, Slack qui s’en ai encore pris une il y a un mois
https://hackerone.com/reports/783877
On se rappelle aussi du hack du WhatsApp de Bezos qui exploitait le même mécanisme.
Il s’en mange plusieurs par an sans remettre en question le système, la sécurité de leur utilisateur ne les préoccupent probablement pas beaucoup…

votre avatar

Ailothaen a dit:


Je pense quand même qu’il y a peu de risques à cliquer sur un lien “bizarre”. On peut toujours se prendre une zero-day ou un exploit web, mais c’est très peu probable si on s’appelle monsieur ou madame tout-le-monde…


Et c’est avec ce comportement qu’on se fait pirater. Voir mes commentaires plus haut.

votre avatar

Cette étude mélange un peu tout… Ce n’est pas parce qu’on est exposant dans un salon qu”on est expert sécurité ! La personne a cliqué est peut-être un commercial, qui maîtrise son discours mais n’a jamais touché à un serveur. Ou une recruteuse RH qui est là pour établir des contacts avec des candidats, avec un carnet d’adresse pleins de centaines de personnes, donc qui peut penser que le SMS est véridique.
Bref c’est de la pure comm’, qui se sert du gros chiffre pour faire le buzz mais qui n’apporte aucune info fiable.

votre avatar

tazvld a dit:


Donc, vu qu’il existe une probabilité non nul que ton PC soit attaqué dès lors qu’il possède une connexion internet et un port d’ouvert, tu ne connectes jamais ton PC à internet ? Ni aucun appareil (pour la même raison).


C’est ce que font les gens/organisations qui ont des données critiques, ils ne les mettent pas sur une machine connectée à internet.




Même si la source est connu, le message n’est pas sûr pour autant, il y a toujours une probabilité non nul par exemple que sa messagerie ait été piratée.


Oui. C’est pour ça qu’il faut également éviter de cliquer sur les liens envoyés par des contacts également si c’est inhabituel.




Absolument tout ce que tu fais comporte un risque, tu es inconsciemment en permanence en train d’évaluer ces risques et l’espérance de gain (de manière plus où moins fiable, il existe plein de biais connus). Ce soir, tu vas prendre le risque de te faire reverser par une voiture pour rentrer chez toi et pourtant, tu vas quand même traverser la route.


Oui




Donc, oui, je prends des risques, mais je considère qu’ils sont totalement mesurés dans le sens où :




  • j’ai filtrer le message : il contient des détails et des informations qui me permet de penser qu’il est légitime (si c’est une attaque, il est trop spécifique pour une attaque de masse)

  • J’utilise un certain nombre de protection, incluant un peu d’intelligence humaine, qui demandent de gros moyen pour contourner.


On est d’accord que si le message est légitime, tu peux légitiment aller sur l’url. Là le sujet c’était de cliquer sur un lien louche de base, envoyé par une source inconnue.

votre avatar

C’est bête, mais la campagne dit-elle si ce sont des “pros” contactés via les n° de contact (le secrétariat quoi) des boites, ou les véritables pros de la sécu ? Peu de monde donne son n° pro quand même, on passe souvent par le secrétariat, ou au moins un intermédiaire pour filtrer…

votre avatar

marba a dit:


Il peut très bien y avoir des attaques sophistiquées massives (et non ciblées).


et on peut très bien se prendre un astéroïde sur la tronche demain dans la rue.
je comprends le fond de ton discours, mais là l’impression que tu donnes c’est surtout “revenez aux fondamentaux: débranchez tout réseaux et faites tout en local, sans jamais insérer une clef USB ou autre sources externes”



oui, la sécurité absolue n’existe pas, oui on est jamais à l’abri de se prendre une faille zero-day dans la tête et donc oui, il faut toujours faire attention à se que l’on fait.



la sécurité/les hack ça reste, comme dit plus haut, une histoire de ROI, combien ça me coute d’argent/temps pour mettre ce truc en place et combien ça peut me rapport/comment ça me protège.

votre avatar

zethoun a dit:


la sécurité/les hack ça reste, comme dit plus haut, une histoire de ROI, combien ça me coute d’argent/temps pour mettre ce truc en place et combien ça peut me rapport/comment ça me protège.


J’aimerai bien savoir combien ça coute de ne pas cliquer sur des liens random ? :reflechis:




zethoun a dit:


et on peut très bien se prendre un astéroïde sur la tronche demain dans la rue. je comprends le fond de ton discours, mais là l’impression que tu donnes c’est surtout “revenez aux fondamentaux: débranchez tout réseaux et faites tout en local, sans jamais insérer une clef USB ou autre sources externes”


Sauf que tu as bien + de chance de te prendre (plusieurs) attaques de masse dans ta vie qu’un astéroïde. On est pas de l’ordre du «probable», c’est même quasiment certain que ça t’arrivera ou que ça t’es déjà arrivé (que tu sois au courant ou pas). Donc ta comparaison est complètement foireuse.



Et je ne dit pas qu’il faut tout déconnecter, ça dépend bien sur du besoin. Mais il y a quand même des règles élémentaires à respecter si on tient à ne pas se faire poutrer super facilement, comme par exemple ne pas ouvrir de liens douteux.

votre avatar

“200 de son millier d’exposants”
Je suppose que ça veut dire qu’ils ont ciblé 200 exposants.



“30 victimes ont elles aussi cliquées
Aïe, mais je suis pas certain de mon coup. C’est peut être correct.



La moitié des victimes ont cliqué”
Mais enfin, pourquoi ? La moitié, c’est singulier non ?

votre avatar

(quote:1829266:127.0.0.1)
Conclusion: la société “Lookout” n’a aucune idée de ce que signifie Phishing. Bref, une société à éviter si vous cherchez du conseil en sécurité informatique.


Il aura fallu 45 commentaires avant que quelqu’un daigne pointer du doigt cette évidence. :merci:

votre avatar

Winderly a dit:


“30 victimes ont elles aussi cliquées” Aïe, mais je suis pas certain de mon coup. C’est peut être correct.



La moitié des victimes ont cliqué” Mais enfin, pourquoi ? La moitié, c’est singulier non ?


Et grâce à toi, on sait qu’en plus ils ne savent pas écrire un français correct.

votre avatar

Jarodd a dit:


Cette étude mélange un peu tout… Ce n’est pas parce qu’on est exposant dans un salon qu”on est expert sécurité ! La personne a cliqué est peut-être un commercial, qui maîtrise son discours mais n’a jamais touché à un serveur. Ou une recruteuse RH qui est là pour établir des contacts avec des candidats, avec un carnet d’adresse pleins de centaines de personnes, donc qui peut penser que le SMS est véridique. Bref c’est de la pure comm’, qui se sert du gros chiffre pour faire le buzz mais qui n’apporte aucune info fiable.


Ce genre de précaution s’adresse à tout le monde… et à fortiori quand tu bosses dans le secteur de la sécu (quelque soit ton poste) car tu es plus susceptible d’être une cible qu’un lambda qui bosse dans le bâtiment.

votre avatar

“Au total, sur le millier d’exposants inscrits sur la plateforme, plus de 200 d’entre eux ont rendu public leur numéro de portable sur les réseaux sociaux. Ces numéros ont donc été utilisés dans le cadre de cette campagne.” voir le lien cité dans l’article https://www.globalsecuritymag.fr/Les-exposants-des-Assises-pieges,20201006,103502.html



dont, on est à 10% de piégés parmi les exposants (dont, je suppose, beaucoup de commerciaux) puisque 80% n’ont pas publié leur numéro de portable (ce qui est déjà une première forme de sécurité).



Et c’est du phishing ciblé: puisque le “RDV one to one” est une pratique habituelle des assises de la sécurité.

votre avatar

Quand j’ai un doute, je commence par vérifier quel serveur DNS fait autorité pour le domaine, et je me fais une idée de la bonne foi de l’éditeur avec un WHOIS.



Un petit traceroute peut aussi aider à détecter certaines incohérences.



Mais par dessus tout, le bon sens fait foi. Un 1 2 1 non sollicité et anonyme est à 99999100000 une arnaque, ça devrait sembler logique à tout le monde.

votre avatar

Pour le DNS faisant autorité, à moins d’aller chercher la redirection derrière le lien raccourci tu risques de ne pas être très avancé.



C’est possible en utilisant des clients Web très léger (genre un curl ou autre), mais ça augmente le risque d’exposition.



De base, à mon sens, un lien raccourci venant d’un inconnu c’est poubelle direct.




fred42 a dit:


Mais le reste du test et surtout leurs conclusions sont pourris.


Pluzun.



Notre responsable sécu avait réalisé une campagne de ce genre dans une entreprise où j’ai bossé. Il n’avait tiré aucune conclusion mais au contraire, il a ensuite fait une restitution pour sensibiliser notamment sur le fait que cliquer sur le lien, même en connaissance de cause, est un risque. Ce que beaucoup ignoraient.



Au delà de ceci, il était impossible de tirer une conclusion sur les compétences de chacun en matière de sécurité. Pareil pour ce test.

votre avatar

Ailothaen a dit:


Je pense quand même qu’il y a peu de risques à cliquer sur un lien “bizarre”. On peut toujours se prendre une zero-day ou un exploit web, mais c’est très peu probable si on s’appelle monsieur ou madame tout-le-monde…



Bon, dans le contexte de l’article c’est des gens qui ont des positions stratégiques donc c’est déjà plus plausible… mais quand même ça a l’air un peu tiré par les cheveux.



J’ai toujours interprété les remarques “ne cliquez pas sur un lien bizarre” lancées à la population, comme une simplification de “ne téléchargez rien et ne remplissez aucun formulaire sur un site bizarre”.


Est-ce que ce commentaire est ironique ?



Même sans parler de failles 0-day qui sont par définition difficilement évitables, si tu cliques sur un lien malveillant depuis un navigateur et/ou un OS pas à jour tu prends un risque non négligeable.
Et quand on sait que justement monsieur et madame tout le monde ont rarement leurs logiciels/équipements à jour…



L’hameçonnage ça concerne tout le monde, dans la vie pro comme perso peut importe sa position ou je ne sais quoi. Il n’y a qu’à voir l’actualité florissante sur les ransomwares qui bien souvent commencent via de l’hameçonnage.



Quant a ce test mené par Lookout, comme déjà dit dans d’autres commentaires, c’est de la me. Envoyer un lien à des commerciaux/RH n’a pas grande valeur, ce ne sont pas des “professionnels de la sécurité”.

votre avatar

Du coup, avant le salon, le salon envoie des SMS pour indiquer que d’autres présents au salon veulent un RDV en 1to1…
Wow impressionnant. C’est comme si j’envoyais un SMS à un collègue avec un lien en lui disant qu’il s’est fait avoir. C’est complètement con comme test, à partir du moment où il est légitime…



Qui peut avoir le numéro de mobile pour le salon, à part les organisateurs du salon ? Même le contenu du SMS semble légitime.



Le lien bitly est certes un peu louche, mais en même temps on parle de SMS, donc de lien à taille réduite. Donc encore une fois, un usage qui semble légitime.



Bref un test pourri pour faire parler de soi…

votre avatar

Ce n’est pas le salon mais un partenaire du salon qui a fait cela.



Et ils ont récupéré les numéros de tel de 200 participants qui étaient communiqués librement sur LinkedIn.



Mais le reste du test et surtout leurs conclusions sont pourris.

votre avatar

Ca a beaucoup disserté sur le risque de cliquer sur un lien louche / caché derrière un raccourcisseur, sur les sandbox / VM, mais j’ai rien lu sur un aspect beaucoup plus terre à terre : une attaque par un lien piégé est beaucoup plus facile à cacher sur un mobile que sur un PC/Mac, et avec un parc Android représentant 80% du marché et très peu mis à jour, ce que ça confirme en premier lieu c’est la facilité avec laquelle on peut prendre le contrôle total de beaucoup, beaucoup de mobiles…

49 % des professionnels de la cybersécurité piégés par un SMS

Fermer