Hameçonnage : un test de détection pour les fonctionnaires de l’ARC

12 juin 2015

La plupart des gens pensent qu’ils peuvent détecter sans problème une tentative d'hameçonnage, en particulier les employés d'organismes gouvernementaux, qui ont besoin d’être particulièrement vigilants sur la protection des renseignements et la sécurité. Toutefois, une expérience récemment menée par l’Agence du revenu du Canada (ARC) a révélé que seulement environ 78 % des employés de l'organisme fédéral avait identifié un test de détection avec succès.

Un article du Globe and Mail rapporte que l’ARC aurait envoyé un courriel d'hameçonnage à 16 000 de ses fonctionnaires, entre les mois de janvier et de mars 2015, dans le but de mesurer le niveau de sensibilité de l’organisme à de telles attaques. Les résultats n'ont pas été particulièrement encourageants. Même si 78 % des employés de l’ARC ont pu reconnaitre et détecter la supercherie, il n'en demeure pas moins que 22 % des fonctionnaires, soit environ 3 500 personnes, n’ont rien remarqué. De plus, les employés avaient été informés qu'un test serait envoyé sous peu, de sorte qu'ils devaient être à l’affût des courriels frauduleux plus qu'à l'habitude.

Selon l’ARC, le test a été conçu de façon à ressembler à un courriel provenant de l'interne, mais comprenant suffisamment d’indices, tels que des informations contradictoires, pour éveiller la méfiance. Selon le professeur David Skillicorn du département d’informatique de l’Université Queen's à Kingston, il est courant que les fraudeurs conçoivent un courriel qui semble provenir d'un usager à l'interne, afin qu’il soit soumis à un examen moins approfondi que s'il avait été envoyé par une source extérieure.

« Le vrai test, c'est la sophistication du courriel en lui-même », a expliqué le professeur en interview pour le Globe and Mail.

Bien que des organisations comme l’ARC aient de vastes pares feux et d'autres protections en matière de cybersécurité pour protéger les données sensibles contre le vol et les virus contenus dans les liens, ceux-ci ne sont pas toujours infaillibles. En 2014, l’ARC a été victime du bogue nommé « heartbleed », qui a provoqué le report de la date limite d'envoi de la déclaration de revenus.

Par ailleurs, plusieurs citoyens auraient du mal à identifier un courriel d'hameçonnage. Selon une expérience menée par Intel au début de 2015, où des volontaires devaient identifier des courriels frauduleux parmi dix qui leur étaient envoyés, 97 des répondants n'ont pas réussi à identifier tous les courriels d'hameçonnage.

Sur les 19 000 personnes interrogées dans 144 pays, les Canadiens occupent le 26e rang dans le monde entier, en termes de capacité à détecter les courriels d'hameçonnage. Notons que le Canada devance les États-Unis, mais il se situe bien en dessous du top 5, constitué de la France, la Suède, la Hongrie, les Pays-Bas et l’Espagne.

L’étude a également démenti l’idée préconçue que les jeunes étaient meilleurs que leurs aînés pour reconnaître les escroqueries en ligne. Ainsi, le groupe d’âge se situant entre 35 et 44 ans a effectué le meilleur score, devinant correctement 68 % en moyenne des courriels frauduleux. Le groupe le moins performant a été celui des femmes de moins de 18 ans, indiquant qu’une meilleure éducation en matière de sécurité en ligne pour les adolescents s'avérerait nécessaire.

Les courriels d'hameçonnage peuvent mener au vol d'identité. Pour obtenir une protection additionnelle, souscrivez à un service de surveillance du crédit , qui pourra vous alerter en présence de certaines activités suspectes dans votre dossier de crédit.

01