ÉDITORIAL

À la pêche aux…

Je viens de terminer une formation professionnelle obligatoire concernant les cyberrisques. En réalité, cette formation pourrait s’appliquer à chacun-e d’entre nous, dans n’importe quel domaine d’activité. Comme on le dit de nos jours, « nous sommes tous à risque ».
De quoi s’agit-il ? En gros, de vérifier que je pourrais reconnaitre toute tentative d’hameçonnage (« phishing » en anglais). Vous avez bien lu, et même sans connaitre l’anglais, vous comprenez que le poisson c’est vous, moi, n’importe qui de notre entourage personnel ou professionnel qui pourrait être accroché, harponné par un courriel ou un message texte trompeur envoyé par une personne ou un groupe malveillant.
Vous pourriez vous demander : 1) pourquoi me vouloir du mal, à moi, simple citoyen-ne lambda, que rien ne distingue d’un-e autre ? Vous n’êtes peut-être pas plus intéressant qu’un-e autre, mais pas moins non plus, dès lors que vous avez un compte en banque… 2) Et puis, pourquoi opérer par texto ou courriel ? Cela permet de toucher davantage de personnes, si c’est un message de masse, et sans confrontation visuelle en direct en plus ! Admettons, mais un paquet de gens sont alors moins à risque d’être victimes, tous ceux et celles qui utilisent peu ou pas l’ordinateur, qui limitent leur utilisation du téléphone mobile au strict minimum… et qui ne sont pas habités par la convoitise (sur laquelle jouent souvent les fraudeurs). Pas faux, mais malheureusement, les deux fonctionnalités les plus employées par la majorité d’entre nous sont les messages textes et les courriels !
En tout cas, malgré mon scepticisme initial, j’avoue avoir appris des choses… Par exemple, les multiples petits détails qui peuvent trahir l’« adversaire » et prouver que c’est bien une tentative d’extorsion d’informations personnelles : une adresse internet d’expéditeur suspecte (regardez les lettres qui indiquent son pays d’origine) ; une erreur d’orthographe dans le titre, le nom de l’organisme ou l’objet du message ; une menace imminente et la demande d’ouvrir la pièce jointe ou cliquer sur un lien ; la demande pour des informations confidentielles. La grande leçon étant que, dans le doute, on n’ouvre pas le courriel, on ne clique sur aucun lien ; on avertit le service informatique de notre employeur ou on s’informe sur l’organisme qui nous contacte en lançant une recherche. Au pire, direction la poubelle : il y a des manières plus directes de contacter quelqu’un.
Quelques problématiques demeurent. Si la menace est réelle — l’actualité nous en donne régulièrement des exemples — et peut s’avérer sérieuse (certains se sont fait extorquer beaucoup d’argent), cela contribue à générer une paranoïa ambiante déjà élevée aujourd’hui. Personnellement, je ne connais personne dans mon entourage proche ou plus lointain qui a partagé une telle expérience ; peut-être préfère-t-on la garder pour soi-même, parce que l’on n’est pas fier de tomber dans le panneau… OK. Par ailleurs, la défiance permanente et générale que ces « formations » intègrent comme une donnée de base se reflète dans les choix de réponse proposés ; nous sommes amenés à être encore plus défiants et à faire de la délation professionnelle continue. Quand on voit que la meilleure réponse à donner au cas où l’on observerait « un collègue téléphoner et photocopier des documents plus souvent que d’habitude » est de le dénoncer à notre supérieur-e hiérarchique, on peut se poser des questions. Doit-on désormais se surveiller les uns les autres au quotidien en permanence ?