Dans le cadre de ma mission en entreprise, j’ai été chargé de mener une campagne de sensibilisation à la sécurité informatique, en particulier sur les risques liés au phishing. L’objectif principal était de tester et d’éduquer les utilisateurs sur la reconnaissance des emails de phishing.
Création d’un Email de Phishing : J’ai conçu un mail de phishing convaincant en utilisant le schéma de la communauté de commune.
Ensuite, j’ai rédigé un e-mail qui attire l’attention, avec des éléments visuels comme l’ancien logo de la communauté de communes de Cœur de Savoie. Le but est que les personnes cliquent sur le lien et saisissent leur identifiant et mot de passe de leur session.
Maintenant je m’attelle a la construction du site web pour le lien. le site sera hébergé sur d’OVH. Pour la conception je ne vais pas utiliser de CMS(ex : wordpress).
Suivi des Clic : Lorsqu’un utilisateur cliquera sur le lien dans l’email, il sera redirigé vers la page du site ou il devra se connecter avec les codes de sa session windows. Tout se qui est écrit sera enregistrer. je connaitrais ainsi le nom de la personne qui n’a pas était vigilant.
Je me suis inspiré du site web de la collectivité pour que le site sois plus crédible. Aussi j’ai mis une image du village de montmelian avec le logo de coeur de savoie. Le site reste simple mais assez convainquant
Ensuite, je voulais pousser un peu plus en mettant des fausses application téléchargeables ainsi qu’un moyen de déposer des fichiers sans pouvoir supprimer les documents poser.
Pour déposer les fichiers la page reste simple, j’ai mis un fichier déjà téléversé pour faire croire que une personne à déjà téléverser un fichier.
Pour le téléchargement d’application j’ai laisser le choix avec plusieurs application qui peuvent être utilisé au seins des entreprises. Bien évidement les liens téléchargeable ne contienne pas les bon fichiers. Ils contiennes tous un script python qui va copier le fichier login data de leur session. Se fichier contient l’ensemble des mot de passe sauvegardé dans google. Quand il clique il verront juste un calculatrice s’ouvrir mais en arriéré plan la copie du fichier s’exécutera.
Aprés une semaine je n’aurais plus cas voir qui c’est fait avoir sois avec les logs du site ou est stocket les identifiants.
Personnellement je souhaite que les utilisateurs se face avoir car cela veux dire que le site ainsi que le mail à été convainquant mais si personne se fait avoir je serrais rassurais et content de voir que les utilisateurs face attention. Le talons d’Achilles d’un point de vue sécurité c’est les utilisateurs.
Formation de Sensibilisation : Les utilisateurs identifiés comme ayant cliqué sur le lien de phishing seront invité à une session de formation de sensibilisation à la sécurité. Cette formation aura pour but de leur apprendre à reconnaître les emails de phishing et à adopter des comportements plus sûrs en ligne.
Après une semaine environ, j’ai pu constaté que 15 personnes de la collectivité on rentrée leur code sois environ 11% de la collectivité. Avec mon tuteur nous somme passé voir chaque agent pour lui réexpliqué les bonnes pratiques à suivre. Nous leur avons aussi invité a la formation qui dure 2h qui est dans leur temp de travail.
Cependant nous étions rassurer que personne ais télécharger les applications. Cela aurais était assez alarmant.
Pour conclure faire se test fut une très bonne expérience d’un point de vue professionnel. J’ai pus me remettre dans le code (python pour l’application) et constaté que même si notre infrastructure réseau est très sécurisé si un utilisateur ne fais pas attention tout le monde paye le prix. Surtout les informaticien derrière pour tout remettre en place.