De plus en plus d’entreprises réalisent des campagnes de tests phishings afin de mesurer la vulnérabilité de leurs collaborateurs à ce type d’attaques. Nombre de ces tests phishings imitent ou reprennent les marques, visuels et noms de domaines de sociétés ou d’administrations qui sont, par ailleurs, régulièrement usurpés dans les attaques de phishings réelles. L’idée est ici de pouvoir imiter à s’y méprendre l’apparence d’un message en provenance de l’une de ces organisations pour un test phishing le plus réaliste possible. Certains mettent d’ailleurs en avant des outils permettant de copier automatiquement les sites web des sociétés imitées. La question qui se pose est de savoir si, même dans un objectif de sensibilisation, il est possible d’utiliser les marques ou signes de sociétés ou administrations tierces.
Lise Breteau, avocate, nous livre ici son avis :
“Le hameçonnage imite des messages d’organisations connues des destinataires, pour les inciter à cliquer, à des fins malveillantes. Pour qu’une campagne de sensibilisation soit efficace, il semble donc a priori nécessaire, afin de coller au maximum aux pratiques réelles, d’utiliser des noms et « univers graphiques » d’organisations connues du grand public qui les incite à cliquer. Les messages de test peuvent ainsi inclure un « mix » d’éléments protégés de tiers, notamment droits de propriété intellectuelle: marques, dessins, modèles, droits d’auteur, domaines, noms commerciaux, noms d’autorités administratives, etc. et plus généralement actifs de tiers, voire données personnelles. En synthèse, l’utilisation de tels éléments dans la vie des affaires, sans autorisation préalable des titulaires, présente un risque d’atteinte à leurs droits.
Ainsi, même si ces campagnes poursuivent un but louable — élever le niveau de sensibilité au risque de phishing dans les entreprises — les pilotes de ces campagnes entrent dans le cadre contraint des règles de propriété intellectuelle et autres protections des actifs immatériels. Il convient également de noter que modifier à la marge les noms, couleurs, design, etc. tout en conservant un aspect d’ensemble ressemblant, ne permet pas d’échapper à l’atteinte. En effet, la contrefaçon s’apprécie par les ressemblances, et non par les différences.”
Il parait peu probable d’obtenir l’autorisation des différentes Directions de la Communication des entreprises concernées pour l’utilisation de leurs marques pour du test phishing.
Reste à faire preuve de créativité pour la réalisation de scénarios réalistes et crédibles sans avoir à utiliser ces marques.
Rappelons que l’objectif est avant tout pédagogique et non pas forcément de trouver le scénario le plus piégeur possible.
