Plus vous dites en savoir sur le phishing, plus vous êtes vulnérable... Jusqu’à ce que vous vous fassiez avoir

Une étude lors de laquelle les chercheurs ont envoyé des e-mails de phishing à 1350 étudiants a révélé une découverte surprenante : ceux qui pensaient savoir distinguer une arnaque par phishing d’un vrai e-mail sont dans les faits plus susceptibles d’être victimes d’une attaque.

L’étude réalisée par l’université du Maryland, dans le comté de Baltimore (UMBC) impliquait divers tests de phishing pour évaluer si certains segments démographiques étaient plus vulnérables aux attaques.

Les réponses ont été collectées auprès d’étudiants de divers domaines, de l’ingénierie et les mathématiques aux arts et aux sciences sociales. Les chercheurs ont prouvé que la connaissance du phishing, les heures passées sur un ordinateur, la participation à des formations ou clubs d’informatique, le niveau d’étude et l’affiliation académique ont un impact significatif sur la vulnérabilité des étudiants.

Certaines découvertes intéressantes en sont ressorties, notamment que les étudiants plus âgés étaient plus à même que leurs camarades plus jeunes de repérer un e-mail de phishing et de ne pas cliquer sur le lien contenu dans celui-ci. Les résultats par sexe, considérés par les chercheurs comme non pertinents du point de vue statistique, étaient moins surprenants, tandis que les étudiants des branches de l’ingénierie et de l’informatique atteignaient les taux de clic les plus faibles.

Ce qui par contre n’avait pas été anticipé, c’est que les étudiants qui se targuaient d’en savoir long sur le phishing et sur la manière de s’en prévenir ont été plus vulnérables que les autres, moins confiants quant à leur capacité à les détecter.
Jusqu’à 59 % des sujets qui ont ouvert l’e-mail de phishing ont également cliqué sur le lien qu’il contenait, et environ 70 % de ceux qui ont participé à une étude démographique additionnelle ont également cliqué sur le lien qu’elle contenait.

« Contrairement à nos attentes, nous avons découvert que les utilisateurs ayant de bonnes connaissances sur le phishing étaient plus vulnérables » ont déclaré les responsables de l’étude Alejandra Diaz, Alan T. Sherman, et Anupam Joshi. « Les étudiants considérant connaitre la définition du phishing ont été plus vulnérables que leurs camarades moins connaisseurs des attaques par phishing, les deux groupes étant plus vulnérables que les étudiants n’ayant aucune connaissance en la matière. »

Les chercheurs de l’UMBC sont les premiers à admettre n’avoir aucune explication convaincante pour cette surprenante découverte, mais ont néanmoins quelques pistes :

Selon une de leurs théories, les personnes qui ont été victimes de phishing par le passé sont potentiellement plus sensibles à la question. En d’autres termes, ceux qui sont déjà tombés dans le piège du phishing deviennent proportionnellement plus sceptiques face au contenu de leur boite de réception. Une logique complètement valable du point de vue psychologique, il est donc raisonnable de penser que les expériences passées ont joué un rôle important sur les résultats.
« Avec le recul, il aurait été plus sage de demander dans le questionnaire réalisé avant l’événement quel était le niveau de connaissance sur le phishing que l’utilisateur avait au moment d’ouvrir l’e-mail » ont précisé les chercheurs.

Seconde hypothèse – tout aussi correcte et formant un facteur contribuant aux résultats – est que les répondants qui se sont laissés berner par l’e-mail de phishing avaient simplement trop confiance en leurs connaissances sur le sujet.
« La vulnérabilité la plus importante et dévastatrice d’une entreprise est bien souvent son propre personnel » ont déclaré les auteurs, reprenant une étude d’IBM. « Le facteur humain, ou l’erreur, est responsable de 95 % des incidents de sécurité. Certaines personnes malveillantes utilisent l’ingénierie sociale pour pousser les utilisateurs à communiquer des informations confidentielles de valeur [..] Nous espérons que nos résultats aideront les entreprises et universités à améliorer leurs pratiques en matière de cybersécurité » ont-il ajouté.