Faux communiqué de presse, vraie opération sensibilisation. Pour attirer l’attention des journalistes spécialisés sur le lancement d’une nouvelle campagne de sensibilisation, le groupement d’intérêt public Cybermalveillance vient de miser sur un mail de hameçonnage préparé avec l’agence de communication Omnicom. Une opération qui, hasard du calendrier, survient quelques jours après un test massif réalisé par la gendarmerie d’Île-de-France.
Envoyé dans la matinée du vendredi 15 mars, le faux communiqué de presse annonçait un événement exceptionnel autour d’un nouvel outil d’intelligence artificielle, une soirée au Grand Palais en présence des Daft Punk et d’un certain président “Emmanuel M.”. Les journalistes intéressés n’avaient alors plus qu’à flasher un QR code pour en apprendre plus et réserver leur place.
Proximité lexicale
Mais plusieurs indices suggérant qu’il y avait anguille sous roche avaient été semés. Premièrement, le contenu et le ton du mail. Le message annonçait en effet le lancement d’“Open Mistral IA”, un nom fictif jouant sur la proximité avec “Mistral AI”. Cette start-up française avait d’ailleurs déjà ouvert l’accès à son outil d’intelligence artificielle le 26 février dernier.
Quant à la présence des Daft Punk et d’Emmanuel Macron, elle était très douteuse. Le duo musical n’est en effet plus actif. Et la présence du président de la République aurait été davantage mise en avant ou laissée à l’initiative de l’Elysée.
Derniers indices: si le mail a bien été envoyé depuis l’adresse de messagerie d’un agent d’Omnicom, le message affichait également comme expéditeur l’adresse event@mistralIA.com, un nom de domaine qui existe mais sans site internet actif. Enfin, l’adresse de réponse du message électronique renvoyait vers une boîte de Cybermalveillance.
Clics et signalements
Au total, près de 30% des journalistes visés se sont laissés prendre en flashant le QR code – il existe des outils comme 4qrcode par exemple pour tester un contenu – inséré dans le faux mail malveillant. Le QR code renvoyait vers l’invitation presse organisée pour la (vraie) conférence de presse de Cybermalveillance.
Un taux d’ouverture qui n’est cependant que l’une des variables à observer lors de ce genre de campagnes de sensibilisation. Le nombre de signalements d’une suspicion de message malveillant est ainsi une donnée importante. Comme le signalait sur LinkedIn un expert en cybersécurité, il suffit d’un clic pour ouvrir l’accès à un intrus.
Autant dire qu’après un envoi massif, il y aura toujours une porte qui sera ouverte. Le délai de signalement aux équipes en charge de la sécurité est alors crucial. Plus vite elles seront informées du lancement d’une campagne malveillante ou d’un clic malencontreux, plus vite elles pourront agir.