En effet, depuis quelques temps, les entreprises de cybersécurité alertent sur une augmentation des attaques utilisant comme vecteur les QR codes. D’après une étude de MobileIron datant de 2020, 84% des utilisateurs ont déjà scanné un QR Code, 71% ne savent pas identifier un QR Code légitime d’un QR Code malveillant. Le es QR code est partout, il s’est démocratisés et fait désormais partie du quotidien.
Cela n’a pas manqué de soulever l’intérêt des hackers pour ces petits carrés. Ils ont développé des campagnes d’hameçonnage, de rançongiciels et de Browser into Browser transitant par QR Code. « Afin de sensibiliser et de former les collaborateurs à ces nouvelles méthodes, Cyber Coach a intégré des simulations d’attaques sous forme d’offres alléchantes, attisant la curiosité : abonnement au port, billetterie en ligne, voyage d’entreprise, chèque cadeau, garde d’enfant, ou encore un modèle libre et personnalisable à 100% par l’entreprise. Ces QR codes peuvent être diffusés par courriel et également sur de faux flyers, posters et autres supports qui peuvent être répartis au sein de l’environnement de travail.
La clé USB, un appât irrésistible
Quant aux clés USB, elles sont connues pour leur contagiosité, tellement il est facile d’induire les victimes à les brancher à leurs ordinateurs. D’après l’expérience citée ci-dessous, il suffit de les laisser traîner bien en vue pour en faire des appâts irrésistibles. En 2016, des chercheurs des Universités de l'Illinois et de Michigan ont dispersé 300 clés USB sur un campus universitaire américain. Six heures plus tard, 45% des clés avaient été connectées et dans 48% des cas, les personnes ayant branché les clés USB ont ouvert et exécuté les fichiers présents sur celles-ci.Pour que la leçon soit inoubliable, Cyber Coach a intégré un module de simulations d’attaque par clé USB en y associant une pièce jointe. Celle-ci peut être personnalisée par l’entreprise ou inspirée de modèles proposés : facture impayée, règlement RGPD à acter, bon d’achat à recevoir, salaires des employés, paiement encaissé, livraison prévue, informations personnelles, etc. Des sujets jouant sur les faiblesses humaines pour inciter les collaborateurs à ouvrir le fichier joint. Lorsqu’il se fait piéger, l’utilisateur imprudent est guidé vers une page de sensibilisation personnalisée en fonction du sujet de l’attaque et de l’erreur commise.
Lancé en 2021, Cyber Coach est utilisé par plus de 650 clients et entraîné 300 000 collaborateurs à travers plus de 6000 simulations d’attaques. Parmi les enseignements de cette base installée, 25 % en moyenne ont cliqué sur les liens piégés et 15 % ont renseigné des informations personnelles. Si ces chiffres sont alarmants et mettent en évidence la faille humaine, les résultats de la formation sont plus qu’encourageants. La vulnérabilité des collaborateurs est réduite de moitié après 6 simulations d’attaques. IL en faut tout de même six pour que la leçon soit assimilée.