Ma banque et l’éducation au phishing

Cet article a été publié il y a 4 ans 9 mois 7 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées.

J’ai eu l’occasion récemment de pester contre ma banque à l’occasion d’un énième mail de publicité, quand j’aimerais plutôt avoir les infos importantes, qui elles continuent d’être envoyées seulement en papier. Et pire, après une prise de contact via le site web, la notification de réponse est arrivée avec encore un autre domaine. Voyons donc pourquoi je suis colère.

En fait, c’est par rapport à ce qu’on apparente à de la sécurité informatique, ici surtout l’éducation à la lutte contre le phishing. En effet, parmi les réflexes que l’on essaie d’inculquer aux utilisateurs pour éviter les fraudes, il y a l’analyse de l’expéditeur.

Voici donc ce que j’ai reçu dans ma boîte mail qui semble provenir de ma banque, mais qui me fait tiquer :

Ce domaine n’est pas celui du Crédit Mutuel, pourtant tout le contenu du mail m’y fait penser (et le « Réponse à » aussi). Deux possibilités, soit la banque fait une connerie, soit le malfaisant est super doué. Avant de cliquer sur n’importe quoi, j’analyse donc rapidement le domaine, avec un whois :

domaine pourrave pour l’envoi de notifications

Toujours pas de Crédit Mutuel sur ce domaine, mais un nom qui revient à plusieurs endroits, je cherche donc à en savoir plus sur ce monsieur. Chou blanc sur Qwant, je me rabat sur Google qui est un peu plus efficace puisqu’il me présente ce lien dans les résultats : une décision de justice concernant une demande pour faire cesser l’utilisation d’un domaine proche de celui du Crédit Mutuel, avec le monsieur présenté comme représentant ledit Crédit Mutuel. Donc tout va bien finalement.

Mais bon dieu comment voulez-vous qu’on soit efficace dans l’éducation des gens quand les banques se mettent à faire de telles conneries, alors qu’elles sont les premières à se plaindre quand leurs clients se font avoir par des mails frauduleux ? Une des composantes essentielles qu’on enseigne pour détecter les fraudes est justement le fait que le domaine ne correspond pas. Hors c’est précisément le cas ici, et vous avez vu les efforts de recherche que j’ai du effectuer pour m’assurer au final que c’était légitime ? Qui prendrait le parti de faire ce genre de vérification ?

Donc pitié, quand vous construisez vos mails de communication, quelle que soit la finalité, utilisez un domaine au plus proche, mieux, si vous pouvez utilisez le même ça ira très bien. Vous rendrez service à tous ceux qui ont l’habitude d’éduquer vos utilisateurs à la détection de fraudes, autrement dit vous aiderez vos utilisateurs à avoir confiance en vous, et vous vous aiderez à les éviter de se faire enfumer. Merci.