Un exercice anti-phishing tourne mal en Belgique

Pour sensibiliser ses employés au phishing, le gouvernement de la région flamande en Belgique a décidé de réaliser un exercice grandeur nature. Le test qui a touché 20 000 fonctionnaires prévoyait l’envoi d’un faux mail et de constater la réaction du personnel, explique nos confrères de Network World. Jusqu’ici rien d’anodin pour un exercice de sécurité IT.

Pour appâter l’employé, le contenu du message (cf image ci-dessous) confirmait une réservation de la compagnie ferroviaire, Thalys (avec le logo), pour un voyage Bruxelles-Paris incluant un hôtel haut de gamme pour un montant de 19 750 euros. La somme sera débitée sur la carte de crédit de la personne sauf annulation dans les 3 jours. Pour annuler ce voyage, l’utilisateur est invité à envoyer des informations bancaires à Thalys.

Thalys pas dans la boucle

Oui mais voilà, Thalys n’avait pas été mis au courant de l’exercice et a vu en quelques heures affluer plusieurs appels de personnes mécontentes. D’autres n’ont pas hésité à téléphoner à la police pour signaler l’affaire. Frank Geets, administrateur général de la région Flamande, a expliqué à la chaîne VTM que « nous avons réalisé un mail aussi parfait que possible avec le logo de Thalys, mais en réalité nous n’avions pas la permission de le faire ». Il admet que le gouvernement a déraillé en n’informant pas Thalys de l’exercice. Les édiles ont présenté leurs excuses à la compagnie ferroviaire pour cet exercice « un peu trop zélé ».

L’histoire ne dit pas combien de fonctionnaires ont été grugés par cet email. On retiendra que pour sensibiliser et informer les salariés aux risques de sécurité IT, cela demande de la préparation et de la rigueur. Si le spam recule selon certaines études, le phishing et le spear phishing restent à des niveaux très élevés.