Deux incidents
Il y a quelques jours, le jeudi 16 mars 2017, un courrier adressé à l’antenne parisienne du FMI (Fonds monétaire international) a explosé dans les mains de l’employée qui l’ouvrait, les résidus du timbre mettant en évidence que le pli avait été posté en Grèce. Il est précisé que l’enveloppe était adressée au représentant européen du FMI et que le pli portait une fausse adresse d’expéditeur, celle d’un député grec supposé écrire au FMI à Paris. Voir par exemple l’article de Ouest-France.
Le procédé de courrier piégé n’est pas nouveau. C’est même une vieille recette, peut-être aussi ancienne que le courrier lui-même. Elle a encore fait parler d’elle au début du siècle avec ces lettres empoisonnées à l’anthrax diffusées aux U.S.A. quelques jours après les attentats du 11 septembre 2001, et en Belgique en juin 2003.
Ces courriers attentatoires sont en général adressés à des organes de presse ou à des institutions par des groupes plus ou moins clandestins, dans le cadre de revendications politiques ou de guérilla informationnelle.
Il y a quelques mois, le 22 novembre 2016 (c’était un mardi, pas spécialement gras, mais il faisait gris sur Paris), plusieurs médias ont reçu un courrier électronique provenant selon les apparences (ce qui s’affiche sur l’écran) de la direction de la communication de VINCI. La teneur du message évoquait des malversations financières au sein de l’entreprise et le licenciement du directeur financier, autrement dit « du lourd ». Or, ce communiqué était faux et n’émanait en aucun cas de l’entreprise de BTP. qui a immédiatement démenti. Le faux était un peu gros.
Il aura suffit qu’un seul des destinataires du message ne soit pas allé vérifier la provenance du mail (adresse IP, serveurs), n’ait pas cherché à recouper l’information avec d’autres sources et se soit contenté du lien au bas du communiqué renvoyant au site de Vinci, pour que le piège fonctionne.
Le texte du communiqué a été promptement relayé dans les réseaux, véritable « bombe » économique, faisant perdre plus de 18% à l’action Vinci pendant quelques minutes, coup violent pour l’entreprise cotée. Voir par exemple l’article de Capital.
Pourquoi lier ces deux affaires ?
Parce que le rapprochement des deux incidents est une illustration du fait que le support d’un courrier n’est pas une caractéristique discriminante de sa dangerosité. Le support change la nature du risque non son principe. Le risque est celui que porte le document dans son entier, c’est-à-dire une information sur un support dans un contexte.
Dans le cas du courrier papier, l’enveloppe contient une matière dangereuse. Dans le cas du courrier électronique, c’est le contenu qui est vérolé. Ce pourrait du reste être l’inverse : un courrier papier dont le contenu serait une rumeur ou un mail porteur d’un virus informatique comme il arrive trop souvent. Dans tous les cas, explosif réel ou explosif virtuel, c’est la manipulation imprudente de l’objet reçu qui déclenche les dégâts.
Ceci rappelle utilement qu’un courrier est un échange entre un émetteur et un récepteur, et donc que la maîtrise de la relation entre les deux acteurs, y compris les intermédiaires éventuels, est la première étape de la sécurité. Tout courrier doit être manipulé en bonne connaissance du contexte de sa production et de son acheminement.
Pour le FMI comme pour VINCI, le défaut est l’usurpation d’identité : le nom de l’expéditeur indiqué sur l’enveloppe expédiée de Grèce était faux ; l’émetteur apparent du mail VINCI était faux.
Il est extrêmement facile d’écrire n’importe quoi comme nom de l’expéditeur sur un colis. C’est un peu plus difficile de fabriquer un faux mail mais il ne faut pas non plus être ceinture noire de hackage pour cela. Raison de plus, pour le récepteur de contrôler les circuits, recouper les données, rapprocher ce qui est reçu de ce qui est attendu ou observer attentivement les caractères externes de ce qui n’est pas attendu.
Pour les deux incidents rapportés, c’est l’attitude du destinataire, du récipiendaire, de l’utilisateur qui a activé le piège : confiance accordée à un objet banal, manque de formation à la critique de la véracité et de la vraisemblance du document (diplomatique), paresse face à la procédure de vérification, curiosité insouciante, excitation à l’idée d’être le premier à savoir, etc. Et c’est bien sur ces travers humains que comptent les auteurs des « attentats » pour réussir.
Mais, ne dramatisons pas : à côté de ces quelques courriers piégés, il existe de très nombreuses lettres, cartes postales, missives manuscrites et billets doux qui provoquent régulièrement des explosions de joie 🙂 .
Très bien dit Marie-Anne.
Et combien se sont fait piégés par les mails (« e-mails ») vraisembablement d’un ami qui se dit abandonné sans argent dans un pays lointain, avec un adresse de compte bancaire vers lequel vous pouvez lui envoyer du secours en argent… ou un message très officiel de leur banque citant un problème avec la carte bleue, qui vous demande la saisie de votre mot de passe… On voit moins souvent ce genre d’arnaque.. aujourd’hui remplacé par le plus puissant « Fake News » et sa « viralité » (est-ce que ce mot existe?). Plus ça change…Dans tous les cas il vaut mieux lire ses mails dans un été assez zen, ne pas se précipiter et passer à l’action dès la première lecture…
Oui, les arnaqueurs exploitent le manque de vigilance des gens et je note qu’on qu’on est encore moins vigilant quand on est concerné (envie de savoir, crainte de passer à côté de quelque chose).
Oui pour viralité: un joli mot d’ailleurs (que j’ai oublié dans mon recueil « Sérendipité »…