Quand même les grands le font...
Nul n'est infaillible
En matière de sécurité il convient d'être humble et de se souvenir que l'erreur est humaine. Il n'empêche que, selon les intervenants, on ne s'attend pas à ce que certaines erreurs soient commises.
Nous avons ainsi reçu plusieurs messages électroniques nous signalant l'expiration prochaine de divers comptes de messagerie électronique. Classique message d'hameçonnage, nous sommes-nous dit tout de suite.
Dans les faits, et après vérifications, il s'agit bien d'un message légitime provenant de Yahoo!.
Pourquoi est-ce un problème ?
Ce genre de message, nous en recevons tous régulièrement. Ils proviennent le plus souvent de personnes indélicates voulant voler nos identifiants de connexion (compte, mot de passe). Il s'agit d'une attaque dite d'hameçonnage, ou phishing en anglais. Le lien sur lequel le message vous invite à cliquer (le bouton Connectez-vous maintenant dans le message précédent) envoie le navigateur sur une page de connexion qui ressemblera en tous points à celle du site légitime, mais qui ne sera pas celle du site légitime. Vous serez en réalité connecté sur un site dont le seul objectif est de récupérer votre compte et votre mot de passe de connexion au dit site légitime.
Dans le cas ci-dessus, le bouton Connectez-vous renvoie sur la vraie page de connexion de Yahoo! Mail. Il est cependant nécessaire de vérifier un certain nombre de points pour s'en assurer. Ces vérifications ne sont pas toutes évidentes pour une personne non avertie.
Si une entreprise envoie ce genre de message, elle ne fait qu'entraîner ses clients ou utilisateurs à se faire piéger la fois suivante, ou celle d'après, lorsque l'auteur du message sera une personne malveillante. Il suffit de reprendre le message légitime, de modifier son contenu afin de changer la destination sur laquelle pointe le lien Connectez-vous, et le tour est joué.
Conclusion
Il est légitime qu'une société contacte ses clients. Mais elle ne doit pas inclure dans ses messages de liens à cliquer vers les pages de connexion ou de gestion des comptes. Le souhait de faciliter la vie des utilisateurs, qui n'ont qu'à cliquer sur le lien pour se connecter, est ici particulièrement dangereux pour l'avenir.
Et pourtant, comme illustré ci-avant, de grands opérateurs (et de très nombreuses entreprises) le font. Il faut espérer que c'est un raté qui ne se reproduira pas.