L’ETH Zurich, en collaboration avec une entreprise non citée, vient de réaliser l’une des plus grandes études sur le phishing avec plus de 14.000 participants sur 15 mois. Les chercheurs ont ainsi pu mieux comprendre qui est susceptible à l’hameçonnage et quelles solutions sont efficaces.
au sommaire
Pour mieux combattre les conséquences du phishing, il est important de connaître le profil des personnes qui y sont susceptibles. À cette fin, l’École polytechnique fédérale de Zurich a mené une étude de grande ampleur portant sur plus de 14.000 employés d'une même entreprise, sur une duréedurée de 15 mois. Les participants n'étaient pas au courant de l'étude, mais ils étaient informés que l'entreprise pouvait les tester avec de faux messages.
Les chercheurs ont envoyé de faux e-mails d'hameçonnagehameçonnage aux adresses professionnelles des employés, qui étaient donc mélangés avec les courriels légitimes ainsi que les messages indésirables habituels. Ils ont également intégré un bouton dans le logiciel de messageriemessagerie de l'entreprise qui permettait de signaler les e-mails suspects. Ils ont ainsi pu dresser le portrait des personnes qui interagissent avec les messages malveillants et ceux qui les signalent.
Les plus jeunes plus susceptibles au phishing
Contrairement à de précédentes recherches, l'étude n'a trouvé aucune corrélation entre le genre et la susceptibilité au phishing. Les auteurs attribuent les précédents résultats à un biais dans la distribution du travail entre les genres. Ils ont toutefois découvert que ce sont tout d'abord les plus jeunes (18-19 ans) qui cliquent le plus souvent sur les messages frauduleux, avec une nette diminution pour les 20-29 ans. Le nombre d'actions dangereuses enregistrées croît ensuite jusqu'à 60 ans, au-delà il baisse subitement.
Les employés qui utilisaient des logiciels spécialisés étaient plus enclins à cliquer sur les messages frauduleux, ce qui vient nuancer l'hypothèse souvent utilisée dans les études que seul le temps d'utilisation de l'ordinateur suffit pour déterminer le niveau de connaissance en informatique. Au final, un peu plus de 32 % des employés ont fini par cliquer au moins une fois sur un lien ou une pièce jointe sur les 15 mois de l'étude.
Les outils collaboratifs sont efficaces
Les chercheurs ont également étudié l'efficacité des mesures contre le phishing. Pour certains des participants, le logiciel de messagerie affichait un message court en haut du faux e-mail, similaire à celui de Microsoft Outlook, indiquant qu'il avait l'airair suspect. D'autres ont vu un message plus détaillé, et un troisième groupe n'avait aucun avertissement. La présence d'un avertissement divise par trois le nombre d'interactions avec le courriel, mais une notification plus détaillée n'est pas plus efficace.
La moitié de ceux qui ont cliqué sur un e-mail d’hameçonnage ont été redirigés vers une page d'entraînement volontaire contre le phishing, une pratique courante dans les entreprises pour former leurs employés contre le phishing. Curieusement, l'exercice a été contreproductif, puisque ceux ayant participé se sont montrés plus susceptibles aux messages indésirables par la suite.
Le dernier résultat est particulièrement intéressant car il concerne les signalements des messages indésirables. Seulement cinq minutes après avoir envoyé une série d'e-mails, les chercheurs avaient déjà reçu 10 % des signalements, et 30 % en une demi-heure. De plus, ils n'ont constaté aucune baisse du nombre de signalements au cours des 15 mois de l'étude. Cela signifie qu'une entreprise peut mettre en place un outil collaboratif pour détecter les campagnes de phishing, qui sera efficace et réactifréactif, et ne demandera pas beaucoup de temps aux employés.
Ce qu’il faut
retenir
- Les plus susceptibles au phishing sont les employés les plus jeunes.
- Les entraînements contre le phishing après avoir cliqué sur un message frauduleux sont contreproductifs.
- Les outils collaboratifs peuvent être une solution pour réagir aux campagnes de phishing rapidement.