L’avertissement « Ne cliquez pas sur les liens suspects » est-il un conseil obsolète ?
Le 13 mars 2025, le National Cyber Security Centre (NCSC) du Royaume-Uni a publié un article de blog percutant intitulé « Dites aux utilisateurs «d’éviter de cliquer sur de mauvais liens» ne fonctionne toujours pas ». Cet article souligne un problème persistant dans le domaine de la cybersécurité : malgré des années de sensibilisation, demander simplement aux utilisateurs d’éviter de cliquer sur des liens suspects s’avère une stratégie inefficace pour se protéger contre les attaques de phishing et autres menaces en ligne.
Pourquoi l’avertissement ne suffit-il plus ?
L’article du NCSC met en évidence plusieurs raisons expliquant pourquoi le simple conseil d’éviter les « mauvais liens » ne fonctionne plus :
- La sophistication croissante des attaques de phishing : Les cybercriminels sont devenus extrêmement doués pour imiter des sites web et des communications légitimes. Ils utilisent des techniques avancées d’ingénierie sociale pour concevoir des emails et des messages qui sont pratiquement impossibles à distinguer des originaux pour un utilisateur moyen. Les liens peuvent sembler légitimes, les logos et la mise en page sont souvent reproduits à la perfection, et le ton est convaincant.
- La surcharge cognitive des utilisateurs : Dans le monde numérique actuel, les utilisateurs sont bombardés d’informations et de liens tout au long de la journée. Il est difficile de maintenir un niveau de vigilance constant et d’évaluer la légitimité de chaque lien avant de cliquer. La pression du temps, la distraction et la fatigue peuvent conduire à des erreurs.
- Le facteur humain : La nature humaine est faillible. Même les utilisateurs les plus conscients de la sécurité peuvent être dupés par un email particulièrement bien conçu, surtout s’il exploite des émotions comme la peur, l’urgence ou la curiosité.
- La complexité croissante des URLs : Les URLs peuvent être raccourcies, masquées derrière des hyperliens et même contenir des caractères Unicode trompeurs. Il est donc de plus en plus difficile de déchiffrer leur véritable destination avant de cliquer.
- L’omniprésence des appareils mobiles : Sur les smartphones et les tablettes, il est souvent plus difficile de vérifier l’authenticité d’un lien avant de cliquer, car l’écran est plus petit et l’URL complète n’est pas toujours visible.
Quelles sont les alternatives proposées par le NCSC et d’autres experts ?
L’article du NCSC ne se contente pas de pointer du doigt le problème. Il suggère également des alternatives plus efficaces pour protéger les utilisateurs :
- Se concentrer sur la sensibilisation aux comportements à risque plutôt qu’aux seuls liens : Il ne s’agit plus seulement de dire « ne cliquez pas sur les mauvais liens », mais de sensibiliser les utilisateurs à des comportements spécifiques qui les rendent vulnérables. Par exemple, insister sur l’importance de vérifier l’expéditeur d’un email, de ne jamais partager de mots de passe, et de ne pas saisir d’informations sensibles sur un site web dont la sécurité n’est pas assurée (absence du cadenas dans la barre d’adresse).
- Promouvoir l’utilisation de l’authentification multi-facteurs (MFA) : L’authentification à deux facteurs ou plus ajoute une couche de sécurité supplémentaire en exigeant que les utilisateurs fournissent plus qu’un simple mot de passe pour se connecter à leurs comptes. Cela rend plus difficile l’accès aux comptes même si un cybercriminel parvient à obtenir le mot de passe.
- Mettre en place des filtres anti-spam et anti-phishing plus performants : Les organisations doivent investir dans des technologies de pointe pour détecter et bloquer les emails et les messages malveillants avant qu’ils n’atteignent les utilisateurs.
- Former les utilisateurs à reconnaître les signes de phishing : Plutôt que de simplement dire « ne cliquez pas sur les mauvais liens », former les utilisateurs à identifier les indices révélateurs d’une tentative de phishing, tels que les fautes d’orthographe, les demandes urgentes et inhabituelles, et les menaces implicites.
- Encourager le signalement des emails et messages suspects : Il est crucial de créer une culture où les utilisateurs se sentent à l’aise de signaler les emails et les messages suspects, même s’ils ne sont pas sûrs qu’il s’agisse d’une menace réelle. Cela permet aux équipes de sécurité d’identifier et de bloquer les attaques potentielles plus rapidement.
- Développer des outils de sécurité plus intuitifs et conviviaux : Les outils de sécurité doivent être conçus pour être faciles à utiliser et à comprendre, afin que les utilisateurs soient plus susceptibles de les adopter et de les utiliser efficacement.
- Investir dans la sécurité par la conception : Au lieu de se fier uniquement aux utilisateurs pour éviter les pièges, les applications et les sites web doivent être conçus de manière à réduire les risques de phishing et d’autres attaques. Cela peut inclure des mesures telles que la validation des adresses email, l’utilisation de certificats SSL et la mise en œuvre de politiques de mot de passe robustes.
En conclusion :
L’article du NCSC de 2025 est un appel à l’action pour repenser notre approche de la sensibilisation à la cybersécurité. Il est temps de dépasser le simple conseil « ne cliquez pas sur les mauvais liens » et d’adopter une approche plus globale et proactive qui se concentre sur la sensibilisation aux comportements à risque, l’utilisation de technologies de sécurité avancées, et la création d’une culture de sécurité au sein des organisations et de la société. La sécurité en ligne est une responsabilité partagée, et il est crucial de donner aux utilisateurs les outils et les connaissances nécessaires pour se protéger efficacement.
Dites aux utilisateurs «d’éviter de cliquer sur de mauvais liens» ne fonctionne toujours pas
L’IA a fourni les nouvelles.
La question suivante a été utilisée pour générer la réponse de Google Gemini :
À 2025-03-13 11:22, ‘Dites aux utilisateurs «d’éviter de cliquer sur de mauvais liens» ne fonctionne toujours pas’ a été publié selon UK National Cyber Security Centre. Veuillez rédiger un article détaillé avec des informations connexes de manière compréhensible.
40